メールを見るとたくさんの「ログイン失敗メール」が来ていました。これは「ログイン失敗回数を制限するlimit login attemptsプラグインを入れてみた」の記事で導入したプラグインが送ってくるものです。あまりにも多くの試みがされていたのでなにかもうちょっとできないかな、と思ってログインの時に第2パスワードを入れるプラグインを試してみました。
第2パスワードを設定するプラグイン Stealth Login Page
こちらの記事を参考にさせていただきました。
Stealth Login PageでWordPressの第二パスワードを設定
ダッシュボード プラグイン>新規プラグイン で Stealth Login Page を検索します。
表示されたプラグインの インストール ボタンをクリックします。
インストールが終わったら プラグインを有効化 をクリックします。これをクリックした後は設定が終了するまでログインがエラーになります(これについては後述します)ので、サイトのユーザーに自分以外のユーザーがいる場合は設定は素早く終わらせたいところです。
設定>Stealth Login Page をクリック
このような設定画面になります。ここでは赤い文字1~3の設定をします。
1:ステルスモードにするかどうか チェックを入れます
2:2つめのパスワードを入れます。ユーザーが複数いる場合は全員が同じ第2パスワードを使うことになるので慎重に決めてください
3:ログインエラーになったときのリダイレクト先URLを入れます。
ログイン画面にもどすときは→あなたのサイトのURL/wp-login.php
404ページにしたいときは→あなたのサイトのURL/404.html
あたりを入れておきます。
入力が済んだら Save Settings をクリックします。
仮に第2パスワードを abcdef にして テストします。実際にはもっとちゃんとしたものがいいと思います。
ログインを試してみる
このプラグインを入れる前のログイン画面です(残り3回…というメッセージは以前入れたプラグインが出していますのでデフォルトだと出ていないはずです)。
Stealth Login Page をインストールして設定した後の画面は、
このように Authenication Code という入力エリアが増えています。
先ほど設定した第2パスワードをAuthenication Codeに入れてログインします。第2パスワードが正しくなければ、設定画面で指定したURLにリダイレクトします。
先ほど使わなかった 青い矢印の4 ですが、
チェックして Save Settings をクリックすると、ユーザー全員に第2パスワードが送信されます。
まとめ:このプラグインを使うときの注意点
結果的になのですが、当サイトではこのプラグインは使わないことにしました(^_^;。
というのは、以前入れてあった limit login attempts というプラグインはログイン失敗回数を何回までという制限をかけてくれるのですがやはり同じログイン時に動くプラグインなので、ログイン失敗時の動きがStealth Login Pageを入れるとそちらが有効になってしまい、何度も失敗できるようになってしまいました。
どちらも有効になれば一番セキュリティ的に安心だと思うのですが、、うーん残念です。
他の注意点として上記でちょっと書きましたが、プラグインを有効化してから設定が終わるまでの間にログインしようとすると、
このようにエラーになってしまいます。他のユーザーがいなかったとしても、設定が終わらないままにログアウトするとこの画面になり、ログイン出来ないので設定も削除もできなくなってしまいます。
そんなときは、wp-content\plugins にある stealth-login-page フォルダを削除すればプラグインが削除されるので普通にログイン出来るようになります。
データベースにデータが残るので気になるのであれば、
DELETE テーブルのプレフィックス_options WHERE option_name='slp_settings'
このSQLを流せばこのプラグインのデータが削除されます。DELETE文を流すので、DBのバックアップを取っておく等、自己責任でお願いします。
また、ユーザーが一人の場合はいいのですが複数いる場合、特に多くの人がユーザーとして入っている場合は第2パスワードが全員に対して共通 であるということに注意が必要です。またユーザー全員に第2パスワードを送る機能があり、パスワードは平文で送られますので、その点でも注意が必要です。
しかし、第2パスワードが設定できればかなりのアタックもあきらめてもらえるのでは、と思うので他にログインのプラグインが入っていなかったりユーザーが一人もしくは少なかったりしたら使ってみる価値はあるのではないかと思いました。
コメント
コメント一覧 (1件)
[…] 第2パスワードを設定するプラグイン Stealth Login Page を試した ・・・あまりにも多くの試みがされていたのでなにかもうちょっとできないかな、と思ってログインの時に第2パスワードを […]