wordpressのログインURLのアドレスを変更してハッカーにログインさせない
wordpressのセキュリティ上一番危ないのが「ログイン」画面です。
このサイトでも「ログイン」のセキュリティとして
などで、ログインをさせないセキュリティ対策を行ってきました。
なぜ、ログインをさせないセキュリティ対策を行ったかと言うと
ログインのアドレスが
https://貴方のドメイン/wp-admin/
だからです。
私のテストサイトのドメインは「lykiaadventure.com」なので
必然的に「https://lykiaadventure.com/wp-admin/」になってしまうのですね。
だれでもログインの画面の前に立つことができるのです。
しかし、ログインのアドレスが「https://貴方のドメイン/好きな文字列/」だったらどうでしょうか
たとえば
「https://lykiaadventure.com/8amsxlfn2af2/」
だったらどうでしょうか
他人は8amsxlfn2af2の情報を知らないため、ログ画面が表示されないのです。
100%とは言いませんが、ほぼログインの画面の前に立つことができないと思います。
と言うことは、ログイン画面から攻撃されることがほぼ無くなるということです。
この操作を「SiteGuard WP Plugin」プラグインを使って実現します。
SiteGuard WP Pluginプラグインのインストール方法と設定
(1) wordpressの管理画面より「プラグイン」→「新規追加」をクリックします。
(2) 「プラグイン追加」画面のキーワード欄に「SiteGuard WP Plugin」と入力します。
すると、関連するプラグインが表示されます。
(3) 「SiteGuard WP Plugin」の「いますぐインストール」ボタンを押下します。
(4) インストールが完了すると「有効化」のボタンが表示されるので「有効化」のボタンを押下します。
これでインストールは完了しました。
【メールの確認】
wordpressで設定しているメールアドレスに「新しいログインページURL」が送られてくるので確認してぐたさい。
【ここ一番大事です!!!】
「有効化」のボタンが押下されインストールが完了すると「プラグイン」の画面に移動します。
プラグインの画面の上部に
「ログインページURLが変更されました。 新しいログインページURLをブックマークしてください. 設定変更はこちら」とあるので、「設定変更」の文字をクリックしてください。
.
(5)ログインページ変更画面が表示されます。
上図にも記載があるように、「SiteGuard WP Plugin」をインストールした時点でログインのアドレスが変更になっています。
私のサイトの場合
(旧ログインアドレス)
「https://lykiaadventure.com/wp-admin/」
(新ログインアドレス)
「https://lykiaadventure.com/login_76323/」
にかわっています。
必ず「メモ」しておいてくださいね。
忘れるとログインできなくなります。
(6)ログインのアドレスの再変更
現在のログインのアドレスは
「https://lykiaadventure.com/login_76323/」
になっていますが、当然ブラックハットハッカーも「SiteGuard WP Plugin」を知っています。
最初の「https://lykiaadventure.com/wp-admin/」でログインできなかった場合、「おかしいな?」と考えて
https://lykiaadventure.com/login_00000/
https://lykiaadventure.com/login_00001/
https://lykiaadventure.com/login_00002/
https://lykiaadventure.com/login_00003/
:
:
https://lykiaadventure.com/login_76321/
https://lykiaadventure.com/login_76322/
https://lykiaadventure.com/login_76323/
と順番にアクセスして当てられる可能性もあります。
そこで、変更された「login_76323」を自分の好きなアドレスに変更します。
アドレスには、英数字、ハイフン、アンダーバーが使用できるので
「login_76323」
から
「8amsx_lfn2af2」←貴方も好きな番号を考えてくださいね
に変更します。
(変更したアドレスは必ず、必ず、必ずメモするように。)
そして「変更を保存」ボタンを押下して変更が完了しました。
【メールの確認】
wordpressで設定しているメールアドレスに「新しいログインページURL」が送られてくるので確認してぐたさい。
(7)ログインの確認
まず(旧ログインアドレス)
「https://lykiaadventure.com/wp-admin/」
を入力してみると、ログイン画面は表示されません。
まず(新ログインアドレス)
「https://lykiaadventure.com/8amsx_lfn2af2/」
を入力してみると、ログイン画面が表示されました。
【注意1】
ベーシック認証を追加されている方は「新ログインアドレス」の前にベーシック認証が表示されます。
【注意2】
この「SiteGuard WP Plugin」には「画像認証」がついてします。
※日本語で認証するので、外国のハッカーが認証するのは難しいと考えます。
【注意3】
「SiteGuard WP Plugin」には他にもいろいろなセキュリティ機能が付いています。
wordpressの管理画面のメニューを見ると機能は
- 管理ページアクセス制限
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
- ログインページ変更(今回の改善です。)
ログインページ名を変更します。
- 画像認証(今回の改善です。)
ログインページ、コメント投稿に画像認証を追加します。
- ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
- ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。
- ログインアラート
ログインがあったことを、メールで通知します。
- フェールワンス
正しい入力を行っても、ログインを一回失敗します。
- XMLRPC防御
XMLRPCの悪用を防ぎます。
- ユーザー名漏洩防御
ユーザー名の漏洩を防ぎます。
- 更新通知
WordPress、プラグイン、テーマの更新を、メールで通知します。
- WAFチューニングサポート
WAF (SiteGuard Lite)の除外リストを作成します。
とりあえず、上記の機能の確認だけお願いします。
この機能に「ログインロック」という機能があり、「ログイン失敗を繰り返す接続元を一定期間ロックする」機能ですが現在の設定は
ログインロックの期間:5秒間の内に
ログインロックの回数:3回ログイン情報が異なった場合
ログインロックのロック時間:1分間同じIPアドレスからのログインをブロックする
になっています。5秒間に3回ログインするのはブラックハットハッカーがプログラムで機械的に操作するぐらいです。
ログインURLのアドレスを変更のまとめ
SiteGuard WP Pluginをインストールしてログインアドレスを変更しました。
ログイン時に「画像認証」が追加されて日本語で認証するため、セキュリティの強度もより上がっていると思います。
大切なことは、設定した値は必ずメモして覚えておくことです。
ログインするアドレスを忘れると、本人もログインできなくなります。
「ミイラ取りがミイラになる」ですね。
よろしくお願いします。
もし、wordpressのセキュリティ対策で悩まれている方はこちらの一覧をご覧ください。