月: 2023年7月

自宅鯖でWordpressを運用していますが、その中で日常のスパム対策作業を紹介いたします。（素人ですので、最小限の内容です）

１）ufw.log
ファイアーウォール破りの気配の確認を、「/var/log」ディレクトリの「ufw.log」ファイルの有無でチェックします。通常はルーターが[443/tcp, 80/tcp]以外をフィルターリングしてくれますので、まずこのファイルが発生することは希です。発生がなければOKです。

２）rkhunter
「$ sudo rkhunter –sk -c」でrkhunterを作動させ、バックドアやスパムの侵入をチェックします。「No warnings were found while checking the system.」が表示されたらOKです。

３）OS（Ubuntu）の更新有無をチェックし、あればUpdateします。

４）Wordpressのサイトヘルス
WordPressのダッシュボードから「サイトヘルス」をチェックし、異常の有無をチェックします。現在は「ページキャッシュがないよ」って警告が出ていますが、パフォーマンスは良好ですので、余分なプラグインを入れないことにしています。

５）[Akismet] と [Limit Login Attempts]
ダッシュボードで上記2件のサマリーをチェックします。SSの様ならOK

「さぶ」を読み、現在は「樅ノ木は残った」の３／４付近。
（吉川英二の「鳴門秘帖」「宮本武蔵」も良かったわ。）

青空文庫からkindleへダウンロードした山本周五郎の作品は以下に

どうせ積読だけかもｗ？

（備忘録メモ）
/usr/share/nginx/wordpressディレクトリ以下にあります。
【ディレクトリ】
　　管理ページ：/wp-admin/
　　テーマ・プラグイン・画像：/wp-content/
　　　　　　（ここはバックアップ対象）
　　コア：/wp-includes/
【ファイル類】
　　ログインページ：/wp-login.php
　　　　　　　（ここはログインセキュリティ対象）
　　コメント投稿：/wp-comments-post.php
　　設定ファイル：/wp-config.php

WordPress の管理画面へはパスワードを使用しての「ログイン」が必要です。しかしログインURLは、必ず末尾に wp-login.php が付くので推測されやすく、そのため、悪意の第三者に推測されやすいものとなります。

そこで、これへの不正ログインを防ぐために、プラグイン「Limit Login Attempts Reloaded」をインストールしました。

「設定」タブからApp Settingsの「X回までリトライを許可する」の項目でログイン試行回数を制限できます。
　　3回までリトライ許可
　　20分間ロック
　　3回ロックされると24時間ブロック
　　24時間でリトライ数をリセット

もし破られたら、サーバーの電源をプチッ！
破られなくても、アタシがロックされないかしら？。。。。＠＠）