本記事では、WordPressのセキュリティ対策プラグイン「Login rebuilder」の設定方法や使い方についてをご紹介していきます。
WordPressでもセキュリティプラグインはいくつかありますが、他のセキュリティ対策プラグインに比べると、Login rebuilderはログインURLを変更する機能に特化しているのが特徴です。
この記事を読むと分かること
- Login rebuilderプラグインの概要やできることについて
- Login rebuilderをインストール・有効化する方法について
- Login rebuilderの使い方について
- Login rebuilderのおすすめ設定について
- Login rebuilderを使用する際の注意点について
Login rebuilderプラグインとは
プラグインの公式サイト | https://elearn.jp/wpman/column/login-rebuilder.html |
---|---|
開発元 | 株式会社12ネット(国産プラグイン) |
有効インストール数 | 20,000+(2022年1月確認時点) |
平均評価 | 5.0(6件の評価) |
「Login rebuilder」は神奈川県横浜市にオフィスを構える「株式会社12ネット」が開発したセキュリティ対策プラグインです。
細かいセキュリティ設定機能はなく、ログインURLの変更の機能に特化しているのが特徴です。
ログインURLだけ追加で変更したい方におすすめのプラグインです。
■Login rebuilderでできること
- ログインURLを変更する
- 管理者以外の権限グループ用の第2ログインURLを作成する
- ログを表示する
- 著者ページの閲覧を制限する
- ログイン履歴がないIPからのアクセスがあった場合、通知をする
- ログイン時のエラーメッセージをあいまいな内容に変更する
- ピンバックの無効化、あるいは受信可能数を制限する
(関連記事)セキュリティプラグインSiteGuard
ログイン変更以外にも色々細かなセキュリティ設定を行いたい場合によく使われryプラグインに「SiteGuard WP Plugin」があります。
「SiteGuard WP Plugin」の使い方については以下の記事にて詳しく解説しておりますので、ご興味ある方はこちらも併せてご覧下さい。
WordPress「SiteGuard WP Plugin」の設定方法と使い方
Login rebuilderをインストール・有効化する
それではまずはLogin rebuolderをインストール・有効化していく方法についてをご紹介していきます。
WordPressの管理画面を開いて、左サイドバーから「プラグイン」→「新規追加」をクリックします。
プラグインの新規追加画面が表示されたら、画面右上の検索窓で「Login rebuilder」と検索し、でてきたこちらのプラグインを「今すぐインストール」しましょう。
プラグインがインストールされたら最後に「有効化」をクリックします。
これでプラグイン「Login rebuilder」が有効化されました。
プラグインが無事にインストール・有効化されていれば左サイドバーの「設定」項目の中に「ログインページ」「XML-RPC」という項目が追加されているはずです。
Login rebuilderでログインURLを変更する
まずはWordPressのログイン画面を表示するログインURLを変更する方法についてを解説します。
WordPressの管理画面で「設定」→「ログインページ」をクリックします。
ここでログインページを変更する際に変更が必要な箇所は以下の2点です。
- 無効なリクエスト時の応答
- 新しいログインファイル
無効なリクエスト時の応答
こちらの設定項目では、デフォルトログインページ(https://ドメイン名/wp-login.php)にアクセスした際に、どのエラーページを表示させるかを設定することができます。
上の例では「サイトトップへリダイレクト」を選択している為、もしデフォルトログインページ(https://ドメイン名/wp-login.php)にアクセスされた場合、リダイレクトされてサイトのトップページが表示されるようになります。
新しいログインファイル
こちらの設定では、ログインページのURLを好きな文字列に変更することができます。
1点注意点が必要で、文字列の最後は必ず「.php」で終わるようにしましょう。
設定変更した際は「ステータス」を「稼働中」にする
なお「Login rebuilder」では全ての項目において同様のことが言えるのですが、このまま「変更を保存」を押しても上手く設定が反映がされない為、設定が反映されるようにしたい場合は「ステータス」を「稼働中」の状態にしてあげなければなりません。
こうしてあげることで「設定」→「ログインページ」で設定した全ての設定項目が反映されるようになります。
(補足):WordPressではデフォルトのログインURLが決まっている
WordPressをインストールしたばかりの状態ではドメイン名の後ろに「/wp-admin」あるいは「/wp-login.php」を付けてあげることでログインページまでであれば誰でも辿り着けます。
ログインページにアクセスできてもパスワードを複雑なものにしていたり、ログイン失敗でのロックアウト機能や海外IPからの管理画面アクセス拒否などをしていれば、ほとんどの場合不正ログインを防ぐことは可能ですが、ログインURLを変更しておけばよりセキュリティが強くなります。
なおログインURLを変更する他の方法についても知りたい方は以下の記事で解説しておりますので、ご興味がある方はこちらも併せてご覧下さい。
Login rebuilderプラグインの色々な使い方
Login rebuilderプラグインの使い方応用編です。
ログイン時のエラーメッセージをあいまいな内容に変更する
ログイン時のエラーメッセージをあいまいな内容に変更する方法について紹介します。
こちらを設定していないデフォルトの段階では、WordPressサイトへのログインに失敗した際にユーザー名に正しい情報を入力していた場合は、それが正しい情報だということがエラーメッセージからバレてしまうようになっています。
そこで「設定」→「ログインページ」の画面上の「その他」にある「ログイン時のエラーメッセージをあいまいな内容に変更する。」にチェックを入れておきます。
これで変更を保存すると、次回以降はログイン時にユーザー名が正しかった場合でもエラーメッセージ上からは分からないようにすることができます。
ピンバックの無効化、あるいは受信可能数を制限する
つぎにピンバックの無効化、あるいは受信可能数を制限する方法についてです。
ピンバック機能とはWordPressにデフォルトで搭載されている機能の1つで、サイト内の記事が内部・外部サイトの記事内にリンクとして貼られた場合にサイト管理者に自動通知する仕組みのことを言います。
ピンバック機能自体は非常に便利な機能なのですが、これはDDos攻撃と呼ばれるサイバー攻撃に悪用されたケースがありました(※)。
(※関連記事)今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃
以下の方法でこちらを無効化、あるいは受信可能数を制限することができます。
「設定」→「XML-RPC」をクリックします。
ここで「ピンバック」という項目があるので、「すべてのピンバックを受信しない。」あるいは「一定時間内に受信できるピンバックを制限する。」にチェックを入れます。
また「設定」→「XML-RPC」で設定した全ての設定項目が反映されるようにする為には「設定」→「ログインページ」の際と同様、「ステータス」を「稼働中」に変更してあげる必要があります。
これで変更を保存すると、ピンバックを無効化、あるいは制限することが可能です。
(補足): 新規投稿に対してのピンバックの無効化機能はWordPressに標準搭載されている
なお補足ですが、WordPressには新規投稿に対してピンバックを無効化する機能が標準で搭載されています。
「設定」→「ディスカッション」をクリックします。
ここで「デフォルトの投稿設定」と書かれた項目の中にある「 新しい投稿に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける」のチェックを外して変更を保存すれば設定は完了です。
著者ページの閲覧を制限する
つぎに、著者ページの閲覧を制限する方法をご紹介します。
WordPressではデフォルトで、ある特定の著者が書いた記事の一覧が表示されているページ(著者ページ)が生成されています。
こちらのページはサイトURLの末尾に「/?author=1」と記述することでリダイレクトされて表示することができるのですが、リダイレクト先ページのURL箇所にユーザー名が表示されてしまいます。
こちらは「設定」→「ログインページ」の画面上の「著者ページの閲覧」という項目から、「/?author=1」と記述することでリダイレクトできないようにすることができます。
「著者ページの閲覧」のラジオボタンを「404ステータス」に変更してあげて「変更を保存」をクリックすると、誰かが「http(s)://ドメイン名/?author=1」ページにアクセスしたとしてもリダイレクトされず、代わりに404ページが表示されるようになります。
(補足)管理者以外向けに第2ログインファイルを作成する
管理者以外向けに、第2ログインファイルを作成して管理者以外の権限グループ用のログインURLを作成することもできます。
こちらの機能は、寄稿者や投稿者といった権限が与えられている外注先のライターに管理者用のログインURLを使用して欲しくない場合などに利用できます。
WordPressの管理画面で「設定」→「ログインページ」をクリックします。
「ログインページ」画面が開くと「第2ログインファイル」と書かれた項目があるので、こちらに第2ログインファイルとして好きな文字列を設定し、権限グループにチェックを入れます。(※こちらもファイル名は必ず「.php」で終わるようにしましょう。)
これで「変更を保存」をクリックすると、上の例では「寄稿者」と「投稿者」がWordPressサイトにログインする際、「http(s)://ドメイン名/test2-login.php」を使ってログイン画面にアクセスすることができるようになります。
第2ログインファイルから管理者ユーザーでログインすることはできないので、管理者(制限なしの)ログイン画面と管理者以外のログイン画面を分けて運用することができます。
Login rebuilderを使用する際の注意点
Login rebuilderを使用する際1点注意が必要で、1度Login rebuilderでログインURLを変更したり、第2ログインファイルを作成した場合は、ログイン変更機能を無効化しても変更後のログインURL、第2ログインURLを使用してサイトへのアクセスができてしまいます。
その為、これらが不要になった場合はFTPソフトを使って作成したPHPファイルを削除するかプラグインをアンインストールしてあげる必要があります。
■変更後のログインURLや第2ログインURLが不要になった場合の削除方法
- FTPソフトを使って作成したPHPファイルを削除する
- プラグインをアンインストールする
なおFTPソフト「FileZilla」の使い方については以下の記事で解説していますので、操作方法が分からない方はこちらを参考にして下さい。
(併せて読みたい関連記事)
まとめ・Login rebuilderの設定方法
まとめです。今回はWordPressのセキュリティ対策プラグイン「Login rebuilder」の設定方法や使い方についてをご紹介しました。
「Login rebuilder」を利用すると、WordPressの管理画面へのログインURLを変更することができます。
■Login rebuilderでできること
- ログインURLを変更する
- 管理者以外の権限グループ用の第2ログインURLを作成する
- ログを表示する
- 著者ページの閲覧を制限する
- ログイン履歴がないIPからのアクセスがあった場合、通知をする
- ログイン時のエラーメッセージをあいまいな内容に変更する
- ピンバックの無効化、あるいは受信可能数を制限する
なお、そのほかのよく使うおすすめプラグイン一覧を「WordPressおすすめプラグインを一覧・目的別紹介」でご紹介していますので、プラグインをお探しの方はあわせてご参考いただけると幸いです。
今回は以上になります。最後までご覧いただきありがとうございました。
あわせて読みたい記事
個別指導形式のスクールでは、自分の知りたいことをピンポイントで学習・達成でき、自分で更新もできるというメリットもあります。
教室の無料事前相談もしておりますので、まずはお気軽にご登録ください。
YouTubeチャンネル開設しました!
最大月間50万PVの当ブログをベースに、Youtube動画配信にてWordPress、ホームページ作成、ブログのことについてお役立ち情報を随時配信していきます。
ご興味ある方はぜひチャンネル登録をしていただけますと幸いです。