本記事では、WordPressのセキュリティ対策プラグイン「Login rebuilder」の設定方法や使い方をご紹介します。
セキュリティプラグインは他にもいくつかありますが、Login rebuilderはWordPressのログインURLを変更する機能に特化しています。
今回はLogin rebuilderの使い方を説明していますが、ログイン変更できるほかの有名プラグインは「WordPress管理画面ログインURLの変更できるプラグイン」をご参照ください。
Login rebuilderプラグインとは
| プラグインの公式サイト | https://ja.wordpress.org/plugins/login-rebuilder/ |
|---|---|
| 開発元 | 株式会社12ネット(国産プラグイン) |
| 有効インストール数 | 20,000+(2024年8月確認時点) |
| 平均評価 | 5.0(7件の評価) |
Login rebuilderは、株式会社12ネット」が開発したログインURLの変更の機能を提供するプラグインです。
ログインURLだけ追加で変更したい方におすすめのプラグインです。
- WordPressのログインURLの変更
- ログイン時のエラーメッセージをあいまいな内容に変更する
- 著者ページ(author)の閲覧制限
- 管理者以外の権限グループ用の第2ログインURLの作成
- ログイン履歴の確認
- ログイン履歴がないIPからのアクセスがあった場合、通知をする
- ピンバックの無効化、あるいは受信可能数を制限する
WordPressをインストールしたばかりの状態ではドメイン名の後ろに「/wp-admin」あるいは「/wp-login.php」を付けてあげることでログインページまでであれば誰でも辿り着けます。
ログインページにアクセスできてもパスワードを複雑なものにしていたり、ログイン失敗でのロックアウト機能や海外IPからの管理画面アクセス拒否などをしていれば、ほとんどの場合不正ログインを防ぐことは可能ですが、ログインURLを変更しておけばよりセキュリティが強くなります。
(関連記事)セキュリティプラグインSiteGuard
ログイン変更のほか、ログインロックや画像認証などそのほかのセキュリティ機能を強化できる有名プラグインに「SiteGuard WP Plugin」があります。
もしログイン変更のほかにセキュリティ全般を強化したい場合はSiteGuard WP Pluginなどほかのプラグインを検討すると良いでしょう。※当サイトもSiteGuardを採用しています。
関連WordPress「SiteGuard WP Plugin」の設定方法と使い方
Login rebuilderをインストールする
まずはLogin rebuilderをインストール・有効化していきましょう。WordPress管理画面でプラグイン>新規追加をクリックします。
画面右上の検索窓で「Login rebuilder」と検索して、下記プラグインを「今すぐインストール」しましょう。
プラグインがインストール後に「有効化」をクリックします。
これでプラグイン「Login rebuilder」が有効化されました。
プラグインが無事にインストール・有効化されていれば左サイドバーの「設定」項目の中に「ログインページ」「XML-RPC」という項目が追加されます。
Login rebuilderでログインURLを変更する
ログインURLを変更する基本設定
まずはWordPressのログインURLを変更する基本設定を解説します。
WordPressの管理画面で「設定」→「ログインページ」をクリックします。
ここでログインページを変更する際に変更が必要な箇所は以下の2点です。※このまま変更を保存してもまだ変わりません。後述のスタータスを稼働中に設定する必要があります。
- 無効なリクエスト時の応答
- 新しいログインファイル
無効なリクエスト時の応答
こちらの設定項目では、デフォルトログインページ(https://ドメイン名/wp-login.php)にアクセスした際に、どのエラーページを表示させるかを設定することができます。
※「ログインファイルのキーワード」ではランダムな8文字を自動生成されていますが、特に変更する必要はありません。
上の例では「サイトトップへリダイレクト」を選択している為、もしデフォルトログインページ(https://ドメイン名/wp-login.php)にアクセスされた場合、リダイレクトされてサイトのトップページが表示されるようになります。
新しいログインファイル
こちらの設定では、ログインページのURLを好きな文字列に変更することができます。
1点注意点が必要で、文字列の最後は必ず「.php」で終わるようにしましょう。
設定変更した際は「ステータス」を「稼働中」にする
このまま「変更を保存」を押しても上手く設定が反映がされない為、設定が反映されるようにしたい場合は「ステータス」を「稼働中」の状態にする必要があります。
こうしてあげることで「設定」→「ログインページ」で設定した全ての設定項目が反映されるようになります。
運用上の注意点:元に戻す場合はPHPファイル削除が必要
一度Login rebuilderでログインURLを変更したり後述の第2ログインファイルを作成した場合は、ログイン変更機能を無効化しても(元に戻しても)、変更後のログインURLや第2ログインURLを使用してログイン画面へアクセスができてしまいます。
その為、これらが不要になった場合はFTPソフトを使って作成したPHPファイルを削除してプラグインをアンインストールする必要があります。
- FTPソフトを使って作成したPHPファイルを削除する
- プラグインをアンインストールする
FTPソフトなどでレンタルサーバーにアクセス後、WordPressインストールディレクトリにある作成したログインファイル(ログインURL末尾の名前のファイル)を削除します。
※WordPressデフォルトのログインファイルwp-login.phpを誤って消さないようにしましょう。
なおFTPソフト「FileZilla」の使い方については以下の記事で解説していますので、操作方法が分からない方はこちらを参考にして下さい。
関連FTPソフト FileZilla の使い方【Mac・Windows対応】
関連【WordPressディレクトリ構成】フォルダ・ファイル構成
Login rebuilderプラグインの色々な使い方
Login rebuilderプラグインの使い方応用編です。
ログイン時のエラーメッセージをあいまいな内容に変更する
ログイン時のエラーメッセージをあいまいな内容に変更する方法について紹介します。
こちらを設定していないデフォルトの段階では、WordPressサイトへのログインに失敗した際にユーザー名に正しい情報を入力していた場合は、それが正しい情報だということがエラーメッセージからバレてしまうようになっています。
そこで「設定」→「ログインページ」の画面上の「その他」にある「ログイン時のエラーメッセージをあいまいな内容に変更する。」にチェックを入れておきます。
これで変更を保存すると、次回以降はログイン時にユーザー名が正しかった場合でもエラーメッセージ上からは分からないようにすることができます。
著者ページの閲覧を制限する
つぎに、著者ページの閲覧を制限する方法をご紹介します。
WordPressではデフォルトで、https://ドメイン名/?author=1にアクセスすると、該当ユーザーの記事の一覧が表示されているページ(著者ページ)に移動できます。
※ユーザーを複数作っている場合はauthor=1の数字はauthor=2、author=3...と入れることで他のユーザー名も確認できます。
https://ドメイン名/?author=1で開かれたページ(リダイレクトされた先)には、URL箇所にユーザー名が表示されてしまいます。
こちらは「設定」→「ログインページ」の画面上の「著者ページの閲覧」という項目から、「/?author=1」と記述することでリダイレクトできないようにきます。
「著者ページの閲覧」のラジオボタンを「404ステータス」に変更して「変更を保存」をクリックします。
設定後は、誰かが「http(s)://ドメイン名/?author=1」ページにアクセスしたとしてもリダイレクトされず、代わりに404ページが表示されます。
ピンバックの無効化、あるいは受信可能数を制限する
つぎにピンバックの無効化、あるいは受信可能数を制限する方法についてです。
ピンバック機能とはWordPressにデフォルトで搭載されている機能の1つで、サイト内の記事が内部・外部サイトの記事内にリンクとして貼られた場合にサイト管理者に自動通知する仕組みのことを言います。
ピンバック機能自体は非常に便利な機能なのですが、これはDDos攻撃と呼ばれるサイバー攻撃に悪用されたケースがありました(※)。
参考今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃
以下の方法でこちらを無効化、あるいは受信可能数を制限することができます。
「設定」→「XML-RPC」をクリックします。
ここで「ピンバック」という項目があるので、「すべてのピンバックを受信しない。」あるいは「一定時間内に受信できるピンバックを制限する。」にチェックを入れます。
また「設定」→「XML-RPC」で設定した全ての設定項目が反映されるようにする為には「設定」→「ログインページ」の際と同様、「ステータス」を「稼働中」に変更してあげる必要があります。
これで変更を保存すると、ピンバックを無効化、あるいは制限することが可能です。
補足ですが、WordPressには新規投稿に対してピンバックを無効化する機能が標準で搭載されています。
「設定」→「ディスカッション」をクリックします。
ここで「デフォルトの投稿設定」と書かれた項目の中にある「 新しい投稿に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける」のチェックを外して変更を保存すれば設定は完了です。
関連WordPressトラックバック・ピンバックとは?意味と使い方
管理者以外向けに第2ログインファイルを作成する
管理者以外向けに、第2ログインファイルを作成して管理者以外の権限グループ用のログインURLを作成することもできます。
こちらの機能は、寄稿者や投稿者といった権限が与えられている外注先のライターに管理者用のログインURLを使用して欲しくない場合などに利用できます。
WordPressの管理画面で「設定」→「ログインページ」をクリックします。
「ログインページ」画面が開くと「第2ログインファイル」と書かれた項目があるので、こちらに第2ログインファイルとして好きな文字列を設定し、権限グループにチェックを入れます。(※こちらもファイル名は必ず「.php」で終わるようにしましょう。)
これで「変更を保存」をクリックすると、上の例では「寄稿者」と「投稿者」がWordPressサイトにログインする際、「http(s)://ドメイン名/test2-login.php」を使ってログイン画面にアクセスすることができるようになります。
第2ログインファイルから管理者ユーザーでログインすることはできないので、管理者(制限なしの)ログイン画面と管理者以外のログイン画面を分けて運用することができます。
ログイン履歴のログを保存する
設定>ログインページにあるログ保存の設定から、ログイン履歴を保存することができます。
下記例では、「ログ保存>すべて」を選択して保存します。
ダッシュボードからログイン履歴を確認することができます。
まとめ・Login rebuilderの設定方法
まとめです。今回はWordPressのセキュリティ対策プラグイン「Login rebuilder」の設定方法や使い方をご紹介しました。
「Login rebuilder」を利用すると、WordPressの管理画面へのログインURLを変更することができます。
- WordPressのログインURLの変更
- ログイン時のエラーメッセージをあいまいな内容に変更する
- 著者ページ(author)の閲覧制限
- 管理者以外の権限グループ用の第2ログインURLの作成
- ログイン履歴の確認
- ログイン履歴がないIPからのアクセスがあった場合、通知をする
- ピンバックの無効化、あるいは受信可能数を制限する
なおLogin rebuilderの設定項目の意味やQ&Aについては「開発者様のマニュアルページ」で解説されていますので参考にしてみてください。
今回は以上になります。最後までご覧いただきありがとうございました。
あわせて読みたい記事
個別指導形式のスクールでは、自分の知りたいことをピンポイントで学習・達成でき、自分で更新もできるというメリットもあります。
教室の無料事前相談もしておりますので、まずはお気軽にご登録ください。
YouTubeチャンネル開設しました!
最大月間50万PVの当ブログをベースに、Youtube動画配信にてWordPress、ホームページ作成、ブログのことについてお役立ち情報を随時配信していきます。
ご興味ある方はぜひチャンネル登録をしていただけますと幸いです。
