2014.03.28

【WordPressセキュリティ対策】wp-login.phpへのブルートフォースアタックを撃退!ログインURLを変更するプラグイン『Login rebuilder』

(o’∀’)ノ<こんにちは。

 

さて、今日はWordPressセキュリティ対策に便利なプラグインをご紹介します。

WordPressはwp-login.phpへ直打ちされると、ログイン画面が表示されますよね。それを利用して、ブルートフォースアタックをされるわけですが、うちでも攻撃を受けている痕跡があるサイトが結構ありました。

どれもユーザー名adminで攻撃を食らってます。
うちは基本的にユーザー名にadminを使用していませんが、(例えadminを使用していなくても、パスワードを簡単なものにしていれば結局同じことなので、パスワードは推測されにくいものを使用しましょう。)
とりあえず攻撃を食らってること自体腹立たしいので対策を講じてみることに。

『Login rebuilder』

『Login rebuilder』は、新しいログインページを生成し、
直打ちなどでwp-login.phpファイルにアクセスしても404などを表示させて、ログイン画面自体にアクセス出来なくしてくれます。

導入も設定もいたってシンプルで、とても使い勝手がよかったです。
作成者も日本人なので、日本語だし、これは定番プラグインになりそうな予感。

『Login rebuilder』の使い方

1.「プラグイン」>「新規追加」から、『Login rebuilder』をインストール後、有効化。

2.「設定」>「ログインページ」をクリック。

3.「ログインページ設定」が表示されるので、各箇所を設定。

blog20140309

■無効なリクエスト時の応答
wp-login.phpにアクセスしたときの動作設定。

■ログインファイルのキーワード
基本的に変更しなくてOK。

■新しいログインファイル
wp-login.phpに代わる新しいログインページのファイル名。デフォルトはいくつか用意しているものの中からランダムで表示されています。
※作成者本人も言っていますが、デフォルトで用意されているものは使用しないほうがいいです。きちんと変更しましょう。

■購読者専用ログインファイル
購読者権限のみがログインできるページを設置する場合に使用します。寄稿者、投稿者、編集者、管理者はログイン出来ません。必要ない場合は空白で。

■ステータス
稼働中を選択して保存すると、新しいログインページが利用可能。新しいログインファイルが正常に配置できていない場合は、ステータスは準備中に戻ります。

4.「変更を保存」をクリック。ステータスが「稼働中」になっていたら、新しいログインページからログインできるようになります。

注意すること

wp-login.php自体は削除しないこと。

◆作成したログインファイルは、設定を解除したとしても自動で削除はされません。ログイン自体は出来ませんが、ファイルが残っているとアクセスは可能なのでログイン画面が表示されてしまいます。きちんと手動でファイルマネージャーなどから削除しましょう。

◆購読者専用URLは、ログアウトするとURLが「新しいログインファイル」で設定したURLに戻ってしまいます。
ここから大元のログインURLはわかってしまいますので、管理者や編集者権限以外にURLを知られたくない場合でも、ちょっと注意が必要かなと思います。これが解決すれば良いのになぁ。

あと、若干気になるのは、「無効なリクエスト時の応答」で404ページを設定しても、テーマの404へ飛ばないことですかね。
てっきりそっちへ飛ぶものだと思っていたのですが…わたしのテーマの設定の問題?

とりあえず、このプラグインを導入して様子を見ていますが、いまのところ効果あり!ぱったりなくなりました♪素敵やヽ(´▽`)/ワーイ