WordPressログインページを変更するプラグイン「Login rebuilder」のインストール・設定・使い方を紹介
WordPressログインページを変更するプラグイン「Login rebuilder」で不正ログインを防ごう!
WordPressのログインページのURLを変更する方法を紹介します。「LoginRebuilder」というプラグインをインストールして設定するだけで簡単にWordPressサイトのログインページURLを変更することができます。WordPressのサイトを運営しているけどログイン画面のURLを変更していないという人は参考にしてみてください。
- 目次 -
ログインページの変更が必要なのはなぜ?
WordPressはデフォルトではログインページのURLが決まっています。そのため、悪意ある第3者は簡単にログインページに辿り着き、ログイン試行を行うことが出来てしまいます。そのためWordPressのサイトは、攻撃のターゲットになっているケースが多いです。
攻撃の多くはシステムによる自動プログラムを介した攻撃となるので、対策を入れないかぎり、永遠に攻撃され続けてしまいます。
攻撃が成功してログインされてしまうと、サイトの改ざんや個人情報流出に繋がるので対策は極めて重要です。そこで今回紹介するプラグイン「Login rebuilder」が役立ちます。デフォルトのログインページURLを変更したり、システムによる自動攻撃を防いでくれます。
なお先に、以下のようなログイン試行を制限するプラグインの導入も忘れないでおきましょう。
簡単らくらく!WordPressセキュリティ対策プラグイン「Loginizer」で管理画面を不正ログインや乗っ取りから防ぐ【ブルートフォース攻撃予防】
※Loginizerは今回紹介するLogin rebuilderと並行して利用することができました(2019年5月現在)
Login rebuilderで出来ること
Login rebuilderでは、WordPressのログインセキュリティの甘さへの対策ができます。具体的には以下2点の機能で対策を行います。
WordPressのログインページのURLを変更する
上述のとおり、WordPressで作られたサイトは初期状態のままだとログインページURLが推測されてしまいログインページにアクセスされてしまいます。
Login rebuilderではログインページのURLを変更することで、ログインページを隠すことができます。
xmlrpc.phpの利用を制限する
悪意ある第3者からのWordPressのログイン試行は、システムによる自動攻撃が多いです。その際にWordPressが標準装備しているxmlrpc.phpというファイルを利用して攻撃してきます。このxmlrpc.phpを不正利用されないようにアクセス制限をかけることができます。
なおxmlrpc.phpを知らない人は以下の記事を参考にしてください。
Login rebuilderのインストール
実際にLogin rebuilderをインストールしてみましょう。
1.WordPressサイトの管理画面にログイン後、サイドメニューからプラグイン->新規追加にアクセスする。
2.「プラグインを追加」の画面にてキーワードに「Login rebuilder」と入力し検索後、対象プラグインの「今すぐインストール」を押下する。
3.インストール完了後は有効化にボタンが変化するのでを「有効化」を押下する。
以上で、Login rebuilderのインストールと有効化が完了しました。
WordPressのログインページを変更する
1.WordPress管理画面のサイドメニューの設定項目に、「ログインページ」という項目が追加されているのでクリックすることで設定画面にアクセスします。
・設定 -> ログインページ
2.Login rebuilderの設定画面にアクセスをした後は、設定項目が一覧で表示されているので、好みにあわせて設定していきます。
なお設定画面に表示されている、
- ログインファイルキーワード(下図赤枠)
- 新しいログインファイル(下図赤枠)
は悪意ある第3者に知られないようにしましょう。知られてしまうと不正ログインに利用されてしまう可能性があります。
※上記は例ですので、私が実際に利用している設定ではございません。公開すべきものではないので注意してください。
新しいログインファイル名がそのまま新しいログインページURLになるので、推測されないようなログインファイル名を設定してください。
新しいログインページのURL
- https://あなたのサイトURL/新しいログインファイル名
その他、以下を設定し「変更を保存」をクリックして完了です。
なお今回設定を変更した項目は以下です。
ステータス
- 稼働中
稼働中を選択することで機能が有効になります。また、準備中にすると設定を残したまま機能を無効にすることができます。
稼働中を選択しないと機能が利用できないので必ず「稼働中」を選択しましょう。
著者ページへのアクセス
- 404ステータス
著者ページを使っていないのであれば404ステータスを選択しておきます。
WordPressでは記事ごとに著者情報が保存されます。複数の投稿者がいるサイトでは著者ページを利用すると、特定の著者の記事一覧を閲覧することができて便利です。
しかしながら、著者ページは対象著者のログインIDがばれてしまうというデメリットがあり、ログイン攻撃を助長してしまう恐れがあります。
そのためセキュリティの観点では著者ページを利用しないほうが良いと考えられています。「404ステータス」を選択しておき、著者ページは利用できないようにしてログインIDの流出を防ぎましょう。
古いログインページと新しいログインページの表示確認
設定が完了した後は、実際にログインページが変更したことを確認してみましょう。
新しいログインページにアクセス
以下のようにログインページが開くことを確認します。
古いログインページにアクセス
古いログインページにアクセスしてみてが開かないようになっていることを確認します。
以上でログインページの変更が完了しました。
xmlrpc.phpの利用を制限する
Login rebuilderのもう一つの機能としてxmlrpc.phpのアクセス制限を行う機能があります。
xmlrpc.phpを知らない人は以下の記事を参考にしてください。
Login rebuilderでxmlrpc.phpのアクセスを制限してみます。なお上記の記事で紹介していますが、xmlrpc.phpのアクセスを制限した場合、xmlrpc.phpを利用するアプリや他システム、プラグインなどの機能が利用できなくなる可能性もあるので注意してください。詳しくは上記記事を確認してください。
1.WordPress管理画面のサイドメニューの設定項目に、「XML-RPC」という項目が追加されているのでクリックすることで設定画面にアクセスします。
・設定 -> XML-RPC
2.XML-RPCの設定画面にアクセスをした後は、設定項目が一覧で表示されているので、好みにあわせて設定していきます。
といっても、基本設定の「XML-RPCメソッドの認証を禁止する」にチェックして、ステータスを稼働中に設定するだけです。(上図赤枠)
最後に「変更を保存」をクリックして設定完了です。
WordPressの不正ログインに注意しよう
WordPressの管理画面は初期状態ではセキュリティ対策が行われていない(2019/5現在時点)ので心配ですよね。
今回紹介したプラグイン「Login rebuilder」を導入し、WordPressのログインページを変更するなど不正ログインの攻撃に備えるようにしましょう。
不正ログインにはLoginizerのプラグインもおすすめ!
WordPressのサイトを運用するなら、以下のWordPressプラグイン「Loginizer」をサッと導入してセキュリティ対策をするのもおすすめです。インストールして有効化するだけで機能する簡単便利なプラグインです。
簡単らくらく!WordPressセキュリティ対策プラグイン「Loginizer」で管理画面を不正ログインや乗っ取りから防ぐ【ブルートフォース攻撃予防】
関連記事
