WordPressサイトに不正にログインしようとすることに対抗しようと、「ログイン失敗回数を制限するlimit login attemptsプラグインを入れてみた」り、「WordPressログインページのURLを変更するプラグイン」を入れてみたりしました。特にログインURLを変更してからはほぼ不正ログインを試みる動きももなくなった感じになってたのですが、ここ数週間、また不正ログインの試みが来るようになりました。
私のユーザー名を使ってログインしようとしているので、パスワードが解明されたら入られてしまいます(>_<)。ということで、急ぎ対策をしてみました。それについて書きます。
不正ログインの状況とそれに対する対策を考えてみました
改めて不正ログインの状況を見てみました。
10月3日から始まり、10月12日の午前2時38分まで9回来ています。「limit login attemptsからメールが来たのでキレキレ設定に変更してみる」に書いたとおり、1回ロックされると 744時間(31日)ロックするという設定にしてあるにもかかわらず9回来ています。IPを見るとすべて違うIPですが全部のIPが aaa.bbb.xxx.xxx となっています。aaa.bbb(実際には数字)の頭の2つが同じでおそらく同じコンピューターからのアクセスじゃないかなと思います。
さらに、ログインURLは変えているのでもっと他の方法、たとえばWordPressのアプリとかAPIでのログインならトライすることができるのでそういう方法でアタックしてるのでは?と思いました。念のためログインURLを変更してみましたが変更後もやはり同じようにログインしに来ていることからその方法では今回の不正アクセスは防げない、と思いました。
来ているメールは全て実在するユーザー名によってログインを試しているものなのであとパスワードが解明されてしまえば不正にログインされてしまいます。
ということはユーザー名を変更するしかない、と決意しました。
しかし、ユーザー名は投稿の著者名からのリンクにそのまま表示されてしまっています。この場合だと 兎本美佳 をクリックしたときのURLは
https://usortblog.com//author/ユーザー名/
こんな感じです。このままではユーザー名を変更したとしても著者表示から新しいユーザー名がすぐに分かってしまいます。
ということで、ユーザー名も変更しますがその前に、この著者ページのURLにユーザー名が出ないように変更しようと思います。また、ユーザー名を変更 はシステム上できないため新しくユーザーを作ってそちらに移行するという方法になります。
両方とも対策をする必要がありますが、長くなってしまうのでまず著者名リンクのURLを変更するプラグインについて今回は書きます。
Edit Author Slugのインストールと設定
ダッシュボード プラグイン>新規追加 で
Edit Author Slug と入力してリターン
今すぐインストール をクリック
プラグインを有効化 をクリック。
* その後アップデートがあり、2015/10/14現在のバージョンは1.1.2です
あとは変更したいユーザーのプロフィールでSlugを指定します。
ダッシュボード ユーザー>ユーザー一覧 をクリック
Slugを指定したいユーザーの 編集 をクリック
プロフィールの編集画面に
Author Slug を指定する項目が増えています。ここで、
カスタム設定 のラジオボタンにチェックを入れて、右側のテキストボックスにSlugとして使いたい文字を入れます。
* 漢字で入れたかったのですが、英数とハイフン、アンダーバーしか有効ではありませんでした。
ユーザーを更新 をクリック
これで著者名リンクのURLが変更されました。思っていたよりとても簡単です。
Edit Author Slugを導入前と導入後
Edit Author Slug導入前のURLは
http://サイトURL/author/ユーザー名/
となっていました。これだと悪意のある人が見たらこのユーザー名で不正アクセスを試みようと思われてしまいます。
Edit Author Slugを導入して先ほどのように指定した後は、
https://usortblog.com//author/author-umoto-mika/
となり、URLにユーザー名が表示されず、自分が指定した文字で著作名リンクが表示されました(^^)/。
URLの/author も変えることが可能です
変更後は、
http://サイトのURL/author/プロフィールAuthorSlugで指定した文字/
となっています。さらにこのURLの /author もこのプラグインで変えることが出来るようです。
ダッシュボード 設定>Edit Author Slug をクリック
Author Base に aurhor と入っているのでこれを好きな名前にします。
例えば
writtenby と入力して、
変更を保存 をクリック。そうすると投稿画面などの著者名リンクをクリックしたときのURLが
http://サイトのURL/writtenby/プロフィールAuthorSlugで指定した文字/
と変更されました。
あまりこのURLを変えるのも良くないらしいのでこのblogではここまではしていませんが他のサイトでこの方法でうまく動くことを確認しました。
次はユーザー名の変更
今回の不正アクセスについての対策は「もうすでにユーザー名が知られてしまっている」という前提なので、これだけでは不十分です。
ログインURLを変更してあっても今回の不正アクセスはやってくるので、やはりユーザー名を変更するしかありません。それについても対策をしましたので次回その方法について書きます。
[amazon_searchlink search=”WordPress セキュリティ”]
コメント