WordPressのログインページURLを変更するセキュリティ対策プラグイン「Login rebuilder」の設定方法

2020-08-07

WordPressのセキュリティー対策やってますか?本来自分しかアクセスしないであろうログインページへのアクセス数が増えてきた…アクセス元を探ると海外IPばかり…どうやら知らない人が簡単にログインページにアクセスしているようです。

標準のWordpressの管理画面は「ユーザー名orメールアドレス」と「パスワード」の二つ"さえ"当ててしまえば誰でもログインできます。
そもそもサイト運営者しか使わないログインページは他の人からアクセスしにくいように隠すべき。今回「Login rebuilder」というプラグインを使って簡単にログインページのURLを変更できたのでご紹介。
更に攻撃に使用されやすいXML-RCPアクセスも禁止できるので安心!

標準のログインページは「https://○○○.com/wp-login.php」と誰でも分かってしまうURLになっており、ブルートフォースアタック(ID、passを変更しての総当たり)の攻撃対象になる可能性大。

Login-rebuilderの使い方1

WordPressのログインページは簡単に見つけられる

このログインURLを自分しか分からない任意の値に変更し、ログインページへのURLを隠すことでログインページへのアクセスをシャットアウトします。

実際かなり効果的なようで、1日数十回とログインページにアクセスされていたのが完全に無くなりました!

主にできること

標準のログインページURLを変更。
「https://サイトURL/wp-admin/」や「https://サイトURL/wp-login.php」を
「https://サイトURL/任意の文字」という形式に変更可能
標準のログインページにアクセスされた際の挙動を指定。
(403、404ページ、サイトトップへリダイレクトなど)
■ログイン時のログを保存できる。
■稼働、未稼働をワンボタンで変更可。
著者ページへのアクセスも隠すことが出来る。

セキュリティー的に大事なログインページ変更と著者ページを隠すことが出来るのがデカい。

日本語化されており、それぞれの設定をチェックボタンで行うことができます。設定は簡単で数分で完了します!

Login rebuilderの使い方

前置きが長くなってしまいました。インストールからログインページを変更する流れがコチラです。

Login rebuilderのインストール

管理画面のメニュー>プラグイン>新規追加>検索窓に「Login rebuilder」と入力。
今すぐインストールを押し、有効化する。
Login-rebuilderのインストール1

Login rebuilderの設定方法

各種設定は管理画面のサイドメニュー>設定>ログインページから行います。
(インストール済みプラグインのLogin rebuilderの欄の設定からでも可能)
Login-rebuilderの設定方法1

Login rebuilderの前半

おすすめ設定をご紹介!一枚で写りきらなかったので、前半と後半で設定画面を説明していきます。
Login-rebuilderの設定方法2

無効なリクエスト時の応答
「https://サイトURL/wp-admin/」や「https://サイトURL/wp-login.php」にアクセスした際にどのページにリダイレクトするか。
おすすめは「サイトトップへリダイレクト」です。
不正アクセスを試みにきた人達をトップページにリダイレクトすることで少しでもSEOに貢献してもらいましょうw
【ヒント】
403ステータス:ページを見る権限がない
404ステータス:ページが見つからない
ログインファイルキーワード
そのままでOK!(覚える必要なし)
ランダムな英数字で作成されています。(画像では一応隠してます)
新しいログインファイル
初期設定ではyour-login.phpとなっており「https://○○○/your-login.php」が新しいログインページとなります。
もちろんこのままだと簡単に推測されてしまいますので、予測されにくい文字に変更しましょう!
第2ログインファイル
二つ目のファイルも設定できるようですが、使いません。
ステータス
このプラグインのON、OFF。設定後稼働中にしなければ意味がありませんのでお忘れなく。
※プラグインを停止してしまうと準備中に戻ります。
一度プラグインを停止した際は確認してください。
特に不具合などで全プラグインを停止した後に再度有効化した場合。OFFになっています。

Login rebuilderの後半

後半の設定部分です。
Login-rebuilderの設定方法3

ログ保存
ログインした際のIPアドレスなどのログを保存してくれます。
「しない、無効なリクエスト時のみ、ログイン時のみ、すべて」から選択可能。好みですが、万が一ログインされた時にすぐに分かるように何かしらログは保存しておいたほうが良いかもしれません。
ログの日時の表示書式
基本的にデフォルトで見やすいのでOK。
著者ページへのアクセス
404ステータスにしておいた方がいいと思います。
最初に強制的に作成されるID:ユーザーID=1
任意のユーザー名をadminで作成した場合ニックネームを変更しても
http://サイトURL/?author=1でアクセスすると
http://サイトURL/author/adminにリダイレクトされます。
ユーザーIDは1から順番に作成されるので、容易にユーザー名がバレるということになり危険です。
つまりこの情報が見られてしまうとあとはパスワードだけ当てればログインできてしまうということになります。
oEmbed
標準でも問題ありませんが、必要なさそうなので完全に隠しました。
その他
日本語のままです。難しそうなのでデフォルトで使ってます。

以上で設定は終了です。
最後に変更を保存をクリックするのと、稼働中になっているかを確認しましょう!

XML-RCPリクエストを無効にする方法

数日前にXML-RPCを経由した無効なリクエストがありましたので、ブロックしておきました。このプラグインで対応可能です。
Login-rebuilderの設定方法4

XML-RPCというWordpressに入っているプログラムを使用すれば遠隔でWordpressを操作することが可能です。一般的に使用されるのは自動投稿プログラムなど。
いくつかセキュリティーの貧弱性も報告されており、不正アクセスの的になりがちです。普通にブログを運営する際は必要ないので対策しておきましょう。

Login rebuilderでXML-RPCアクセスを禁止する方法

プラグインをインストールすると追加されるメニューにはもう一つXML-RPCというメニューがあり、こちらで設定できます。
サイドバーメニュー > XML-RPC
Login-rebuilderの設定方法5

設定画面に遷移したら、一番上のチェックボックス【XML-RPCメソッドの認証を禁止する】のチェックボックスをONにしましょう。
ステータスを稼働中にし、変更を保存して終了です。
Login-rebuilderの設定方法6

【参考】Login rebuilderの動作

↓ログはダッシュボードに表示される。

Login-rebuilderの設定方法7

↓新しく作ったページファイルはWordpressのルートディレクトリに作成される。

Login-rebuilderの設定方法8
ちなみにページURLを変更すると、前回作成されていたphpファイルは自動的に削除されるようです。念のためプラグインを使用しなくなった場合はルートディレクトリに作成したログイン用のphpファイルが残っていないか確認しましょう。

【動作確認】

最後に「https://サイトURL/wp-admin/」と「https://サイトURL/wp-login.php」にアクセスし、ログインページが変わっていることを確認しましょう。
この例だとログインページは「https://サイトURL/your-login.php」が新しいログインページになります。

自身の管理画面のお気に入りやブックマークのURLも変更しておきましょう。

※元からあるwp-login.phpというファイルは削除してはダメです!
このプラグインはあくまでも他のファイルを作ってそこからしかアクセスできないように設定しているだけなので、元から存在するwp-login.phpを使用しています。

まとめ

誰でもアクセスできるログインページのURLを変更し、ユーザー名がバレる可能性のある著者ページも隠しておけばWordpressのセキュリティーを高めることができるでしょう。

他のセキュリティー対策としてはログイン画面にベーシック認証をかけ、2段階ログインを導入する、数回ログインに失敗したら一定時間アクセスできないようにする、ウイルス対策プラグインを導入するなどなどありますが、これはまた別の機会に...ではでは。

-Wordpress
-,

© 2021 ソロ学