WordPressに不正ログイン試行時のパスワード

試しに入力されたパスワードの履歴までが見れるかどうか？　ですが、以下などがあるようです。 自信を持って推薦するというわけではないです。セキュリティーに直結するログイン情報の解析ツールですので、ご自身でしっかりと検証しながら、導入を考えてください。 ”WordPressのログイン履歴 を可視化するプラグイン” ”プラグインは「Crazy-bone」というプラグインです。” https://www.taniweb.jp/blog/6113/ ”WordPressプラグイン「WP Security Audit Log」で操作ログを記録する” ”残してくれるログは、 ・ステータス、コンテンツの変更、タイトル、URL、日付、カスタムフィールドの変更
・投稿、ページ、カスタム投稿の種類の変更
・パスワード、電子メール、表示名、ロールの変更などのユーザープロファイルの変更
・ログイン、ログアウト、ログイン失敗、他のセッションの終了などのユーザーアクティビティ
・インストールされたアップデート、パーマリンク、デフォルトの役割、URL、その他のサイト全体の変更など、WordPressのコアと設定の変更” https://hacknote.jp/archives/50397/ ”WordPressのアクセス解析プラグイン7選【プロが厳選!】” https://wacul-ai.com/blog/access-analysis/access-analysis-basic/wordpress-access-analytics/ まずは、対策を立てることからだと思うので、下記などを参考にして、定期的にパスワードを変更するなどを徹底してみてください。 ”あなたのWordPressサイトがハッキングされた時の11の兆候” ”自分のWordPressサイトが知らない間にハッキングされているかも・・・。 考えたくないことですが、WordPressでサイトを構築する以上、想定しておくべき事態の一つでもあります。 ハッキングを完全に防ぐということは、ほぼ不可能です。
WordPress本体のアップデートやセキュリティ対策を強化してもハッキングされる可能性は0にはなりません。 重要なのは、いかに早くハッキングされたという事態に気づくことができるか。” https://wpmake.jp/contents/security/security/hacking_sign/ “パスワードクラックによる改ざんかどうかはアクセスログでわかります。突破された場合はアクセスログに「 wp-settings-time 」の呪文が入ります。自社とは違う IP アドレスであれば、他人のログイン跡（証拠）です。ただし、サーバ設定によってはログが省略されていることもあり、そして「 wp-settings-time 」の呪文がログから省略されていることも… “ https://www.orange-ss.com/column/0108.html “攻撃側はログインに成功した後でテーマやプラグインの一部を不正ツールに書き換えます。つまり「 wp-login.php 」の後で「 theme-editor.php 」又は「 plugin-editor.php 」を開きます。見知らぬ IP アドレスでこのようなアクセスログがあれば他人のログイン跡です。 まずは「 wp-settings-time 」の記録があるか抽出します。ssh の使えるサーバなら「 find ./ -type f -print | xargs grep 'wp-settings-time' >> ../wplogin_log 」コマンドで wplogin_log に結果を残し、見知らぬ IP アドレスがないかを確認してください。” https://www.orange-ss.com/column/0108.html こちらも参考に！ ”「ログの見かた」～初心者でもよくわかる！VPSによるWebサーバー運用講座(1)” https://knowledge.sakura.ad.jp/3424/ 「ワードプレス」「不正」に関する質問と回答 https://okwave.jp/search?word=%E3%83%AF%E3%83%BC%E3%83%89%E3%83%97%E3%83%AC%E3%82%B9%E3%80%80%E4%B8%8D%E6%AD%A3 良いサイト管理を！ 参考になれば幸いです。