【WordPress】プラグイン「Login rebuilder」 | ログインURLを変更してセキュリティアップしよう
2017/09/23
WordPressは世界中で人気のあるCMSで多く活用されています。
それゆえに内部構造を知っている人も多く、攻撃の対象になりやすいのです。
今回はログインアタック対策に有効なプラグイン「Login rebuilder」を紹介します。
スポンサーリンク
目次
ログインアタックとは?
Jetpackを入れてプロテクトにしておくとこのようにブロック数を教えてくれます。
Jetpackを入れているのですが、前からこの数字が気になっていました。
Jetpackはクラウドを使って数千万のWordPressサイトを活用し、悪意のあるIPアドレスを識別・ブロックしてくれ、短時間に特定のIPアドレスがログインを試みて何度も失敗するとログインがブロックされるようになっています。
WordpressのログインURLはインストールした後に何もしない限り「http://ドメイン/wp-login.php」または「http://ドメイン/wp-admin」で簡単に表示させてしまうことができます。
攻撃したい人はこのログイン画面を表示させログインしようとします。これがログインアタックです。
ログインされたらどうなるか?
内容を改ざんされたり、悪用されたり、パスワードなどを変更されてログインできなくなるなど非常事態になり、サイト閉鎖まで追い込まれます。
「うちのWEBは大丈夫、URLもインストール先も複雑だから~」
なんてことは通用せず、HTMLを読む知識があればログインURLはソースを見れば簡単に分かってしまいます。
スポンサーリンク
プラグイン「Login rebuilder」でログイン画面を変えてしまおう
「Login rebuilder」はWordpressのログインファイルである「wp-login.php」を任意のファイル名に変えてくれるプラグインです。
ファイル名を分かりづらい長いファイル名にしてしまえば推測されづらくなり、wp-login.phpにアクセスしようとするとエラーを出してくれたりします。
「Login rebuilder」のインストールと設定方法
インストール
WordPressの
プラグイン→新規追加→プラグインの検索窓にLogin rebuilderと入力して表示させてインストール→有効化
又は
https://wordpress.org/plugins/login-rebuilder/からダウンロードしてインストールする。
設定方法
Login rebuilderを有効化すると、管理画面の「設定」の中に「ログインページ」が出現するのでここから行います。
①無効なリクエスト時の応答
ここでは従来のログイン画面にアクセスがあったときの挙動を設定します。
- 403ステータス→「アクセス制限」
- 404ステータス→「ページが存在しない」
- サイトトップへリダイレクト→TOPページにリダイレクトされる
リダイレクトはサーバーに負荷がかかるので403をお勧めします。
②新しいログインファイル名を作成する
「新しいログインファイル」の「your-login.php」を推測されづらいファイル名に変更する。
「login-ksjviosdgjsipdkfsopfjaiojsdlkc.php」とかね。
このファイル名がログインURLの一部になります。
変更したら、「変更を保存」を押します。
以下、例としてファイル名はlogin-ksjviosdgjsipdkfsopfjaiojsdlkc.phpで説明します。
②アップロードするファイルを作成する
赤枠の部分をコピペして、テキストエディタなどに張り付け、文字コードセットはUTF-8、ファイル名はlogin-ksjviosdgjsipdkfsopfjaiojsdlkc.phpで保存する。
FTPソフトなどでファイルがアップロード先のパスにアップロードする。
③ログインURLにアクセスしてみる
見事にログイン画面が出ればOK!
④ステータスを稼働中にする
稼働中に変更して保存をすれば設定終了。
⑤従来のログインURLにアクセスしてみると・・・
無事に403エラーを出してくれました。
URL変更後にログインURLを忘れてしまった時・・・
FTPソフトでアップロードフォルダを開いてファイル名を確認すればよろしいかと!