WordPressの不正ログインを Force email loginで回避
2014/12/07
Force email loginを入れて不正アクセスを回避
Force email loginとは?
Force email loginは、メールアドレスでログインするように変更するプラグインです。
通常、WordPressのログインは、ユーザID(ユーザ名)でログインをしますが、それではセキュリティ上甘くなる可能性がありますので、全く外部に利用されることのないユーザのメールアドレスでログインするようにしましょう、と言うプラグインです。
Force email loginを使わないと何が問題なのか?
WordPressのセキュリティに関して、
「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」
「WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する」
の記事を書きました。
ユーザを adminから変更し、ログイン URLを変更し、Basic認証を設定することである程度のセキュリティを確保したものと思っていました。
そのため、この「Force email login」まで入れる必要はないかな、と思っていました。
しかし、前回「WordPressの不正ログインを Edit Author Slugで回避」の記事でも書きましたが、それだけでは著作者アーカイブページを介してユーザ IDを調べることができてしまう状況があることが発覚しました。
著作者アーカイブに関しては、「Edit Author Slug」を利用して対応を行いましたが、今後もこのような形でユーザIDが表面化する箇所があるかもしれません。
そのため、現在の「ユーザID」を利用してログインする、と言う仕組み自体を変えないことには根本的な解決に至らない、との判断に至ったのです。
そして、その方法として「Force email login」を使って、メールアドレスでログインしよう、と言うものです。
Force email loginのインストール方法
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
Force email loginの設定方法
Force email loginの設定項目は、特にありません!
「Force email login」をインストールし、有効にするだけで全ての設定は終了です。
それだけで、これまで利用していたユーザIDでのログインは全て拒否され、メールアドレスでのログインだけが有効になります。
また、それだけではなく、何度かログインに失敗すると数秒間はログインできなくなる処理も追加されますので、ブルートフォースアタック(総当たり攻撃)に対する対抗手段の一つを追加することにもつながりますので、非常に有効なプラグインだと思います。
GoogleAdwords
GoogleAdwords
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!
関連記事
-
WordPress 画面が真っ白になる対応の一つ デバッグモード
WordPressで画面が真っ白になる不具合があった場合などのために用意されているデバッグモードの解説です。
-
WordPressのバージョンアップをしたら「the_content」でコンテンツが表示されなくなった
「the_content」でコンテンツが表示されないのは仕様が変更されたためでプログラムの修正が必要です。
-
WordPressのサイトマップ生成ツールPS Auto Sitemapの使い方
サイトマップを PS Auto Sitemapで自動生成する方法を説明します。このプラグインは Google用のサイトマップではなく一般ユーザが見るためのサイトマップページを作ります。
-
アクセス5倍増!FC2、seesaaからWordPressに引越結果をレポート
FC2、seesaaからWordPressに引越しでアクセス数がどう変わるかのレポート。canonical、meta refresh設定とWordPressの集客力の検証しています。
-
WordPressのパーマリンク設定の考え方
基本設定の一つであるパーマリンクの設定について解説。パーマリンクはURLを決定づける重要な項目ですので、設定の意味を理解して希望するURLになるよう設定しましょう。
-
FC2からWordPressに引越しの際のデータ加工方法の解説
FC2からWordPressに引越しの際にデータを加工する必要がありますが、その加工方法の詳細を解説。秀丸の正規表現による置換を使い作業時間も軽減する方法や加工のポイントも解説。
-
BackWPupでバックアップ・機能の基本設定 Settings
BackWPupその5。バックアップ設定のベースになるBackWPup自体の設定解説です。
-
WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する
ログインURLは誰でも知っています。そのまま使うとリスクが高まりますのでログインURLを変更し Basic認証で二重チェックをする方法を解説。
-
WordPressのコメントスパム対策 3つのプラグイン
対策なしではコメントスパムがやってきます。その対策方針としてプラグインを提示しながら解説します。いずれかの対策は必須です。
-
WordPress初心者向け フォルダ構成・データベース構成解説
BackWPupその11。バックアップを取るために必要なファイル、データベースの解説をします。