WordPressのログインページURLを変更するセキュリティ対策プラグインLogin rebuilderの設定方法。

Login-rebuilder_eyecatch
セキュリティー対策で実用的なのがログインページのURL変更です。

WordPressの管理画面には「ユーザー名orメールアドレス」と「パスワード」の2つが合えば誰でもログインすることが出来ます。

そもそもサイト運営者しか使わないログインページは他の人からアクセスしにくいように隠しておくのがセキュリティー上望ましいはずです。

WordPressの場合「Login rebuilder」というプラグインを使えば、簡単にログインページのURLを変更することが出来ます。
更に攻撃に使用されやすいXML-RCPアクセスも禁止できるので安心!

WordPressのログインページは変更されていない場合簡単に推測できます。
そのため、ブルートフォースアタック(ID、passを変更しての総当たり)の攻撃対象になる可能性が高いです。

WordPressのログインページURLの変更

WordPressの管理画面へのログインページURLは形式的で簡単に推測できます。

Login-rebuilderの使い方1

WordPressのログインページは簡単に見つけられる

このログインURLを自分しか分からない任意の値に変更し、ログインページへのURLを隠すことでログインページへのアクセスをシャットアウトします。

実際かなり効果的なようで、1日数十回とログインページにアクセスされていたのが完全に無くなりました!

主にできること

標準のログインページURLを変更。
「https://サイトURL/wp-admin/」や「https://サイトURL/wp-login.php」を
「https://サイトURL/任意の文字」という形式に変更可能

標準のログインページにアクセスされた際の挙動を指定。
(403、404ページ、サイトトップへリダイレクトなど)

■ログイン時のログを保存できる。

■稼働、未稼働をワンボタンで変更可。

著者ページへのアクセスも隠すことが出来る。

セキュリティー的に大事なログインページ変更と著者ページを隠すことが出来ます。

日本語化されており、それぞれの設定をチェックボタンで行うことができます。
設定は簡単で数分で完了します!

Login rebuilderの使い方

前置きが長くなってしまいました。
プラグインのインストールからログインページを変更する流れです。

プラグインのインストール

プラグインは公開されているのでダッシュボードから簡単にインストールできます。

Login-rebuilderのインストール1

管理画面左メニュー > プラグイン > 新規追加

に進み、検索窓に「Login rebuilder」と入力する。
今すぐインストールを押し、有効化する。

Login rebuilderの設定方法

プラグインの各種設定は

管理画面左メニュー > 設定 > ログインページ

から行います。
(インストール済みプラグインのLogin rebuilderの欄の設定からでも可能)
Login-rebuilderの設定方法1

Login rebuilderの設定(前半)

ここからおすすめの設定方法の例です。

一枚で写りきらなかったので、前半と後半で設定画面を説明していきます。
Login-rebuilderの設定方法2

無効なリクエスト時の応答
「https://サイトURL/wp-admin/」や「https://サイトURL/wp-login.php」にアクセスした際にどのページにリダイレクトするか。
おすすめは「サイトトップへリダイレクト」です。
不正アクセスを試みにきた人達をトップページにリダイレクトすることで少しでもSEOに貢献してもらいましょうw
【メモ】
403ステータス:ページを見る権限がない
404ステータス:ページが見つからない

ログインファイルキーワード
そのままでOK!(覚える必要なし)
ランダムな英数字で作成されています。(画像では一応隠してます)

新しいログインファイル
初期設定ではyour-login.phpとなっており「https://○○○/your-login.php」が新しいログインページとなります。
もちろんこのままだと簡単に推測されてしまいますので、予測されにくい文字に変更しましょう!

第2ログインファイル
二つ目のファイルも設定できるようですが、使いません。

ステータス
このプラグインのON、OFF。
設定後稼働中にしなければ意味がありませんのでお忘れなく。

プラグインを停止してしまうとステータスが準備中に戻ります。
一度プラグインを停止した際は確認してください。
特に不具合などで全プラグインを停止した後に再度有効化した場合。OFFになっています。

Login rebuilderの設定(後半)

後半の設定部分です。
Login-rebuilderの設定方法3

ログ保存
ログインした際のIPアドレスなどのログを保存してくれます。
「しない、無効なリクエスト時のみ、ログイン時のみ、すべて」から選択可能。好みですが、万が一ログインされた時にすぐに分かるように何かしらログは保存しておいたほうが良いかもしれません。

ログの日時の表示書式
基本的にデフォルトで見やすいのでOK。

著者ページへのアクセス
404ステータスにしておいた方がいいと思います。
最初に強制的に作成されるID:ユーザーID=1
任意のユーザー名をadminで作成した場合ニックネームを変更しても
http://サイトURL/?author=1でアクセスすると
http://サイトURL/author/adminにリダイレクトされます。
ユーザーIDは1から順番に作成されるので、容易にユーザー名がバレるということになり危険です。
つまりこの情報が見られてしまうとあとはパスワードだけ当てればログインできてしまうということになります。

oEmbed
標準でも問題ありませんが、必要なさそうなので完全に隠しました。

その他
日本語のままです。難しそうなのでデフォルトで使ってます。

以上で設定は終了です。
最後に変更を保存をクリックするのと、稼働中になっているかを確認しましょう!

XML-RCPリクエストを無効にする方法

数日前にXML-RPCを経由した無効なリクエストがありましたので、ブロックしておきました。このプラグインで対応可能です。
Login-rebuilderの設定方法4

XML-RPCというWordpressに入っているプログラムを使用すれば遠隔でWordpressを操作することが可能です。一般的に使用されるのは自動投稿プログラムなど。
いくつかセキュリティーの貧弱性も報告されており、不正アクセスの的になりがちです。普通にブログを運営する際は必要ないので対策しておきましょう。

XML-RPCアクセスを禁止する方法

プラグインをインストールすると追加されるメニューにはもう一つXML-RPCというメニューがあり、こちらで設定できます。

管理画面左メニュー > 設定 > XML-RPC

Login-rebuilderの設定方法5

設定画面に遷移したら、
一番上のチェックボックス「XML-RPCメソッドの認証を禁止する」のチェックボックスをONにしましょう。
ステータスを稼働中にし、変更を保存して終了です。
Login-rebuilderの設定方法6

プラグインの動作について

↓ログはダッシュボードに表示される。

Login-rebuilderの設定方法7

↓新しく作ったページファイルはWordpressのルートディレクトリに作成される。

Login-rebuilderの設定方法8
ちなみにページURLを変更すると、前回作成されていたphpファイルは自動的に削除されるようです。念のためプラグインを使用しなくなった場合はルートディレクトリに作成したログイン用のphpファイルが残っていないか確認しましょう。

プラグインの動作確認

最後に「https://サイトURL/wp-admin/」と「https://サイトURL/wp-login.php」にアクセスし、ログインページが変わっていることを確認しましょう。
この例だとログインページは「https://サイトURL/your-login.php」が新しいログインページになります。

自身の管理画面のお気に入りやブックマークのURLも変更しておきましょう。

※元からあるwp-login.phpというファイルは削除してはダメです!
このプラグインはあくまでも他のファイルを作ってそこからしかアクセスできないように設定しているだけなので、元から存在するwp-login.phpを使用しています。

まとめ

誰でもアクセスできるログインページのURLを変更し、ユーザー名がバレる可能性のある著者ページも隠しておけばWordpressのセキュリティーを高めることができるでしょう。

他のセキュリティー対策としてはログイン画面にベーシック認証をかけ、2段階ログインを導入する、数回ログインに失敗したら一定時間アクセスできないようにする、ウイルス対策プラグインを導入するなどなどありますが、これはまた別の機会に。

-Wordpress
-,

© 2021 ソロ学