WordPressでWebサイトを作ったときにログインに関するセキュリティをどうすればいいか?ということを考えます。ログインのURLを変更したり、ログインに失敗したらメールで通知したり、ロックをする仕掛けを入れておくと少し安心です。
今まではそれらを別々のプラグインで行っていましたが、1つのプラグインで両方の機能を持つ SiteGuard WP Plugin というものがありました。新しく作ったWebサイトにはこれを入れてみたのでその方法と、どのようにガードをしてくれるのか?について書きます。
ログインに関する2つのセキュリティ
ログインロック
ログインページからIDとパスワードを推測して入力することで不正にログインを試みようとする場合があります。人間の入力ならなかなか根気がいるためなかなかたどり着けないと思いますがプログラムでこれを試みればいつかはIDとパスワードが当たって、不正にログインされてしまうかもしれません。
その不正ログインの試みを、エラーが続いたらログインできないようにロックする仕組みで防ぐプラグインがあります。
[ryus_blogcard url=”https://usortblog.com//wordpress-website-junban-4/”]
limit login attempts というプラグインです。
ログインページ変更
WordPressのログインページはデフォルトのままだと誰でもその画面までたどり着けてしまうURLとなっています。そのため、そのURLからはログインできないようにするプラグインがあります。
[ryus_blogcard url=”https://usortblog.com//rebuilder/”]
で、書いたLogin rebuilderというプラグインです。このプラグインを使うと既定のログインページURLではログイン画面が表示されないようになります。
今まではこれら2つのプラグインを使ってWebサイトの不正ログインから守ってきました。
ログインロック、ログインページ変更を1つのプラグインで行えるSiteGuard WP Plugin
ログインロック、ログインページ変更を1つのプラグインで行える SiteGuard WP Plugin というものがあることを知りました。
インストールは
ダッシュボード プラグイン>新規追加 をクリック
SiteGuard WP Plugin と入力
このプラグインの 今すぐインストール をクリック
有効化 をクリック。
これでインストールと有効化が終わりました。また、このプラグインはここまででログインロック、ログインページ変更の設定がされているので、この時点で既にWebサイトはログインのセキュリティが高まっています。
ログインロック、ログインページ変更の状態を確認
プラグインをインストールしたあと、ダッシュボードを見ると
SiteGuard というメニューが増えています。クリックすると、
このようにいろいろなセキュリティが有効化(緑色のチェックマーク)されているのが分かります。
従来のログインURLを表示しようとすると
このように今までのログイン画面が出ないことが分かります。
プラグインを有効化したときに
ログインページURLが変更されました という表示が出て、新しいログインページへのリンクがあります。この表示は最初の1回だけなので、ブックマークし忘れていた場合は
SiteGuard > ログインページの変更 をクリックすると
変更後のログインページ名 というところにログインページのURLがあるので、このURLでログインページに移動することができます。
なお、自動的につけられるログインページ名は login_5桁の数字の乱数 となっているため、任意の名称に変更しておくことをお勧めします(このサイトも変更済み)。
このプラグインを入れる前は
このような入力欄だったものが、変更後のログインページ名でログイン画面を表示すると
赤枠でcaptchaが表示され、IDとパスワードの他に、ランダムに表示されるひらがな4文字を入れる必要があります。
5秒以内に3回誤った入力でログインしようとするとこのようにログインがロックされます。
ということで、今まで2つのプラグインで実現していたログインロック、ログインページ変更が1つのプラグインを入れるだけで、実現したことが分かります。
2017/12/21追記:ログインURLを変更してもwp-adminでログイン画面に行ってしまう問題の対応
ログインURLはデフォルトで サイト名/wp-login.php ですがその他に サイト名/wp-admin と入力しても出てしまいます。ログインURLを変更しても同じ状態になってしまうので、そのようにならないようにしてみます。
ダッシュボード>SiteGuardをクリックした画面に
管理ページアクセス制限という項目があります。この画面ではチェックマークが緑色で、有効になっていますが、チェックマークが白色で無効の時はこの項目をクリックして、
ONをクリックしてから、変更を保存をクリックします。これでサイト名/wp-adminでログイン画面が表示されなくなります。
この機能は「24時間以内にログインしたことのあるIPアドレスから以外は表示しない」というものですので、24時間以内にログインしたことがあるIPアドレスからはサイト名/wp-adminでログイン画面が表示されます。
あと、この機能を有効にすると、ログイン画面が
こんな風にcssが効いていない状態で表示されるかもしれませんが、ログインは正常に行えますので大丈夫です。
今までの方法とSiteGuard WP Pluginでの方法の違い
まず、先ほど書いたようにSiteGuard WP Pluginを入れるとログイン画面にcaptcha入力を追加することができます(デフォルト有効)。
captchaの設定は
ダッシュボード SiteGuard>画像認証 をクリックすると
このようにデフォルトでは ログインページ、コメントページ、パスワードページ、ユーザー登録ページ の全てにひらがなのcaptchaが使われるように設定されています。ここでcaptchaの種類やcaptchaを使わないように設定することが可能です。
captchaは主に人間がちゃんと操作をしているか?をチェックする仕組みなので、ログインロックとログインページURL変更に追加してさらにセキュリティが高まると思います。
また少し違うなと思ったのはログインロック機能です。
ダッシュボード SiteGuard>ログインロック をクリックすると
このように「5秒以内に3回失敗したら1分ロックする」という設定になっています。以前、
[ryus_blogcard url=”https://usortblog.com//wordpress-website-junban-4/”]
で利用していた、limit login attempts というプラグインでは、
4回まで失敗が許される
4回失敗したら20分間ログインすることができない
ロックアウトが4回繰り返されたらロックアウト時間を24時間増やす
12時間経つとリトライ(失敗)したという記録がリセットされます。
このように細かい指定ができ、また数字部分は自由に入力することができました。
先ほどのダッシュボード SiteGuard>ログインロック で、一番厳しい設定をした場合
このように「30秒以内に3回失敗したら5分ロックする」ということになり、limit login attempts に比べると、ロックの解除時間が早かったりするのですこし物足りないかもしれません。
これから新しいWebサイトを作るならとりあえずこのSiteGuard WP Pluginをインストールしておくと吉
これから新しいWebサイトを作って、ログインのセキュリティが心配だなぁ~と思ったらまずはこのSiteGuard WP Pluginをインストールして有効化しておくだけで一定のログインセキュリティは保たれるかと思います。手軽なのでそういった場合はぜひお試しください(^^)/
コメント