『Login rebuilder』は、手軽にログインページの変更が可能なプラグインです。
端的にできることを挙げると、下記の通りです。
- ログインページをすぐに変更できる(1分もかからない)。
- 管理者用と会員用のログインページを分けることができる。
- アクセスログをExcelで見ることができる。
- 著者ページへのアクセスを防ぐことができる。
他にもセキュリティ面で気付きを与えてくれるプラグインでもあるので、
設定するかしないかは別にして、知って損はないプラグインだと思います。
今回は『Login rebuilder』の使い方と設定方法について解説していきます。
WordPress プラグインのインストール・削除・更新
使い方① ログインURLの変更
ログインページの変更
- 無効なリクエスト時の応答
ログインページの変更後、元のログインページは使えなくなります。
元のログインページにアクセスした際にどのページに繋げるかという設定です。
HTTP403または404用のページを用意している場合は選択しても良いのですが、
テーマ変更時でも対応できるように「サイトトップへリダイレクト」を選択すると便利です。
- ログインファイルキーワード
初期設定でランダムに生成されるもので変更の必要はありません。
- 新しいログインファイル
ここで設定するのが新しいログインページです。最後が「.php」となるように設定してください。
ステータスの変更
「準備中」から「稼働中」に変更し、設定を保存することで有効になります。
URLの変更はこれで完了です。
一度ログアウトし、ログインページが変更されていることを確認しましょう。
使い方② 権限別ログインページの変更
このプラグインは、ログインページを管理者用とその他で分けることができます。
ブルートフォース攻撃の対策だけではなく、それ以上のセキュリティ対策を行えます。
設定方法は「第2ログインファイル」にログインページのURLを入力するだけです。
デフォルトでは「新しいログインファイル」と同じページが入力されているため、
異なるページを指定するようにしましょう。ここでも末尾は「.php」としてください。
枠組みの下にある「権限グループ」を選択することで、
その権限のグループのユーザのみログインが可能となります。
ログの保存
ログの種類について
このプラグインで保存可能なログは下記の3種類です。
- wp-login.phpへのアクセスログ
- 新しいログインページのログイン失敗ログ
- 新しいログインページのログイン成功ログ
| 無効なリクエスト時のみ | 1と2のログ |
| ログイン時のみ | 3のログ |
| すべて | 1~3のログ全て |
ログインの成功ログも念のため取得したい場合は「すべて」を選択し、
不要であれば「無効なリクエスト時のみ」を選択します。
ログの保存件数の設定は基本デフォルトで良いです。希望があれば変更してください。
「拒否したREST API」については後ほど解説します。
ログの確認方法について
ログの保存方法を「しない」以外に選択し、「稼働中」ステータスで保存します。
再度ログインを行い、「変更の保存」ボタンの右側に表示される「ログを表示」を押します。
〇月〇日 〇時〇分 AM[PM] – (アクセス元IPアドレス)
②ログイン失敗/成功ログ
〇月〇日 〇時〇分 AM[PM] – ログインID (アクセス元IPアドレス)
詳細情報を確認する場合は、「↓」ボタンを押し、Excelをダウンロードします。
| data and time | 年/月/日 時:分 |
| IP address | アクセス元IPアドレス |
| url | アクセス先URL(アクセスを試みたログインページ) |
| login id | 使用したログインID |
| password | 使用したパスワード |
著者ページへのアクセス
「404ステータス」に変更してください。
ここでいう「著者ページ」とは、管理者ユーザを始めとするユーザ別の記事一覧です。
言葉で説明しても伝わりにくいので、自分のサイトで下記URLを叩いてください。
ユーザ名はログインIDでもあるので不正ログインの可能性が上がります。
設定を「404ステータス」に変更することで、著者ページへのアクセスを防ぐことができます。
oEmbed
oEmbed情報からユーザIDの類推を防ぐための設定です。
- レスポンスデータの投稿者名とURLを隠す。
- oEmbedリクエストのレスポンスデータは、
‘author_name’はサイト名に、’author_url’はサイトURLに書き換えられる。
自サイトの投稿情報についてoEmbedを有効にしたい場合はこちらの方がよい。
- head要素内のリンクとレスポンスデータを出力しない。
自サイトの投稿情報についてoEmbedを無効化にしたい場合はこちらの方がよい。
- head要素内のlink要素(type属性が’application/json+oembed’と
‘text/xml+oembed’)を出力しない。- oEmbedリクエストを受けた場合に有効なデータをレスポンスしない。
その他
ログイン時のエラーメッセージをあいまいな内容に変更する。
ログインに失敗すると、下記のパターンに分かれます。
著作ページのアクセスを防いだところで、ログインページでブルートフォース攻撃を行えば、
ユーザ名が合っていた場合にメッセージから結局バレることになります。
この設定にチェックを入れると、ログインIDが合っていても後者のメッセージに統一されます。
メールアドレスとパスワードによる認証を禁止する。
タイトル通りの機能です。メールアドレスを公開している場合に、
メールアドレスをIDとしたアクセスを試される可能性があります。
登録フォームを拒絶する。
※タイトル通りの機能だとは思いますが、動作については確認中。
ログインしていない場合はREST API / Usersを拒否する。
ログインしていないユーザからのREST API / Userリクエストをエラーで返すという設定です。
- REST APIはサイトのさまざまな情報にアクセスできる便利な機能であり、
その情報の中には管理者情報も含まれている。
今回追加した機能は、管理者情報へのアクセスをログイン時に限定するものである。- この機能を有効にすることで、管理者情報が漏洩するリスクを低減させる効果が期待できる。
引用元:REST APIとの付き合い方
ログファイルに見出しを付ける。
ダウンロードしたExcelの各項目名「data and time」「IP address」「url」などを差します。
チェックを外すとかなり見にくくなるので、チェックは付けたままにします。
管理者のログインを通知する。
管理者のログイン成功時、下記に設定しているメールに通知を行う。
- 画面左メニュー「設定」⇒「一般」⇒「管理者メールアドレス」
例えば管理者が自分だけの場合に、操作していないタイミングで通知が行われれば
不正ログインをすぐに察知することが出来ます。設定の要否はお好みです。
Login rebuilderの停止時、アンインストール時の注意
メンテナンスや誤ってプラグインを停止した場合や、
他のプラグインに切り替える際の注意事項は以下の通りです。
停止時の注意事項
- プラグインの停止中は、元のログインページが有用になる(wordpressなら/wp-admin)。
- プラグインの停止中でも、新しいログインページは使える。
- ステータスが「稼働」から「準備中」に切り替わるので、有効後は手動での切り替えが必要。
アンインストール時の注意事項
- アンインストールすると、新しく作ったログインページは自動で削除される。
まとめ
ログインページのURLを変更できるプラグインとして知られる「Login rebuilder」ですが、
設定を一通り見てみると、Excelでダウンロードできたり漏れがちな著者ページの
アクセス拒否などの設定も兼ね備え、かなり優秀なプラグインです。
プラグインとしての難点を挙げれば不正ログインを検知してもこのプラグインでは拒否できないということです。簡単なものであれば「WP-Ban」のようなプラグインを別途導入する必要があります。両方の機能を兼ね備えたプラグインがあればまた紹介していきたいと思います。
コメントを残す