⇧こんな風に!(この例は目立つように赤く染めています)
Thank you for reading this post, don't forget to subscribe!
危険!あなたの画面が素で公開されていませんか?
こんな風に、URLを入力すると
‘https://あなたのドメイン/wp-admin
‘https://あなたのドメイン/admin
いきなり管理画面が現れる(さすがに、これは無いとは思いますが)
いきなり
この様な管理画面が現れたら
大問題になります。
では、
これで、あなたのホームページのログイン画面が出てきませんか?
‘https://あなたのドメイン/wp-login で、
ログイン画面
が表示されてしまうことは、
ままあるのですが、
これ危険なんです
筆者が調査したWordPressサイトの中でも、43サイト中27サイトが
このログイン画面がWordPressをインストールしたままで放置されている(今も)
何が、イケナイのかと言うと
ログイン画面の他、ユーザ情報まで晒してしまっているサイトがある
大切な、WordPress管理画面(ダッシュボード)への入り口が何の予防措置(名称変更して隠す)もされずに、そのままの名前(wp-login.php)で放置
このログイン画面が分かっていると、ユーザIDとパスワードで
前出のWordPressの管理画面(ダッシュボード)に入れてしまうこと
管理画面(ダッシュボード)に入れたら、
ホームページの設定や色々なことが出来てしまう(元々ホームページ管理者のためのものだから)
あなたの知らない、第三者に入られてしまうかも知れないのです。
これはセキュリティ上も好ましいものではないからです。
この放置されたログイン画面がある27サイトの内20サイトは、更に悪いことにユーザIDまで公開(秘密設定がされていない)してしまっています。
wp-login対策前では
wp-login対策後のアクセス結果
ログイン画面を/wp-adminからのリダイレクトで表示させたくないのですが
本来であれば、
ログイン画面を/wp-adminからのリダイレクトで表示させたくないのですが、ユーザ情報(ID)は(XO Security)で、隠しているので、
このままとします。⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧⇧
実は後(この記事を清書している段階)で、気づくのです(これも解決済です。)
ログイン画面を保護する機能を持ったプラグイン
ログイン画面を保護する機能を持ったプラグインはいろいろあります。
主なものは、XO Security
とSiteGuard WP Plugin
です。
(筆者のサイトでは機能を使い分け(重複する機能があるため)両方のプラグインを導入しています)
XO Security:(当サイトでも、別の目的で使用)
XO SEcurityは、SiteGuard WP Pluginが持っていない機能のみ使用
詳しくは⇩
当サイトでは、ユーザ情報保護で使用記事で、ご紹介
SiteGuard WP Pluginのご紹介
今回は、
日本製の高機能でありながら無料で使えるプラグイン(SiteGuard WP Plugin)をお伝えします。
SiteGuard WP Pluginは、wp-login.php以外の対策にも使えますので、その他の機能もあわせて、セットアップ内容も含めお伝えできたらと思っています。
あなたのwebsite(ホームページ)の運用に是非お役立ててください。
目的は、管理画面への直接アクセス防止(セキュリティ対策ほか)
- 目的は、管理画面への直接アクセス防止のためです(セキュリティ対策)
WordPressをインストールしただけで何も対策しないと、
あなたのドメイン/wp-admin.php や
あなたのドメイン/admin で 管理画面(ダッシュボード)に直接アクセス出来てしまいます。
インストールと有効化&セットアップ
使用する機能は
- 新しいログイン画面を設けwp-login.php対策
- 更新通知(他のプラグインやテーマなどの更新通知を受け取れます)
- ピンバック機能の無効化(スパムリンク防止)
- 画像認証(筆者の場合、一部のみ適用)
新しいログイン画面を設けwp-login.php対策
更新通知(他のプラグインやテーマなどの更新通知を受け取れます)
更新通知は、こんな感じ
ピンバック機能の無効化(スパムリンク防止)
画像認証(筆者の場合、一部のみ適用)
です。
「有効化」後のデフォルトは、以下の機能に✔が付いています。
管理ページアクセス制御は、チェックされていません
さすが日本製のプラグインです(芸が細かいです。)
・・・これは、たぶん他のプラグインとの競合防止対策です。
管理ページアクセス制御は、例えばXO Securityプラグインでも実現しています。
筆者は、SiteGuard WP Pluginの機能を使用します。
管理ページアクセス制限
管理ページアクセス制限 部分をクリックしOFF➡ ON にし「変更を保存」します。
ログインページ変更で、wp-login.phpの名称を変更
ログインページ変更で、wp-login.phpの名称を変更します。
この設定は、
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。
ログインページ(wp-login.php)の名前を変更します。
初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
この「Login_73646」を自分が管理できる名前に変更します。
SiteGardで理者ページからログインページへリダイレクトしない設定もできました
ここで、オプション ✅ 管理者ページからログインページへリダイレクトしない
を✔すると、あなたのドメイン/wp-admin/ でも変更した新しいログイン画面にリダイレクトしないのです。※
※.(この記事を清書しているときに、改めて確認していて
このオプションがあることに気づき✅してみたところ見事に実現した)
Sideguard素晴らしい!これで、新しいログイン画面だけでログインできることになりました。
ちなみに、XO Security 設定では、ログインページの変更は出来ますが、「管理者ページからログインページへリダイレクトしない」の指定は現バージョン(2.2.1)ではできません。
ドメイン/wp-admin/入力時の確認
画像認証
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。
画像認証の文字は、ひらがなと英数字が選択できます。
ちなみに、XO Security 設定では、 ログイン CAPTCHAとコメント CAPTCHAのみです(CAPTCHAは「ひらがな」も選択できます)
XMLRPC防御
◎ピンバック無効化
Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。
支障がある場合には、本機能を使わないでください。
ここでは、◎ピンバック無効化
WordPress同士でリンクを張ったとき限定ですが、相手にリンクを張ると自動的に相互形式になるので便利なのですが、悪用もできる機能(多くのスパマーからのリンクが飛んで来たりします)これを防止するためです。
変更したLogInで確認
‘wp-login.phpから変更したログインファイルからのログインも正常にできました。
データベース
SiteGuard WP Pluginの専用のテーブルが2つ追加されました
⇈ 上記のテーブル名は、プレフックスを変えているのでマスキングしています。
デフォルトのプレイックスは、‘wp_’です。
テーブル名のプレフックスを変える方法は、以下のブログカードのクリックからどうぞ!
まとめ
コメント