ログインに関する2つのカスタマイズが1つのプラグインでできるSiteGuard WP Plugin

WordPressでWebサイトを作ったときにログインに関するセキュリティをどうすればいいか?ということを考えます。ログインのURLを変更したり、ログインに失敗したらメールで通知したり、ロックをする仕掛けを入れておくと少し安心です。
今まではそれらを別々のプラグインで行っていましたが、1つのプラグインで両方の機能を持つ SiteGuard WP Plugin というものがありました。新しく作ったWebサイトにはこれを入れてみたのでその方法と、どのようにガードをしてくれるのか?について書きます。

ログインに関する2つのセキュリティ

ログインロック

ログインページからIDとパスワードを推測して入力することで不正にログインを試みようとする場合があります。人間の入力ならなかなか根気がいるためなかなかたどり着けないと思いますがプログラムでこれを試みればいつかはIDとパスワードが当たって、不正にログインされてしまうかもしれません。

その不正ログインの試みを、エラーが続いたらログインできないようにロックする仕組みで防ぐプラグインがあります。

WordPressの不正ログインを防いだり監視したりするプラグインはいくつかあり、複数を組み合わせるのがいいと思います。まず手始めに何をするか、ということであればまずはどのぐら

limit login attempts というプラグインです。

ログインページ変更

WordPressのログインページはデフォルトのままだと誰でもその画面までたどり着けてしまうURLとなっています。そのため、そのURLからはログインできないようにするプラグインがあります。

昨日「第2パスワードを設定するプラグイン Stealth Login Page を試した」で、第2パスワードを設定するプラグインを試してみたのですが既に入っているプラグインとの

で、書いたLogin rebuilderというプラグインです。このプラグインを使うと既定のログインページURLではログイン画面が表示されないようになります。

今まではこれら2つのプラグインを使ってWebサイトの不正ログインから守ってきました。

ログインロック、ログインページ変更を1つのプラグインで行えるSiteGuard WP Plugin

ログインロック、ログインページ変更を1つのプラグインで行える SiteGuard WP Plugin というものがあることを知りました。

インストールは

ダッシュボード プラグイン>新規追加 をクリック

SiteGuard WP Plugin と入力

このプラグインの 今すぐインストール をクリック

有効化 をクリック。

これでインストールと有効化が終わりました。また、このプラグインはここまででログインロック、ログインページ変更の設定がされているので、この時点で既にWebサイトはログインのセキュリティが高まっています。

ログインロック、ログインページ変更の状態を確認

プラグインをインストールしたあと、ダッシュボードを見ると

SiteGuard というメニューが増えています。クリックすると、

このようにいろいろなセキュリティが有効化(緑色のチェックマーク)されているのが分かります。

従来のログインURL
を表示しようとすると

このように今までのログイン画面が出ないことが分かります。

プラグインを有効化したときに

ログインページURLが変更されました という表示が出て、新しいログインページへのリンクがあります。この表示は最初の1回だけなので、ブックマークし忘れていた場合は

SiteGuard > ログインページの変更 をクリックすると



変更後のログインページ名
というところにログインページのURLがあるので、このURLでログインページに移動することができます。

なお、自動的につけられるログインページ名は login_5桁の数字の乱数 となっているため、任意の名称に変更しておくことをお勧めします(このサイトも変更済み)。

このプラグインを入れる前は

このような入力欄だったものが、変更後のログインページ名でログイン画面を表示すると

赤枠でcaptchaが表示され、IDとパスワードの他に、ランダムに表示されるひらがな4文字を入れる必要があります。

5秒以内に3回誤った入力でログインしようとするとこのようにログインがロックされます。

ということで、今まで2つのプラグインで実現していたログインロック、ログインページ変更が1つのプラグインを入れるだけで、実現したことが分かります。

今までの方法とSiteGuard WP Pluginでの方法の違い

まず、先ほど書いたようにSiteGuard WP Pluginを入れるとログイン画面にcaptcha入力を追加することができます(デフォルト有効)。

captchaの設定

ダッシュボード SiteGuard>画像認証 をクリックすると

このようにデフォルトでは ログインページ、コメントページ、パスワードページ、ユーザー登録ページ の全てにひらがなのcaptchaが使われるように設定されています。ここでcaptchaの種類やcaptchaを使わないように設定することが可能です。

captchaは主に人間がちゃんと操作をしているか?をチェックする仕組みなので、ログインロックとログインページURL変更に追加してさらにセキュリティが高まると思います。

また少し違うなと思ったのはログインロック機能です。

ダッシュボード SiteGuard>ログインロック をクリックすると

このように「5秒以内に3回失敗したら1分ロックする」という設定になっています。以前、

WordPressの不正ログインを防いだり監視したりするプラグインはいくつかあり、複数を組み合わせるのがいいと思います。まず手始めに何をするか、ということであればまずはどのぐら

で利用していた、limit login attempts というプラグインでは、

4回まで失敗が許される
4回失敗したら20分間ログインすることができない
ロックアウトが4回繰り返されたらロックアウト時間を24時間増やす
12時間経つとリトライ(失敗)したという記録がリセットされます。

このように細かい指定ができ、また数字部分は自由に入力することができました。

先ほどのダッシュボード SiteGuard>ログインロック で、一番厳しい設定をした場合

このように「30秒以内に3回失敗したら5分ロックする」ということになり、limit login attempts に比べると、ロックの解除時間が早かったりするのですこし物足りないかもしれません。

これから新しいWebサイトを作るならとりあえずこのSiteGuard WP Pluginをインストールしておくと吉

これから新しいWebサイトを作って、ログインのセキュリティが心配だなぁ~と思ったらまずはこのSiteGuard WP Pluginをインストールして有効化しておくだけで一定のログインセキュリティは保たれるかと思います。手軽なのでそういった場合はぜひお試しください(^^)/

兎本美佳
ブログを見た人がそのままできたらいいなと思って、できるだけ丁寧に書いています。blogに書いたようなネタの有償対応のご相談は「ゆうそうと」へいただければと思います(^^)/ 無償での対応をご希望の場合は、コメントをいただけましたら可能な場合はコメントを返させていただきます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
スポンサー広告
トップへ戻る