WordPressサイトに必須のプラグイン「Login rebuilder」の導入・設定方法

2020 2/19
WordPressサイトに必須のプラグイン「Login rebuilder」の導入・設定方法

WordPressは無料で使える便利なシステムですが、セキュリティの面でいくつか不安があります。

  • ログインページのURLに規則性がある
  • ログインIDを表示させる事が出来る

どちらも割と有名な話なので、知っている人は対策しています。

今回はひとつで上記の2点に対応できるプラグイン「Login rebuilder」の導入・設定方法についてまとめていきます。

目次

Login rebuilderでできる事

はじめに、このプラグインで何が出来るかを簡単にご紹介します。

  • 【重要】ログインページのURLを変える事が出来る(管理画面の入り口を隠す事が出来る)
  • 【重要】著者ページへのアクセスを拒否できる(ログインID漏洩を防ぐ)
  • アクセスのログをとる事ができる(悪質なアクセス元を特定できる)
  • YouTubeやTwitter、Facebookなどの埋め込み時のデータを制御できる

それぞれに対応出来るプラグインはいくつか存在しますが、今回解説する「Login rebuilder」ならひとつでまとめて設定できます。

プラグインが増えると管理が手間ですし、処理が多くなってホームページ自体の速度が落ちる事もあります。

出来ればシンプルにまとめましょう。

Login rebuilder の設定方法

無効URLの設定画面

設定箇所と内容は全部で5つ。

まず1番上の項目は、「無効なURLにアクセスした時にどうするか?」というものです。

ここで言う「無効なURL」とは、

  1. デフォルトのログインURL
  2. 著者ページのURL

の2つ。

今回はセキュリティを高めるために、上記のURLを変更、またはアクセス禁止にするため、「無効なURL」となります。

これらのURLにアクセスした場合に

  • 403表示(アクセス禁止という意味)
  • 404表示(ファイルがない、という意味)
  • サイトトップ(トップページ)を表示する

のどれにするか?という設定です。

どれを選んでも問題ありません。

特に目的がなければ「サイトトップへリダイレクト」にしましょう。

ログインページのURLを変更してセキュリティ向上!

WordPressのログインページには規則性があり、知っていれば誰でも辿りつけます。

それを設定によって隠すワケです。

ログインページのURL変更画面

設定箇所は「新しいログインファイル」の右側の入力エリア。
こちらに任意のログインページURL(半角英数字と一部の記号)を入力します。

URLは自由に設定できますが、「new-loginpage.php」や「login-neo.php」など、最後に「.php」をつけましょう。

なお、「第2ログインファイル」を設定することで、もうひとつログインページを作成する事もできます。
外部のライターさんに寄稿してもらったり、複数人で管理する場合に便利です。

また、「ステータス」は「稼働中」にチェックを入れてください。

ちなみに「ログインファイル キーワード」はスルーでOKです。

※諸々の設定が終わった後に、新しいログインページのURLが表示されます。

保存後は忘れずに控えておきましょう!!

著者ページへのアクセスを禁止して、ログインIDの漏洩を防ぐ!

WordPressがデフォルトの状態では、ログインIDが簡単に見破られます。

ログインには「ログインID」と「パスワード」が必要ですが、2つのうちの1つが漏洩する事で、セキュリティ強度は著しく低下します。

著者ページへのアクセスは必ずシャットアウトしましょう。

著者ページへのアクセスを禁止する

Login rebuilder では、著者ページへのアクセスを「受け入れる」と「404ステータス(404ページを表示する)」の2つから選択できます。

ここは「404ステータス」にチェックを入れましょう。

こうする事で著者ページにアクセスした際には「404ページ」が表示され、ログインIDが出なくなります。

ログをとる事で、悪質なアクセス元を特定できる

ログをとる事で、何度もログインページにアクセスしてくる悪質なアクセス元(IPアドレス)を特定できます。

サーバー側での設定が必要にはなりますが、あまりにしつこいようであれば特定したIPアドレスからのアクセスを禁止にする事も可能です。

ログ保存設定

写真では「無効なリクエスト時のみ」となっていますが、迷った場合は「すべて」でOKです。

私の場合は後述の「ログイン通知機能」で十分なため、上記設定にしています。

oEmbedの設定で、SNSなどの埋め込みも安心!

WordPressの長所のひとつに、「SNSの埋め込みがラク」という点があります。

YouTubeやTwitter、Facebookにインスタなどなど。

コレをラクにしてくれているのが「oEmbed」というものです。

WordPressに標準で搭載されている「便利機能」とイメージしてください。

便利でありがたい機能なんですが、使うと裏側の情報に「ユーザーID」が含まれてしまいます。

せっかく著者ページへのアクセスを拒否しているのに、ココが抜けると不完全。

oEmbed設定

以下のように設定してください。

  • 埋め込みを何も使っていない場合→標準
  • 埋め込みを使う場合→その他の2つ

その他の色々な設定

最後にその他の細々した設定です。
こちらは必要に応じてチェックを入れたり、外したりしてください。

参考までに、私のサイト(このサイトではないですが…)では

その他の色々な設定

といった設定になっています。

個人的にオススメなのは最後の「管理者のログインを通知する」機能。

文字通り「ログインしたらメールで通知する機能」で、万が一の時にはすぐに気付くことができます。

最後に : ログインページのURLは必ず控えておきましょう!!

以上の設定を行い、保存すればOK!

設定前に比べると、格段にセキュリティ強度は上がっています。

最後に必ずやっておかなければならないのが、「新しいログインURLを控える」こと。

保存した後にもう一度設定画面を開くと、「新しいログインファイル」の下に新しいログインページのURLが掲載されています。

コレを忘れるととても面倒な事になるので、必ず控えておきましょう!

目次
目次
閉じる