WordPressのログインページって実は誰でも入れちゃうんですよ。
ログインページに入れるということは、アクセスを試みることができるということで、それは不正アクセスされてしまう危険をがあるかもということ。
もちろんそう簡単に突破されることもないでしょうが、念には念を入れたいところです。もしハッキングされてサイトを乗っ取られたら資産を失うことと同義ですから。
というわけで簡単に不正アクセスを防止できるLogin rebuilderの使い方を紹介していきますね。
Login rebuilderとは
使い方の前に簡単な説明を。
Login rebuilderはWordPressのログインページを変更することができるプラグインです。
WordPressのログインページはデフォルトの場合、
で固定です。
このログインURLを変更することでそもそもサイト管理画面にアクセスしようとする不届き者をブロックしちゃおうというプラグインであります。
Login rebuilderの使い方解説
- STEP1【プラグイン】→【新規追加】を選択
サイドバーにあるプラグインから新規追加をクリックします。
- STEP2Login rebuilderをインストール
インストール画面にて
- 右上にある入力欄に『Login rebuilder』と入力
- 表示されたLogin rebuilderを今すぐインストール
します。
- STEP3【設定】→【ログインページ】を選択
サイドバーから【設定】→【ログインページ】をクリックします。
- STEP4ログインページの設定をする
設定画面にて
- サイトトップへリダイレクトにチェック
- 新しいログインファイルにログインURLを入力
- ステータスを稼働中に設定
して、保存すればログインページが変更されます。(トップページにリダイレクトするのはエラー吐くよりSEO的に良さそうなので、不正アクセス者を利用するスタイル)
ちなみにログインページで設定できる項目の意味は開発者様のページにて確認可能です。
設定したログインURLは絶対忘れないように注意
もしもここで設定したログインURLを忘れてしまった場合、当たり前ですがログインできなくなります。
セキュリティアップのためにやった行為で、自分がアクセスできなくなったのでは本末転倒ですから注意してください。
一応FTPソフトを使ったらログインURLを設定しなおすこともできますが、面倒だと思いますので人目のつかないところにメモするなりして対策しておきましょう。
▼忘れてしまった時の対処方法の参考にお勧めなページ▼
Login rebuilderは逆に危険?脆弱性の話
GoogleでLogin rebuilderについて調べてみると、”脆弱性”というワードが目に入るかもしれません。
京都大学情報環境機構のページを確認すると、
WordPress.org はログインページを独自の名前のページ変更し,標準のログインページ wp-login.phpを使用できないようにするプラグイン「Login rebuilder」のクロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性に対処するため,Login rebuilder 1.2.3 をリリースしました.この脆弱性により,ユーザが,ログインした状態で細工されたページにアクセスした場合,意図しない操作をさせられる可能性があります
との内容があります。
2014年の話で、今は問題ありません
脆弱性がある。
みたいな話を聞くとLogin rebuilderを使うのは怖くなりますが、あくまで昔の話。現在のバージョンではその脆弱性も修正されています。
過去一度でも問題を起こしていると少々使うが怖いような気もしますが、私が使っている限り問題は起きていませんし、調べた限りではトラブルに巻き込まれたという話も聞きません。
セキュリティアップに興味があるなら使ってみてもよろしいかと思います。
コメント