エス技研

WordPress、CakePHP、PHP、baserCMSなどの Web系システムを中心に情報を提供します!


WordPressの不正ログインを Force email loginで回避

      2014/12/07

Force email loginを入れて不正アクセスを回避

 

Force email loginとは?

 
Force email loginは、メールアドレスでログインするように変更するプラグインです。
 
通常、WordPressのログインは、ユーザID(ユーザ名)でログインをしますが、それではセキュリティ上甘くなる可能性がありますので、全く外部に利用されることのないユーザのメールアドレスでログインするようにしましょう、と言うプラグインです。
 
 

Force email loginを使わないと何が問題なのか?

 
WordPressのセキュリティに関して、
WordPressのユーザ名を後から変更する方法。adminの使用は危険。
WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する
の記事を書きました。
 
ユーザを adminから変更し、ログイン URLを変更し、Basic認証を設定することである程度のセキュリティを確保したものと思っていました。
そのため、この「Force email login」まで入れる必要はないかな、と思っていました。
 
しかし、前回「WordPressの不正ログインを Edit Author Slugで回避」の記事でも書きましたが、それだけでは著作者アーカイブページを介してユーザ IDを調べることができてしまう状況があることが発覚しました。
 
著作者アーカイブに関しては、「Edit Author Slug」を利用して対応を行いましたが、今後もこのような形でユーザIDが表面化する箇所があるかもしれません。
 
そのため、現在の「ユーザID」を利用してログインする、と言う仕組み自体を変えないことには根本的な解決に至らない、との判断に至ったのです。
 
そして、その方法として「Force email login」を使って、メールアドレスでログインしよう、と言うものです。
 
 

Force email loginのインストール方法

 
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
 
 

Force email loginの設定方法

 
Force email loginの設定項目は、特にありません!
 
 
「Force email login」をインストールし、有効にするだけで全ての設定は終了です。
 
それだけで、これまで利用していたユーザIDでのログインは全て拒否され、メールアドレスでのログインだけが有効になります。
 
また、それだけではなく、何度かログインに失敗すると数秒間はログインできなくなる処理も追加されますので、ブルートフォースアタック(総当たり攻撃)に対する対抗手段の一つを追加することにもつながりますので、非常に有効なプラグインだと思います。

 - WordPress

GoogleAdwords

GoogleAdwords

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!

Message

メールアドレスが公開されることはありません。

下記の空欄を埋めてください。 * Time limit is exhausted. Please reload CAPTCHA.

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

※入力いただいたコメントは管理者の承認後に掲載されます。

  関連記事

WordPressの投稿プレビューのURLを変更する方法

プレビューを表示する際のURLを変更する方法の解説。「サイトアドレス (URL)」に基づいて編集されるURLを任意のURLに変更する場合の方法とその解説を行います。

WordPressで指定カテゴリにnoindexをプラグインなしで設定。特定の記事は外す処理も
WordPressで指定カテゴリにnoindexをプラグインなしで設定。特定の記事は外す処理も

指定したカテゴリのみnoindexをプラグインなしで設定する関数を解説。指定したカテゴリの中でも指定した記事はnoindex設定しないオプションを装備。その処理とnoindexを設定すべき理由を解説。

BackWPupでWordPress以外のファイル、データベースをバックアップ

BackWPupその10。BackWPupはWordPressのバックアップ用のプラグインですが、WordPress以外のテーブルやファイルをバックアップする方法の解説です。

Custom Post Type UIでカスタム投稿を設定し編集する方法解説

カスタム投稿を追加、管理するプラグインCustom Post Type UIの使い方の解説です。プラグインの解説ではあるものの、カスタム投稿の仕様の解説でもあります。

Better Delete Revisionを使って WordPressのリビジョンを削除する方法

自動的に溜まるリビジョンは Better Delete Revisionを使うことで簡単に削除することが出来ます。表示の重さを軽減したり、バックアップファイルのスリム化に貢献します。

WordPressの 外観のテーマのための関数の並び順

WordPressのカスタマイズの際にテーマのテンプレートを編集しますが、そのテーマファイルの並び順の解説です。

Lazy LoadでWordPressの高速化!SEO効果絶大!PVもアップ!

Lazy Loadは、画像を最初にまとめて読み込むことで発生するスピードの遅延を防ぎ、必要な画像から順番に読み込むことでページの表示スピードを向上させるプラグインです。

XAMPP環境で WP-DBMANAGERでの復元でDBが壊れる

XAMPP環境で WordPressの WP-DBMANAGERを利用して DBの復元をしたら DBが壊れた。

WP Basic AuthなどWordPressにBasic認証を設定するプラグインのまとめ

WordPressにBasic認証を設定する方法のまとめ。プラグインを使う方法と.htaccessで設定する方法を紹介。公開側、ログインページをそれぞれ設定できます。

Advanced Custom Fields(ACF)のアドオン・繰り返しフィールドの使い方解説

Advanced Custom Fieldsのアドオン・繰り返しフィールドについて解説。繰り返しフィールドは投稿者が入力フィールドを追加しながら情報を入力できるフィールドを提供。