WordPressの不正ログインを Force email loginで回避

2014/01/25 2014/12/07

Force email loginを入れて不正アクセスを回避

Force email loginとは？

　
Force email loginは、メールアドレスでログインするように変更するプラグインです。
　
通常、WordPressのログインは、ユーザID（ユーザ名）でログインをしますが、それではセキュリティ上甘くなる可能性がありますので、全く外部に利用されることのないユーザのメールアドレスでログインするようにしましょう、と言うプラグインです。
　
　

Force email loginを使わないと何が問題なのか？

　
WordPressのセキュリティに関して、
「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」
「WordPressのログイン画面 URLを変更する　管理画面に Basic認証を設定する」
の記事を書きました。
　
ユーザを adminから変更し、ログイン URLを変更し、Basic認証を設定することである程度のセキュリティを確保したものと思っていました。
そのため、この「Force email login」まで入れる必要はないかな、と思っていました。
　
しかし、前回「WordPressの不正ログインを Edit Author Slugで回避」の記事でも書きましたが、それだけでは著作者アーカイブページを介してユーザ IDを調べることができてしまう状況があることが発覚しました。
　
著作者アーカイブに関しては、「Edit Author Slug」を利用して対応を行いましたが、今後もこのような形でユーザIDが表面化する箇所があるかもしれません。
　
そのため、現在の「ユーザID」を利用してログインする、と言う仕組み自体を変えないことには根本的な解決に至らない、との判断に至ったのです。
　
そして、その方法として「Force email login」を使って、メールアドレスでログインしよう、と言うものです。
　
　

Force email loginのインストール方法

　
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
　
　

Force email loginの設定方法

　
Force email loginの設定項目は、特にありません！
　
　
「Force email login」をインストールし、有効にするだけで全ての設定は終了です。
　
それだけで、これまで利用していたユーザIDでのログインは全て拒否され、メールアドレスでのログインだけが有効になります。
　
また、それだけではなく、何度かログインに失敗すると数秒間はログインできなくなる処理も追加されますので、ブルートフォースアタック（総当たり攻撃）に対する対抗手段の一つを追加することにもつながりますので、非常に有効なプラグインだと思います。

- WordPress

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです！

Message コメントをキャンセル

※入力いただいたコメントは管理者の承認後に掲載されます。

: BackWPupでWordPressのDBもファイルもバックアップ

BackWPupその1。BackWPupとWordPressのバックアップについての解説。

: Custom Post Type UIでカスタム投稿を設定し編集する方法解説

カスタム投稿を追加、管理するプラグインCustom Post Type UIの使い方の解説です。プラグインの解説ではあるものの、カスタム投稿の仕様の解説でもあります。

: WordPressで WPtouchを入れたら「このウェブページにはリダイレクトループが含まれています」と表示されてページが表示されなくなった

WPtouchを入れたら「このウェブページにはリダイレクトループが含まれています」のエラーでページが表示されない。その解決法の解説です。

: P3（Plugin Performance Profiler）で負荷が高いプラグインを調査し表示スピードアップ！

まずは正確に現状把握を！P3（Plugin Performance Profiler）を使ってプラグインの処理時間を確認！簡単操作で対応すべきプラグインが一目瞭然になります！

: WordPressで指定カテゴリにnoindexをプラグインなしで設定。特定の記事は外す処理も

指定したカテゴリのみnoindexをプラグインなしで設定する関数を解説。指定したカテゴリの中でも指定した記事はnoindex設定しないオプションを装備。その処理とnoindexを設定すべき理由を解説。

: テキストエディタ秀丸で正規表現による置換の方法の解説

秀丸で正規表現による置換を行うポイントを紹介。置換をしながら特定のキーワードは置換せずに置換結果に残す方法を実例を上げながら解説しています。

: Unveil Lazy LoadでWordPressを高速化！SEO効果絶大でPVもアップ！

WordPressの表示を高速化するUnveil Lazy Loadの紹介。利用するJSを見直し高速化を徹底的に追求したプラグイン。入れるだけで高速化するので使わない手はない！

: WordPressのおすすめプラグイン記事のまとめ一覧

WordPressプラグインのまとめ。WordPressのプラグイン紹介記事も多くなってきたため紹介コメント付のプラグインまとめ記事を作成しました。

: WordPressのサイドバー（サイドナビ）はウィジェットで編集

サイドバー（サイドナビ）を編集するウィジェットの利用方法の解説です。カテゴリ一覧、アーカイブ、リンク集などを設定する方法を解説しています。

: WP Mail SMTPはPHP5.6、7.0系ではメール送信時にエラーが発生。その対処方法。

PHPのバージョンを5.6（7系含む）にアップデートしたらプラグイン WP Mail SMTPを利用してSMTPサーバ経由して送信していたメールが送信できなくなった。その原因と対処方法を詳細解説。