wordpressのログインページのログをとってみた

ログインアクセスのログをとったらやたらいろいろなところから
アクセスがあったので、びびってログインページにアクセス制限をかけました。

WordPress管理ページのログをとる

ことの発端は、WordPressのログインページのログをとるプラグインが
紹介されていたので早速使ってみるかー的な軽いノリだったのです。。。

WordPress へのログイン履歴を保存するプラグイン「Crazy Bone(狂骨)」
http://dogmap.jp/2013/05/13/crazy-bone/

入れて、三日ぐらいで約4000件の怪しいアクセスが・・・

login_history

よく見てみると大半のアクセスがwindows + firefoxからアクセスされています。
なにか乗っ取るようのアドオンでもあるのでしょうか?

ひとまず手っ取り早くアクセス制限をかけれるBasic認証をwp-admin以下にかけることにしました。

NginxにBasic認証をかける

パスワードファイル生成


$ htpasswd -c /etc/nginx/conf.d/.htpasswd hoge

nginx設定ファイルの変更


$ sudo vi /etc/nginx/sites-enabled/default

後悔しているserver情報の中に追記


server {

.....

    # Admin Area Access Control
    location /wp-admin/ {
        auth_basic "Enter ID, Pass";
        auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
    }

...

}