月60万円以上稼いだVODアフィリエイトの戦略を無料公開しました

不正アクセスを簡単防止。Login rebuilderの使い方

WordPress

WordPressのログインページって実は誰でも入れちゃうんですよ。

ログインページに入れるということは、アクセスを試みることができるということで、それは不正アクセスされてしまう危険をがあるかもということ。

もちろんそう簡単に突破されることもないでしょうが、念には念を入れたいところです。もしハッキングされてサイトを乗っ取られたら資産を失うことと同義ですから。

というわけで簡単に不正アクセスを防止できるLogin rebuilderの使い方を紹介していきますね。

Login rebuilderとは

使い方の前に簡単な説明を。

Login rebuilderはWordPressのログインページを変更することができるプラグインです。

WordPressのログインページはデフォルトの場合、

URL/wp-admin

で固定です。

このログインURLを変更することでそもそもサイト管理画面にアクセスしようとする不届き者をブロックしちゃおうというプラグインであります。

Login rebuilderの使い方解説

  • STEP1
    【プラグイン】→【新規追加】を選択

    サイドバーにあるプラグインから新規追加をクリックします。

  • STEP2
    Login rebuilderをインストール

    インストール画面にて

    1. 右上にある入力欄に『Login rebuilder』と入力
    2. 表示されたLogin rebuilderを今すぐインストール

    します。

  • STEP3
    【設定】→【ログインページ】を選択

    サイドバーから【設定】→【ログインページ】をクリックします。

  • STEP4
    ログインページの設定をする

    設定画面にて

    • サイトトップへリダイレクトにチェック
    • 新しいログインファイルにログインURLを入力
    • ステータスを稼働中に設定

    して、保存すればログインページが変更されます。(トップページにリダイレクトするのはエラー吐くよりSEO的に良さそうなので、不正アクセス者を利用するスタイル)

    ログインファイルに.phpを入れ忘れると、ログインができなくなるようです。FTPを使って再設定するハメになるので注意してください。

ちなみにログインページで設定できる項目の意味は開発者様のページにて確認可能です。

Login rebuilder:プラグイン作ってみました
昨年投稿した「ログインページを変える」をプラグイン化。ログインページを独自の名前のページ変更し、標準のログインページwp-login.phpを使用できないようにするプラグインです。部外者によるwp-login.phpのアクセスにお悩みの方にお勧めします。また2.0.0では「XML-RPCリクエストの管理機能」を追加。2...

設定したログインURLは絶対忘れないように注意

もしもここで設定したログインURLを忘れてしまった場合、当たり前ですがログインできなくなります。

セキュリティアップのためにやった行為で、自分がアクセスできなくなったのでは本末転倒ですから注意してください。

一応FTPソフトを使ったらログインURLを設定しなおすこともできますが、面倒だと思いますので人目のつかないところにメモするなりして対策しておきましょう。

▼忘れてしまった時の対処方法の参考にお勧めなページ▼

https://skcnat.info/login-rebuilder-error/

Login rebuilderは逆に危険?脆弱性の話

GoogleでLogin rebuilderについて調べてみると、”脆弱性”というワードが目に入るかもしれません。

WordPress のプラグイン Login rebuilder に脆弱性 | セキュリティ情報 | 京都大学情報環境機構
■概要  WordPress.org はログインページを独自の名前のページ変更し,標準のログインページ wp-login.php

京都大学情報環境機構のページを確認すると、

WordPress.org はログインページを独自の名前のページ変更し,標準のログインページ wp-login.phpを使用できないようにするプラグイン「Login rebuilder」のクロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性に対処するため,Login rebuilder 1.2.3 をリリースしました.この脆弱性により,ユーザが,ログインした状態で細工されたページにアクセスした場合,意図しない操作をさせられる可能性があります

との内容があります。

2014年の話で、今は問題ありません

脆弱性がある。

みたいな話を聞くとLogin rebuilderを使うのは怖くなりますが、あくまで昔の話。現在のバージョンではその脆弱性も修正されています。

過去一度でも問題を起こしていると少々使うが怖いような気もしますが、私が使っている限り問題は起きていませんし、調べた限りではトラブルに巻き込まれたという話も聞きません。

セキュリティアップに興味があるなら使ってみてもよろしいかと思います。

関連記事:スパム撃退。Contact Form 7にreCAPTCHA v3を導入する方法

コメント

タイトルとURLをコピーしました