Wordpressプラグイン「Login rebuilder」の使い方をまとめました。
Wordpressの管理画面には「ユーザー名orメールアドレス」と「パスワード」の2つが合えば誰でもログインできてしまいます。
そこで、セキュリティ対策として有効なのがログインページのURL変更です。
サイト運営者しか使わないログインページは第三者からアクセスしにくいように隠しておくのがセキュリティ上望ましいです。
「Login rebuilder」を使えばログインページのURLを変更し、更に攻撃に使用されやすいXML-RCPアクセスも禁止できるので安心です!
Wordpressのログインページは変更されていない場合は簡単に推測できます。
そのため、ブルートフォースアタック(ID、passを変更しての総当たり)の攻撃対象になる可能性が高いです。
この記事の目次
WordPressのログインページURLを変更する方法
Wordpressの管理画面へのログインページURLは形式的で簡単に推測できます。
特に設定がされていないWordpressサイトの場合、ログインページへのURLは以下のようになります。
- ほげほげ.com/wp-login.php
- ほげほげ.com/wp-admin
どのようなサイトでもWordpressを使っているなら、初期設定ではログインページにwp-login.phpやwp-adminが使われます。
これではログインページにアクセスされ放題なので、ページのURLを自分しか分からないものに変更すればセキュリティ上効果的です。
今回紹介するプラグイン「Login rebuilder」を使用すれば、このログインページのURLを自分しか分からない任意の値に変更でき、ページ自体を隠すことでアクセスをシャットアウトすることが出来ます。
経験談
ログインページURLの変更は実際かなり効果的なようで、1日数十回とログインページにアクセスされていたのが完全に無くなりました!
主にできること
- 標準のログインページURLを変更する。
- 標準のログインページにアクセスされた際の挙動を指定する。
- ログイン時のログの保存。
- 稼働、未稼働をワンボタンで変更可。
- 著者ページへのアクセスも隠すことが出来る。
「https://サイトURL/wp-admin/」や「https://サイトURL/wp-login.php」を
「https://サイトURL/任意の文字」という形式に変更することが出来ます。
更にセキュリティ的に大事なログインページ変更と著者ページも隠すことが可能。
日本語化されており、それぞれの設定をチェックボタンで行うことができます。
Login rebuilderの使い方
前置きが長くなってしまいました。
プラグインのインストールからログインページを変更する流れです。
プラグインのインストール
プラグインは公開されているのでダッシュボードから簡単にインストールできます。
管理画面左メニュー > プラグイン > 新規追加
に進み、検索窓に「Login rebuilder」と入力しましょう。
出てきたら、今すぐインストールを押して有効化します。
なおプラグインの公式ページは以下です。
外部リンク
【Login rebuilder】
Login rebuilder – WordPress プラグイン | WordPress.org 日本語
Login rebuilderの設定方法
プラグインの各種設定は
管理画面左メニュー > 設定 > ログインページ
から行います。
インストール済みプラグインのLogin rebuilderの欄の設定からでも可能です。
Login rebuilderの設定(前半)
ここからおすすめの設定方法の例です。
一枚で写りきらなかったので、前半と後半で設定画面を説明していきます。
無効なリクエスト時の応答
Wordpress標準のログインページ(/wp-adminやwp-login.php)にアクセスした際にどのページにリダイレクトするかの設定です。
おすすめは「サイトトップへリダイレクト」です。
不正アクセスを試みにきた人達をトップページにリダイレクトすることで少しでもSEOに貢献してもらいましょう...
参考
- 403ステータス:ページを見る権限がない
- 404ステータス:ページが見つからない
ログインファイルキーワード
そのままでOKです!(覚える必要なし)
ランダムな英数字で作成されます。(画像では一応隠してます)
新しいログインファイル
初期設定ではyour-login.phpとなっており「https://○○○/your-login.php」が新しいログインページとなります。
もちろんこのままだと簡単に推測されてしまいますので、予測されにくい文字に変更しましょう!
第2ログインファイル
2つ目のファイルも設定できるようですが、使いません。
ステータス
このプラグインのON、OFFです。
設定後稼働中にしなければ意味がありませんのでお忘れなく。
注意ポイント
プラグインを停止してしまうとステータスが準備中に戻ります。
一度プラグインを停止した際は確認してください。
Login rebuilderの設定(後半)
後半の設定部分です。
ログ保存
ログインした際のIPアドレスなどのログを保存してくれます。
「しない、無効なリクエスト時のみ、ログイン時のみ、すべて」から選択可能。
好みですが、万が一ログインされた時にすぐに分かるように何かしらログは保存しておいたほうが良いかもしれません。
ログの日時の表示書式
デフォルトで十分見やすいのでそのままでOK。
著者ページへのアクセス
404ステータスにしておいた方がいいと思います。
最初に強制的に作成されるID:ユーザーID=1
任意のユーザー名をadminで作成した場合ニックネームを変更しても
http://サイトURL/?author=1
でアクセスすると
http://サイトURL/author/admin
にリダイレクトされます。
ユーザーIDは1から順番に作成されるので、容易にユーザー名がバレるということになり危険です。
つまりこの情報が見られてしまうとあとはパスワードだけ当てればログインできてしまうということになります。
oEmbed
標準でも問題ありませんが、必要なさそうなので完全に隠しました。
その他
日本語のままです。難しそうなのでデフォルトで使ってます。
以上で設定は終了です。
最後に変更を保存をクリックするのと、稼働中になっているかを確認しましょう!
XML-RCPリクエストを無効にする方法
数日前にXML-RPCを経由した無効なリクエストがありましたので、ブロックしておきました。このプラグインで対応可能です。
XML-RPCというWordpressに入っているプログラムを使用すれば遠隔でWordpressを操作することが可能です。自動投稿プログラムなどに使用されます。
ただセキュリティの貧弱性も報告されており、不正アクセスの的になりがちです。
普通にブログを運営する際は必要ないのでXML-RPCはブロックしておきましょう。
XML-RPCアクセスを禁止する方法
XML-RPCへのアクセス制御はメニュー内の「XML-RPC」から設定できます。
管理画面左メニュー > 設定 > XML-RPC
先ほど設定したログインページのすぐ下にXML-RPCというメニューがあります。
設定画面に遷移したら、一番上の「XML-RPCメソッドの認証を禁止する」のチェックボックスをONにすればブロックできます。
ステータスを稼働中にし、変更を保存して終了です。
プラグインの動作について
最後にプラグインの動作について補足です。
Login rebuilderを有効化するとログが保存され、ダッシュボードにアクセス時刻やIPアドレスなどのログが表示されます。
定期的にチェックし、不審なIP情報があればすぐに対応することが可能です。
(何度かログインしていると自分のパソコンのIPアドレスが分かると思います。)
またプラグインによって作成されるログイン用のphpファイルはWordpressのルートディレクトリに作成されていました。
ちなみにページURLを変更すると、前回作成されていたphpファイルは自動的に削除されるようです。
念のためプラグインを使用しなくなった場合はルートディレクトリに作成したログイン用のphpファイルが残っていないか確認しましょう。
プラグインの動作確認
最後に「https://サイトURL/wp-admin/」と「https://サイトURL/wp-login.php」にアクセスし、ログインページが変わっていることを確認しましょう。
この記事の例ですと新しいログインページは「https://サイトURL/your-login.php」になります。
最後に管理画面のお気に入りやブックマークのURLも変更しておきましょう。
※元からあるwp-login.phpというファイルは削除してはダメです!
このプラグインはあくまでも他のファイルを作ってそこからしかアクセスできないように設定しているだけなので、元から存在するwp-login.phpを使用しています。
まとめ
誰でもアクセスできるログインページのURLを変更し、ユーザー名がバレる可能性のある著者ページも隠しておけばWordpressのセキュリティを高めることができるでしょう。
他のセキュリティ対策としてはログイン画面にベーシック認証をかけ、2段階ログインを導入する、数回ログインに失敗したら一定時間アクセスできないようにする、ウイルス対策プラグインを導入するなどなどありますが、これはまた別の機会に。