ひとりだけの情シス部

孤独な業務の記録

WordPressのセキュリティをアップする方法。不正ログイン対策に使える『Login rebuilder』を設定しよう

WordPressは手軽に使えてとても便利なCMSです。しかしその反面、利用者数も多いことからインターネット上の様々な攻撃や脅威の対象になりやすいのも事実です。

そのうちの一つである不正ログイン対策に有効なプラグインが『Login rebuilder』です。

このプラグインを使えばログインページを変更してセキュリティをアップすることができます。大事なサイトを守るために導入しましょう!

WordPressのログインページについて

WordPressは基本的に『/wp-admin/』と『wp-login.php』のどちらかで管理画面にログインするページにアクセスすることができます。その仕様を利用すると他者のWordPressログインするページに簡単にアクセスできてしまいます。

プラグインのインストールと設定

プラグインをインストール

メインメニューから『プラグイン』→『新規追加』を開き、キーワード検索から『Login rebuilder』を検索します。

表示されたら『今すぐインストール』をクリックし、プラグインのインストールと有効化を行います。

プラグインを設定

メインメニューから『設定』→『ログインページ』を開きます。詳細ページからプラグインを設定します。

最低限以下のの設定をすれば動作します。

  • 無効なリクエスト時の応答
  • 403ステータス(閲覧禁止やアクセス拒否など)
  • 404ステータス(ページが存在しない)
  • サイトトップへリダイレクト
  • ログインファイル キーワード

新しいログインファイル

新しいログインファイル名を入力します。ランダムな文字列をファイル名に加えるなど、わかりにくくなるように工夫しましょう。

「書き込み不可」の場合、ログインファイルを作成して枠内に記載のPHPをコピペします。作成したファイルを『wp-login.php』があるディレクトリにアップロードします。

第2ログインファイル

ユーザー権限ごとにログインページを分けたい場合に利用します。通常は設定しなくても大丈夫です。

ステータス

プラグインを有効にしたい場合は『稼働中』に設定しましょう。

ログ保存

ログを保存する場合は用途にあった項目をチェックします。

その他

その他の詳細設定に関しては作者様のページを御覧ください。

動作を確認しよう

設定が完了したらしっかりと動作確認をしておきましょう。紹介した設定例の場合だと以下の2点が問題なければ設定完了です。

https://○○○○○.○○/login_60964879.php にアクセスして、

  • ログインページが表示される
  • 旧ログインページ(wp-login.php)にアクセスした時サイトトップにリダイレクトされる

上記が確認できればOKです。