エス技研

WordPress、CakePHP、PHP、baserCMSなどの Web系システムを中心に情報を提供します!


WordPressの不正ログインを Force email loginで回避

      2014/12/07

Force email loginを入れて不正アクセスを回避

 

Force email loginとは?

 
Force email loginは、メールアドレスでログインするように変更するプラグインです。
 
通常、WordPressのログインは、ユーザID(ユーザ名)でログインをしますが、それではセキュリティ上甘くなる可能性がありますので、全く外部に利用されることのないユーザのメールアドレスでログインするようにしましょう、と言うプラグインです。
 
 

Force email loginを使わないと何が問題なのか?

 
WordPressのセキュリティに関して、
WordPressのユーザ名を後から変更する方法。adminの使用は危険。
WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する
の記事を書きました。
 
ユーザを adminから変更し、ログイン URLを変更し、Basic認証を設定することである程度のセキュリティを確保したものと思っていました。
そのため、この「Force email login」まで入れる必要はないかな、と思っていました。
 
しかし、前回「WordPressの不正ログインを Edit Author Slugで回避」の記事でも書きましたが、それだけでは著作者アーカイブページを介してユーザ IDを調べることができてしまう状況があることが発覚しました。
 
著作者アーカイブに関しては、「Edit Author Slug」を利用して対応を行いましたが、今後もこのような形でユーザIDが表面化する箇所があるかもしれません。
 
そのため、現在の「ユーザID」を利用してログインする、と言う仕組み自体を変えないことには根本的な解決に至らない、との判断に至ったのです。
 
そして、その方法として「Force email login」を使って、メールアドレスでログインしよう、と言うものです。
 
 

Force email loginのインストール方法

 
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
 
 

Force email loginの設定方法

 
Force email loginの設定項目は、特にありません!
 
 
「Force email login」をインストールし、有効にするだけで全ての設定は終了です。
 
それだけで、これまで利用していたユーザIDでのログインは全て拒否され、メールアドレスでのログインだけが有効になります。
 
また、それだけではなく、何度かログインに失敗すると数秒間はログインできなくなる処理も追加されますので、ブルートフォースアタック(総当たり攻撃)に対する対抗手段の一つを追加することにもつながりますので、非常に有効なプラグインだと思います。

 - WordPress

GoogleAdwords

GoogleAdwords

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

下記の空欄を埋めてください。 * Time limit is exhausted. Please reload CAPTCHA.

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

※入力いただいたコメントは管理者の承認後に掲載されます。

  関連記事

Contact Form 7の使い方・引数で情報を受け渡す方法

Contact Form 7で引数の情報をフォームに編集する方法を解説します。

P3(Plugin Performance Profiler)で負荷が高いプラグインを調査し表示スピードアップ!

まずは正確に現状把握を!P3(Plugin Performance Profiler)を使ってプラグインの処理時間を確認!簡単操作で対応すべきプラグインが一目瞭然になります!

カスタムフィールドの検索処理をget_posts()関数のmeta_queryで作成しそれを解説

カスタムフィールドを条件検索・抽出する機能開発の解説。サンプルソースをコピペすればOK。詳細解説もあるのでカスタマイズもできる!

XAMPPのWordPressの更新でFatal error: Maximum execution time of 30 seconds exceededのエラーが発生して失敗する場合の対処方法

XAMPP環境のWordPressアップデート時に「Maximum execution time of 30 seconds exceeded」のエラーが出る。「max_execution_time」を変更して解決する方法の解説。

Advanced Custom Fields管理画面の全項目完全解説・カスタムフィールド決定版!

カスタムフィールドを設定する最高のプラグイン。設定できる項目を全て網羅して解説。投稿の項目だけではなく、カテゴリやユーザ情報の項目を増やすことにも使えます。

WP Reviewを使ってWordPressのレビューサイトを構築

レビューサイトを構築するプラグインです。複数の評価者による評価点投稿やページごとに配色を変更する機能、機能満載なウィジェットなどレビューサイト構築に最適です。

seesaaからWordPressに引越。インストールなど必要な全てを解説

seesaaブログからWordPressへの引越し解説。他のブログにはないseesaaブログからcanonicalとリダイレクトの設定方法を実装!

wp_mail()関数でWordPressのスパム対策済のメールフォーム作成

WordPressでメール送信フォームを作成するための関数「wp_mail()」の使い方の解説。CC、BCC、添付ファイルも HTMLメールも設定可能。

Author hReviewでWordPressに構造化されたレビューサイトを構築

レビューサイトを構築するためのプラグイン。レビューの入力とレビュー対象のアイテムの情報を構造化データにするHTMLを編集する機能を提供します。

WordPressのカテゴリ単位・フォルダ単位でBasic認証を設定する方法

カテゴリ単位でBasic認証を設定する方法の解説。WordPressのカテゴリはフォルダの実態がないですが、実は簡単な方法でプラグインも使わずにBasic認証を設置できます。