wordpressのwp-login.phpを狙った攻撃対策

wordpressのwp-login.phpを狙った不正アクセスが増えてきたので、なんとか対策しようとwp-login.phpの名前を変えてみました。Tera Termなどのターミナルでwordpressがインストールされたディレクトリから、下記のコマンドでphpに書かれた全てのwp-login.phpを一括変換します。.phpだけにしたのは、全ファイルでやってしまうとja.poの中身なども変換され、文字化けを起こしてしまう可能性があるためです。

%find . -type f -name '*.php' -print0 | xargs -0 perl -i -pe 's/wp-login.php/wp-login2.php/g'

もちろんいろんな方法で変更後のログインページを探し当てられる可能性はあるのですが、これを行ったところ一応変更後のログインページへのアクセスは無くなったので最低限の防御はできたと思います。
もちろん、IDをadmin以外にしたりパスワードを長くしたりという基本はやったうえで。

あと、念のため検索エンジンなどにキャッシュされないよう下記のような一行もヘッダに記入しています。

<meta name='robots' content='noindex,nofollow' />

【参考】あるディレクトリ以下の複数ファイル内の文字列を一括で置換するワンライナー

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です