世界中の人々に利用されているワードプレスですが、Windows と同様にユーザー数が増えると決まって現れるのがウイルスやハッキングです。
自分の大切なサイトを悪意のある攻撃から守るために、ガードを強固な状態にしておきましょう。
ワードプレスのセキュリティを向上してくれるプラグイン『Login rebuilder』を利用すれば、手軽にサイトの安全性を高めることができます。
目次
『Login rebuilder』の設定方法とカスタマイズ
『Login rebuilder』の大きな特徴は、ログイン画面やアカウント情報の漏えいにつながるページのURLを、変更したりアクセス制限をかけることができる点です。
複雑な ID とパスワードの組み合わせや、認証回数を増やすといった方法ではなく、物理的に従来の入口を閉鎖して秘密の場所に移すといったものです。
『Login rebuilder』の設定で重要な部分
設定は個々のサイト運営スタイルによる部分もありますが、必須の設定項目を解説します。
新しいログインファイル
ワードプレスサイトのログインURL自体を変更してしまう設定です。
通常、ワードプレスサイトのログインURL は、下記のいずれかです。
- https://sample.com/wp-admin/
- https://sample.com/wp-login.php
ワードプレスで運営されているサイトは、基本的にすべて赤文字の部分がデフォルトでは共通となっているため、ハッキングする側にとっては「入口がある場所」はわかっている状態となっています。
一時期、深刻な問題となっていたブルートフォースアタック(総当たり攻撃)と呼ばれるハッキングの手口も、ハッカーがこのログインするための入口を把握しているという状態が少なからず関係しています。
ちなみに、2013年頃はサーバー会社から頻繁に不正ログインに関する注意喚起のメールが送られてきていました。
話が少しそれましたが、新しいログインファイルの項目に例えば以下のように記述するとします。
すると、以下のURL を入力しない限りログイン画面に到達できなくなります。
つづいて、ログインID の漏えいを防ぐ設定です。
著者ページへのアクセス
ワードプレスのサイトは、適正なページへ自動的にリダイレクトする機能を持っています。
これはありがたい部分がある反面、リスクとなる部分も内包しています。
ここでは下記の赤文字の部分がポイントとなります。
ワードプレスサイトのデフォルト設定では、上記のような URL を入力すると、以下の URL にリダイレクトされます。
お分かりでしょうか?
誰でも簡単にログインID は簡単に知ることができるのです。
本来であれば、ログインID とパスワードの掛け合わせでセキュリティを担保しているはずが、第三者に ID情報はすぐに閲覧できる状態がデフォルトなのです。
そこで、著者ページへのアクセスを404ステータスに変更することで、このリダイレクトを停止して 404 not found ページを表示させることができるようになります。
ステータス
ひと通り設定が完了したら、ステータスを稼働中に変更して設定を保存して、一度ワードプレスからログアウトします。
そして、従来のログインページにアクセスできなくなっていることを確認してから、新たに作成したログインURL にアクセスしてログインします。
- もう一度『Login rebuilder』の設定画面を開き、ステータスが稼働中に変更されているかを確認してください。
準備中のままになっていると何かがうまく動作していません。 - キャッシュ系プラグインを使用している場合は、『Login rebuilder』の設定を変更したらキャッシュをクリアする必要があります。
その他の『Login rebuilder』の設定やカスタマイズについては、プラグイン開発者様の公式サイトから確認することができます。
『Login rebuilder』のログインURL を忘れた場合
セキュリティ向上のためにログインURL を変更したものの忘れてしまった場合は、FTP サーバーでワードプレスがインストールされているフォルダの一番上の階層に、新しいログインファイルで設定した名前の phpファイルが確認できるはずです。
