WordPressのログインページURLを変更するセキュリティ対策プラグインLogin rebuilderの設定方法。

2020-08-07
Wordpress

Login-rebuilder_eyecatch

WordPressプラグイン「Login rebuilder」の使い方をまとめました。

WordPressの管理画面には「ユーザー名orメールアドレス」と「パスワード」の2つが合えば誰でもログインできてしまいます。

そこで、セキュリティー対策として有効なのがログインページのURL変更です。
サイト運営者しか使わないログインページは第三者からアクセスしにくいように隠しておくのがセキュリティー上望ましいです。

「Login rebuilder」を使えばログインページのURLを変更し、更に攻撃に使用されやすいXML-RCPアクセスも禁止できるので安心です!

WordPressのログインページは変更されていない場合は簡単に推測できます。
そのため、ブルートフォースアタック(ID、passを変更しての総当たり)の攻撃対象になる可能性が高いです。

WordPressのログインページURLを変更する方法

WordPressの管理画面へのログインページURLは形式的で簡単に推測できます。

特に設定がされていないWordpressサイトの場合、ログインページへのURLは以下のようになります。

  • ほげほげ.com/wp-login.php
  • ほげほげ.com/wp-admin
Login-rebuilderの使い方1

WordPressのログインページは簡単に見つけられる

どのようなサイトでもWordpressを使っているなら、初期設定ではログインページにwp-login.phpやwp-adminが使われます。

これではログインページにアクセスされ放題なので、ページのURLを自分しか分からないものに変更すればセキュリティー上効果的です。

今回紹介するプラグイン「Login rebuilder」を使用すれば、このログインページのURLを自分しか分からない任意の値に変更でき、ページ自体を隠すことでアクセスをシャットアウトすることが出来ます。

経験談

ログインページURLの変更は実際かなり効果的なようで、1日数十回とログインページにアクセスされていたのが完全に無くなりました!

主にできること

  • 標準のログインページURLを変更する。
  • 標準のログインページにアクセスされた際の挙動を指定する。
  • ログイン時のログの保存。
  • 稼働、未稼働をワンボタンで変更可。
  • 著者ページへのアクセスも隠すことが出来る。

「https://サイトURL/wp-admin/」や「https://サイトURL/wp-login.php」を
「https://サイトURL/任意の文字」という形式に変更することが出来ます。

更にセキュリティー的に大事なログインページ変更と著者ページも隠すことが可能。

日本語化されており、それぞれの設定をチェックボタンで行うことができます。

Login rebuilderの使い方

前置きが長くなってしまいました。
プラグインのインストールからログインページを変更する流れです。

プラグインのインストール

プラグインは公開されているのでダッシュボードから簡単にインストールできます。

Login-rebuilderのインストール1

Login rebuilderのインストール

管理画面左メニュー > プラグイン > 新規追加

に進み、検索窓に「Login rebuilder」と入力しましょう。
出てきたら、今すぐインストールを押して有効化します。

なおプラグインの公式ページは以下です。

Login rebuilderの設定方法

プラグインの各種設定は

管理画面左メニュー > 設定 > ログインページ

から行います。

Login-rebuilderの設定方法1

管理画面左メニュー>設定>ログインページ

インストール済みプラグインのLogin rebuilderの欄の設定からでも可能です。

Login rebuilderの設定(前半)

ここからおすすめの設定方法の例です。

Login-rebuilderの設定方法2

Login rebuilderの設定(前半)

一枚で写りきらなかったので、前半と後半で設定画面を説明していきます。

無効なリクエスト時の応答

WordPress標準のログインページ(/wp-adminやwp-login.php)にアクセスした際にどのページにリダイレクトするかの設定です。
おすすめは「サイトトップへリダイレクト」です。
不正アクセスを試みにきた人達をトップページにリダイレクトすることで少しでもSEOに貢献してもらいましょう...

参考

  • 403ステータス:ページを見る権限がない
  • 404ステータス:ページが見つからない

ログインファイルキーワード

そのままでOKです!(覚える必要なし)
ランダムな英数字で作成されます。(画像では一応隠してます)

新しいログインファイル

初期設定ではyour-login.phpとなっており「https://○○○/your-login.php」が新しいログインページとなります。
もちろんこのままだと簡単に推測されてしまいますので、予測されにくい文字に変更しましょう!

第2ログインファイル

2つ目のファイルも設定できるようですが、使いません。

ステータス

このプラグインのON、OFFです。
設定後稼働中にしなければ意味がありませんのでお忘れなく。

プラグインを停止してしまうとステータスが準備中に戻ります。
一度プラグインを停止した際は確認してください。
特に不具合などで全プラグインを停止した後に再度有効化した場合。OFFになっています。

Login rebuilderの設定(後半)

Login-rebuilderの設定方法3

Login rebuilderの設定(後半)

後半の設定部分です。

ログ保存

ログインした際のIPアドレスなどのログを保存してくれます。
「しない、無効なリクエスト時のみ、ログイン時のみ、すべて」から選択可能。
好みですが、万が一ログインされた時にすぐに分かるように何かしらログは保存しておいたほうが良いかもしれません。

ログの日時の表示書式

デフォルトで十分見やすいのでそのままでOK。

著者ページへのアクセス

404ステータスにしておいた方がいいと思います。
最初に強制的に作成されるID:ユーザーID=1
任意のユーザー名をadminで作成した場合ニックネームを変更しても
http://サイトURL/?author=1でアクセスすると
http://サイトURL/author/adminにリダイレクトされます。
ユーザーIDは1から順番に作成されるので、容易にユーザー名がバレるということになり危険です。
つまりこの情報が見られてしまうとあとはパスワードだけ当てればログインできてしまうということになります。

oEmbed

標準でも問題ありませんが、必要なさそうなので完全に隠しました。

その他

日本語のままです。難しそうなのでデフォルトで使ってます。

以上で設定は終了です。
最後に変更を保存をクリックするのと、稼働中になっているかを確認しましょう!

XML-RCPリクエストを無効にする方法

数日前にXML-RPCを経由した無効なリクエストがありましたので、ブロックしておきました。このプラグインで対応可能です。

Login-rebuilderの設定方法4

XML-RPCのリクエストログはダッシュボードで確認可能

XML-RPCというWordpressに入っているプログラムを使用すれば遠隔でWordpressを操作することが可能です。自動投稿プログラムなどに使用されます。

ただセキュリティーの貧弱性も報告されており、不正アクセスの的になりがちです。
普通にブログを運営する際は必要ないのでXML-RPCはブロックしておきましょう。

XML-RPCアクセスを禁止する方法

XML-RPCへのアクセス制御はメニュー内の「XML-RPC」から設定できます。

管理画面左メニュー > 設定 > XML-RPC
Login-rebuilderの設定方法5

管理画面左メニュー>設定>XML-RPC

先ほど設定したログインページのすぐ下にXML-RPCというメニューがあります。

Login-rebuilderの設定方法6

XML-RPCメソッドの認証を禁止する

設定画面に遷移したら、一番上の「XML-RPCメソッドの認証を禁止する」のチェックボックスをONにすればブロックできます。

ステータスを稼働中にし、変更を保存して終了です。

プラグインの動作について

最後にプラグインの動作について補足です。

Login-rebuilderの設定方法7

ログはダッシュボードに表示される

Login rebuilderを有効化するとログが保存され、ダッシュボードにアクセス時刻やIPアドレスなどのログが表示されます。

定期的にチェックし、不審なIP情報があればすぐに対応することが可能です。
(何度かログインしていると自分のパソコンのIPアドレスが分かると思います。)

Login-rebuilderの設定方法8

ログイン用のファイルはWordpressのルートに作成される

またプラグインによって作成されるログイン用のphpファイルはWordpressのルートディレクトリに作成されていました。

ちなみにページURLを変更すると、前回作成されていたphpファイルは自動的に削除されるようです。
念のためプラグインを使用しなくなった場合はルートディレクトリに作成したログイン用のphpファイルが残っていないか確認しましょう。

プラグインの動作確認

最後に「https://サイトURL/wp-admin/」と「https://サイトURL/wp-login.php」にアクセスし、ログインページが変わっていることを確認しましょう。

この記事の例ですと新しいログインページは「https://サイトURL/your-login.php」になります。

最後に管理画面のお気に入りやブックマークのURLも変更しておきましょう。

※元からあるwp-login.phpというファイルは削除してはダメです!
このプラグインはあくまでも他のファイルを作ってそこからしかアクセスできないように設定しているだけなので、元から存在するwp-login.phpを使用しています。

まとめ

誰でもアクセスできるログインページのURLを変更し、ユーザー名がバレる可能性のある著者ページも隠しておけばWordpressのセキュリティーを高めることができるでしょう。

他のセキュリティー対策としてはログイン画面にベーシック認証をかけ、2段階ログインを導入する、数回ログインに失敗したら一定時間アクセスできないようにする、ウイルス対策プラグインを導入するなどなどありますが、これはまた別の機会に。

-Wordpress
-,

ありがとうございました。
良かったらシェアしてネ・w・

© 2022 ソロ学