セキィリティプラグイン 「All in one WP security」にご用心!セキュリティレベルの上げ過ぎで自分をロックアウト

WordPressのセキリティプラグイン、「All in one WP security」は、非常に優秀なプラグインです。

 

WordPressは、プラグインで簡単に便利な機能を実装することが可能なため、ついついプラグインを多く入れてしまいがち。
しかし、プラグインの入れ過ぎは、相互に干渉し合う危険性があり、サイトに不具合が発生することもしばしば。
できれば使うプラグインは少なくしたいところです。

ところが、プラグインを少なくする中で選んだ「All in one WP security」に、サイト管理者が締め出されるという大ポカをやらかしてしまったのです!

大ポカの顛末を、お話ししますね。

おすすめされた優秀なプラグイン、「All in one WP security」

あれもこれもとプラグインを入れるより、セキュリティ対策は優秀なプラグイン1本で行うのがオススメだよ。
そう詳しい人から教わり、出会ったのが「All in one WP security」でした。

「All in one WP security」は、セキュリティプラグインとして、無料なのにこんなに機能が豊富なのかと驚いたほど。

管理画面が英語だけなので使いづらさもあるのですが、セキュリティプラグインとしては非常に優秀です。

1、データベース、ファイルシステムのバックアップ機能
2、ログイン画面のキャプチャ実装機能でブルートフォースアタックを防止
3、ログインロックの設定
4、ファイアウォールの設定

他にも、強力なセキュリティ対策を実装しており、無料対策で含まれていないのは、ウイルス対策くらいです。

「All in one WP security」を教わるまでは、別のセキュリティプラグインを使っていました。
ブルートフォースアタック対策には、別のプラグインでログイン画面にキャプチャを実装。
セキュリティ対策以外も含めて、全部でプラグインを30個以上も有効化していたのです。

プラグイン減らしで、「All in one WP security」に乗り換えてから1ヶ月後、悲劇に襲われました。
いや、自分で自分の首をしめたのですが・・・。

セキュリティレベルを目一杯引き上げてしまった!!!

私はXサーバー愛用者なのですが、実は別のサーバーから乗り換えた経験があります。

以前使っていたサーバー会社で、ブルートフォースアタックを仕掛けられました。
それが乗り換えの最大の理由だったのです。

余談ですが、Xサーバーは、基本、海外からWordPressのログイン画面にアクセスできない設定です。
ブルートフォースアタックを仕掛けづらいので、これから新規に契約する、または、乗り換えを考えている人にはオススメですよ。

危うくサイトを乗っ取られかけた経験がトラウマになっていた私。
「All in one WP security」のログインロックダウンのレベルを、目一杯あげました。

通常、ログインに失敗した回数が5回でロックアウト。
1時間はそのIPアドレスからのアクセスを禁止にするくらいの設定で良いのですが・・・。

何を思ったのか、ログインに失敗したIPアドレスからのログインを、1年間締め出す設定にしてしまったのです。
多分、2度と来るんじゃないよ!とでも思っていたのでしょうね。

ところが、その後、大ポカをやらかしてしまい、その設定が仇となったのです・・・。

パスワードのタイプミスで、自分が「All in one WP security」に締め出される

セキュリティレベルを目一杯あげた1ヶ月後、私はうっかりミスをやらかしてしまいました。

パスワードをタイプミスしてしまったのです。
あれ?間違えた?じゃあもう1回。
焦っていたのでしょう、また間違え、気づけば3回タイプミスをやってしまいました。

「All in one WP security」に設定したのは、確か、3回タイプミスすると1年間IP締め出し、だった・・・。

気がついた時には、後の祭り。
「All in one WP security」に、サイト管理者が1年締め出しを食ってしまったのです!!!

どうしよう。

とりあえず、サーバーから「All in one WP security」のファイルを削除してみよう。
そうすれば、締め出す原因がなくなるから、入れるかもしれない。

そう考え、サーバーから「All in one WP security」のファイルを削除しました。
しかし、ログインできない状態、変わらず。

本当に、どうしよう。

 

救いの神は、データベースのスペシャリスト

困った〜、どうしよう〜と騒いでいた私を見かねた、知人が助けてくれました。

知人は、データベースのスペシャリスト。
私は嵌った状況を伝えました。

1、プラグインのセキュリティレベルを上げ過ぎた
2、うっかりパスワードの入力ミスをした
3、その結果締め出された
4、サーバーから該当プラグインのファイル削除したけど復旧できず

知人曰く「サーバーから該当ブラグインのファイル削除してもダメだよ」
「データベースから、該当プラグインを削除しないと復旧しないよ」

で、データベース?!
どうしよう、mySQLなんて触ったことないよ!?

データベースは、サーバーの管理画面に「自己責任で」って書かれている、私にとっては禁断の領域ではありませんか。

しかし、知人は「大丈夫、やり方教えるから、落ち着いてやってごらん」

ネット越しに、mySQLの操作方法を教わりつつ、おっかなびっくりの作業。

呪文のようなコードをPhpMyadminに打ち込み、プラグインのレコードを表示させると、全部で30個以上のプラグインがゾロゾロ。

「それをメモにコピーして、該当のプラグインを探して」
「  i:1;s:●:”該当のプラグイン名/該当のプラグイン名.php”;ってなってるやつ」
「その表示のiからphp”;まで削除して」
「削除した後のプラグインの●のところの数字、ずれちゃってるから、連番に直して」
「そこまで作業終わったら、メモの修正データをレコードに貼り付けて」

言われた通りに作業すると、「All in one WP security」がデータベースから削除され、再びログインできるように!

セキュリティ対策、やり過ぎということはないけれど

セキュリティ対策、やってやりすぎ、ということはありません。

ブルートフォースアタックを仕掛けられ、サイトを乗っ取られ、何かの犯罪にでも利用されたら、大変です。

でも、うっかりミスで、私のように、サイト管理者がサイトから締め出されてしまったら、どうしようもないですよね。

助けてくれた知人にお礼を言い、深く反省した私は、セキュリティ対策について改めて考え直すことにしました。

「All in one WP security」をデータベースから削除したあとは、別のセキュリティプラグインを実装し、しばらく使っていましたが、使い勝手に慣れていたので今は戻しています。

IPアドレスのホワイトリスト機能が「All in one WP security」にはあるからです。
ホワイトリストに登録したので、これでパスワードを間違えても締め出されることはないでしょう。
その前に、パスワードのタイプミスをするな、という話なのですが・・・。

まとめ

「All in one WP security」は優秀なセキュリティプラグインです。

しかし、使う場合は、ログインホワイトリストに、自分がよく使うIPアドレスを登録し、万一の締め出しを防止しましょう。
おそらく、他のセキュリティプラグインも、同様の設定は持っているはずですから、必ず設定を。

また、万一セキュリティプラグインに締め出された場合は、サーバーからファイルを削除するだけではダメです。
データベースからプラグインを削除しましょう。
自分でやるのが難しい場合は、詳しい人、またはプロに依頼するのをおすすめします。