WordPressのログイン画面が危ない!
ワードプレスのログイン画面って、すごい簡単なURLになっているんです。
ドメイン+決まった文字列。
「あれ…?もしかして他の人もここにアクセスできる?」
と思ったことはありませんか?
結論から言うと、誰でも不正アクセスができます。
しかし安心してください。
ワードプレスのプラグインの中には、不正ログイン対策を無料で簡単にできるものがあります。
そんなことを伝えたくて、今回の記事を書こうと思いました。
- これからWordPress設置を考えている方。
- 一手間でセキュリティを強化したい方。
これ系の対策を入れていない人はやったほうが良いです。
現に入れてない企業のオウンドメディアとか、ゴマンとあるので。
悪い人に見つかったら一発でアウトです。
ワードプレスのログインでは下記の要素が必要になります。
- ログイン用URL
- ログインID
- IDに紐づくパスワード
今回紹介しているのは赤色を付けたログイン用URLですが、下記にログインIDを他人から見えなくする方法も紹介しています。
両方を使ってセキュリティを強化し、ブログを守りましょう!
合わせて読みたい
セキュリティ ワードプレスIDに関して Edit Author Slugの使い方【図解】
WPへのWEB移管 大文字入りURLを正常化と個別リダイレクトするプラグイン
Login rebuilderでワードプレス画面の設定
WordPressはログイン画面を変更すれば侵入され辛い
管理画面の入り口が誰でもわかってしまう問題を解消しましょう。
WordPressの管理画面って、[ドメイン名+wp-login.php/] から入りますよね?
試しにリンクを一応貼っておきましたので、うちのサイトのこの画面に入ろうとしてみて下さい。
見事に拒否られます。
うちのサイトの場合、拒否られた後はTOPページに飛ぶはずです(※後述)。
この時点での要点は
WordPressのログイン画面へのアクセスURLが秘匿できていない
ということなんです。
ワードプレスは基本的に管理画面(ダッシュボード)から管理をしますがその時の入り口が、上で示した様に誰でも容易にたどり着けてしまう構造が問題なのです。
基本の入り口が一カ所しかないのでそこさえ塞げば侵入できない
上で記述したように、ワードプレスの場合管理画面に入る入り口が、指定のカ所しか存在しない為ここが問題になってきます。。
その穴を塞ぐことさえできれば、盗人・荒らしに侵入されることが無いことを表しています。
で、あるならば、入り口事態を封鎖しわからなくしてしまえばいいのです。
玄関だと思って侵入したら、実は玄関にたどり着くことすらできなかった。
侵入に少しでも手間のかかるものに、わざわざ意味の無い執着をする荒らしなど居ないのです。
ログイン画面を超簡単に変更するプラグインの紹介と使用方法
プラグインの紹介
僕がオススメするプラグインは【Login rebuilder】です。
利点は以下の通りです。
・他のセキュリティプラグインと違って範囲が狭い分、競合での邪魔が発生しづらい
・端末を変えても問題なくログインできる
・ブラウザ側のアンチソフトとも無関係
・無料である
・日本語に対応している
簡単に言うと「余計な機能が無い!」です。
分かりやすいですね。
Login rebuilderをインストールする
まずプラグインのインストール画面まで行きましょう。
ダッシュボード左側の【プラグイン】の項目から【新規追加】をクリックします。
右側に検索窓が出ている筈なので、【Login rebuilder】と打ち込んで検索してみましょう。
これが件のプラグインです。
なんだかアイコンがとっても怪しいですが、関係ありません。
使いやすさは抜群です。
早速インストールを押して有効化してみましょう。
Login rebuilderの設定を変更する
プラグインがインストールされたら設定をしましょう。
プラグイン本体の右端に設定画面が出て居ます。
もしくはダッシュボードの【設定】から【ログインページ】という項目を踏んでも、同じ画面に飛ぶことができます。
こちらが管理画面の上の方です。
無効なリクエスト時の応答
こちらの設定は図の通り3番目で問題ありません。
悪意を持って侵入してきた人物を、TOPページにご案内して
PVを稼いでもらいましょう。
新しいログインファイル
新しいログインURLの設定がこちらです。
例えば【login_space.php】とすると
ログイン用URLが【ドメイン名+ login_space.php 】にさし変わります。
この文字列は任意なので、複雑にすればするほど強固になります。
ぶっちゃけどんなURLに変更してもイイです。
この項目の【URL】という部分に、新しいログインURLがしっかりと表記される為、そちらもCtrl+Cでコピーしておきましょう。
状況を反映し稼働させる
最後に、【ステータス】の項目の【稼働中】のラジオボタンにチェックを入れて、左下の保存で状況を保存します。
この流れで、一旦設定完了となります。
ログ保存などはお好みで設定してください。
ログインを試してみる 設定中・設定後の注意点など
稼働中の設定をすぐに戻せるように、ブラウザのタブを複数開いて置きます。
片方は設定内のいじるページを、もう片方は、新しく設定したログイン用アドレスから一度繋げるか実験してみる。
といった準備が念のため必要です
狙い通り新しいログインアドレスから入れるようになればOK。
ダメならば念のため開いておいたもう一つのタブで、一度設定を【稼働中】から【準備中】に戻しましょう。
ログインの実行
実は赤く囲った入り口からはログインできなくなっている事があるんです。
そうなった場合は、緑で囲った方のテキストリンクからログインしてみましょう。
ログイン用のIDとパスワードは、このプラグインでは変更されていない為、今までの物を使用できます。
その他
この一連の操作で、FTPにファイルが生成されているんです。
ログイン先の記述ファイルの様なものです。
このファイル名から、入り口のURLを確認できますので、困ったらFTPソフトで開いて見てみましょう。
このワードプレスがインストールされているフォルダの何処かに、新しいphpで生成されています。
先程の例で考えると【 login_space.php 】というそのままのファイル名です。
というわけでログイン画面URLの変更の仕方をお送りしました。
WordPressはこうした便利なプラグインが数多く存在しますが
その中には使いやすい物使いにくいものがいくつもあります。
自分に合ったカスタマイズをして、サイトを守っていきましょう。
合わせて読みたい WordPressのドメインを充て直して 操作できない404症状を治す記事
コメント