Login rebuilderでセキュリティ対策!完全設定マニュアル

2019年7月8日

Pocket

login-rebuilder設定マニュアル

WordPressでブログやサイトを運営しているのに、セキュリティが疎かになっていませんか?

たとえば、あななたのサイトはWordPressにログインしていない状態で「ドメイン名/wp-admin/」や「ドメイン名/wp-login.php」にアクセスしたらどうなりますか?

このサイトで言えば、「https://kx3.info/wp-admin/」「https://kx3.info/wp-login.php」ですね。

もし、WordPressのログイン画面が表示されるならセキュリティ的にそれはまずい状態です。

ログイン画面

ログイン画面がバレていると機械的なスパム攻撃を受けやすく、サイトが乗っ取られてしまうかもしれません。

さらに著者ページを表示する「ドメイン名/?author=1」まで有効になっている場合、ログインIDまでバレてしまい、いつサイトがハッキングされてもおかしくありません。

そうならないために、WordPressのセキュリティを高めてくれるプラグインの導入が急務です。

それに最適なのが「Login rebuilder」です。

この記事では「Login rebuilder」とはどんなプラグインなのか?設定の仕方は?といった「Login rebuilder」に関する基本的な情報と設定方法を紹介しています。

koka

koka

あなたものこの記事を参考にサイトのセキュリティを高めましょう。


Login rebuilderとは?

Login rebuilderは簡単に言うと、ログインページのアドレスを変更する無料のプラグインです。

簡単な設定でログインページを自分の好きなアドレスに変更することができます。

つまり、アドレスを知らない人はそもそも簡単にログインページに入れなくなるわけです。

侵入できないイラスト

その他の機能

他にもLogin rebuilderには以下のような便利な機能があります。

  • 著者ページへのアクセス(Author=1)を無効化
  • ログインやログインエラーのログを保存
  • 管理者がログインした場合の通知機能

著者ページへのアクセス(Author=1)を無効化してくれるので、ログインIDがバレる心配がありません。

また、ログインやログインエラーのログを保存してくれるので不正アクセスがあるかどうか確認できるのも見逃せません。

↓こんな感じでダッシュボードに表示されます。

ログの保存
ダッシュボードのログの保存

便利な機能があり、使い勝手が良いプラグインです。

Login rebuilderのインストール

「Login rebuilder」のインストールは、Wordpressのプラグインの新規追加から追加することができます。

「Login rebuilder」で検索して、出てきたプラグインを選んで有効化しましょう。

login-rebuilderのインストール
login-rebuilderのインストール

Login rebuilderの設定

「Login rebuilder」を有効化したら、「設定」の中に「ログインページ」が表示されるので、そこから設定していきます。

設定からログインページを選ぶ
設定からログインページを選ぶ

ログインページの設定

それではログインページの設定から行いましょう。

まずはログインファイルの作成からです。
作成と言っても、新しいログインファイルのところでファイル名を付けるだけです。

デフォルトで「admin-login.php」と入っていますが、必ず新しいファイル名に変更しましょう。

koka

koka

ファイル名を変えなかったらログインページがバレてしまいますからね。

ちなみに、ログインキーワードの部分は特に変更の必要はありません。

login-rebuilderの初期設定
login-rebuilderの初期設定

変更したら、ステータスを稼働中にチェックを入れてページ下部の「変更を保存」してください。

Login rebuilderのステータス
Login rebuilderのステータス

これで自動的にログインファイルが作成されます。
「新しいログインファイル」の状態が「ファイルあり、書き込み可能」になっていれば成功です。

ファイルありの状態
ファイルありの状態

※注意点

レンタルサーバーで「ConohaWING」や「heteml」を使用している場合、変更を保存にすると404Forbiddenなどのエラーが出る場合があります。これはサーバーの設定でWAFが「ON」になっている場合に起こる現象です。一旦サーバーの設定でWAFを「OFF」にしておきましょう

サーバーエラー
サーバーエラー

続いてその他の設定について紹介します。

設定:無効なリクエスト時の応答

「無効なリクエスト時の応答」の設定は、例えば「ドメイン名/wp-admin/」へのアクセスなどです。
これらは「Login rebuilder」によって無効化されているため、その後どうするかを決定します。

基本的にどれを選んでも構いませんが、私は「サイトトップへリダイレクト」を選んでいます。

無効なリクエスト時の応答
無効なリクエスト時の応答

設定:ログ保存

「ログ保存」の設定は、ログイン時のIDやIPアドレスを保存するかどうかの設定です。

アクセスのログが分かると、よくちょっかいをかけてくるIPアドレスが分かります。
そういったIPアドレスにはサーバーでアクセス制限するなどより安全に対処できるわけです。

ログの保存は「無効なリクエスト時のみ」など選べますが、私は念のために「すべて」保存するようにしています。

Login rebuilderのログ保存
Login rebuilderのログ保存

設定:著者ページへのアクセス

「著者ページへのアクセス」の設定は、「ドメイン?author=1」で著者ページへのアクセスを許可するかどうかの設定です。

著者ページへのアクセスを許可した場合、ユーザーIDが一般に公開されてしまいます。

基本は「404ステータス」を設定し、著者ページへはアクセスできないようにしたほうが安全です。

どうしても著者ページのようなページが欲しい場合は、著者ページを制限した上で全ページに著者のタグをはるなど「タグ」の機能を利用することをオススメします。

著者ページへのアクセス
著者ページへのアクセス

設定:oEmbed

「oEmbedの設定」は、oEmbed情報からユーザーIDが漏れることを防ぐ機能です。

oEmbedを簡単に言えば、WordPressにYoutubeやTwitterなどを簡単に埋め込むためのWordPressの機能です。

このoEmbedのお陰でWordPressでは簡単に動画やTwitterを埋め込めるのですが、ヘッダー情報にユーザーIDが含まれてしまいます。
それを制御するのがこの設定の目的です。

YoutubeやTwitterなどを埋め込まないなら「標準」のままで良いのですが、埋め込む可能性があるなら「標準」以外を選んでください。

私の場合は「レスポンスデータの投稿者名とURLを隠す。」を選択しています。

OEmbedの設定
OEmbedの設定

設定:その他

「その他」の設定は、ログインに関する細かい設定です。

ログインエラーのメッセージをあいまいにしたり、メールアドレスとパスワードによる認証を禁止、管理者のログインを通知するなどです。

他に比べるとそれほど重要な設定ではないのですが、個人的に「管理者のログインを通知する機能」が便利なので助かっています。

その他の設定
その他の設定

まとめ

今回はWordPressのセキュリティを高めてくれる「Login rebuilder」について紹介しました。

個人的には「ログインアドレスを変更してくれる」、「著者ページへのアクセス制限」、「ログイン時のメール通知」が非常に便利で手放せないプラグインです。

WordPressのセキュリティ系のプラグインでは他に「SiteGuard」もありますが、「著者ページへのアクセス制限」がついている分、こちらのほうが使い勝手が良いと思っています。

koka

koka

「SiteGuard」も十分優秀なプラグインなので、わざわざ「Login rebuilder」に載せ替えなくても大丈夫です。ただし、著者ページにはアクセスできてしまうので、「Edit Author Slug」を追加で導入したほうがいいですよ。

いずれにしてもWordPressの運営でセキュリティ系のプラグインを入れないのはありえません。
今は大丈夫でもPVが増えてくれば、間違いなく狙われます。

せっかく積み上げた記事やアクセス、売上が消える前に、必ずセキュリティ系のプラグインは導入しましょう。

以上、「Login rebuilderでセキュリティ対策!」でした。

それでは次の記事で!