ワードプレスでブログを始めてから１週間が経ちます。

ユニークアクセス数が一日あたり０か１かの過疎ブログのはずですが、
アクセスログを見たらおびただしい数のアクセスがありました。

そのほとんどがwp-login.phpのログインページへのアクセスです。
ほぼ間違いなく不正ログインの痕跡です。
16時以降からパッタリとアクセスが止まっていますが、
これはサーバを一度再起動したためです。

アクセスログを見ると、毎回異なるIPアドレスから
wp-login.phpにアクセスしています。

したがって、特定のIPを制限するだけでは対処は難しいと思われます。
そこで、このwp-login.phpアクセスの防止策を挙げてみました。

方法1 wp-login.phpにBasic認証をかける
ログインページ自体にBasic認証をかけて
二重ログインの構造にしようという発想です。
機械的にアクセスされている事を考えると、
これだけでもかなりの効果が見込める事になります。

方法2 wp-login.php自体を別ページにする
wp-login.php自体を別ページにしてしまおうという発想です。
これと方法1を組み合わせればかなり安全になるのではないでしょうか。
別ページに移した後は、ダミーのログインページ(ハニーポット)をおいて
攻撃者の行動を解析するのもありですね。

方法3 wp-login.phpを特定のIPからのアクセスに限定する
これはwp-login.php自体にIP制限かける方法です。
自宅内でしかブログ更新しない場合は、プライベートIPのみからのアクセスに
制限してしまえば確実です。
これも方法1、2と組み合わせる事でセキュリティ強化が見込めます。

個人的には方法2で運用したいのですが、
wp-login.phpを置ける場所がWordPressディレクトリの１階層上までと
制限があるようです。
2階層以上はデフォルトでは出来ません。
スクリプトの書き換えで対応できなくも無いですが・・・

■参考文献
WordPress の wp-login.php をブルートフォースアタックから守る
wp-config.php の編集