WordPressの不正ログインを Force email loginで回避

2014/01/25 2014/12/07

Force email loginを入れて不正アクセスを回避

Force email loginとは？

　
Force email loginは、メールアドレスでログインするように変更するプラグインです。
　
通常、WordPressのログインは、ユーザID（ユーザ名）でログインをしますが、それではセキュリティ上甘くなる可能性がありますので、全く外部に利用されることのないユーザのメールアドレスでログインするようにしましょう、と言うプラグインです。
　
　

Force email loginを使わないと何が問題なのか？

　
WordPressのセキュリティに関して、
「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」
「WordPressのログイン画面 URLを変更する　管理画面に Basic認証を設定する」
の記事を書きました。
　
ユーザを adminから変更し、ログイン URLを変更し、Basic認証を設定することである程度のセキュリティを確保したものと思っていました。
そのため、この「Force email login」まで入れる必要はないかな、と思っていました。
　
しかし、前回「WordPressの不正ログインを Edit Author Slugで回避」の記事でも書きましたが、それだけでは著作者アーカイブページを介してユーザ IDを調べることができてしまう状況があることが発覚しました。
　
著作者アーカイブに関しては、「Edit Author Slug」を利用して対応を行いましたが、今後もこのような形でユーザIDが表面化する箇所があるかもしれません。
　
そのため、現在の「ユーザID」を利用してログインする、と言う仕組み自体を変えないことには根本的な解決に至らない、との判断に至ったのです。
　
そして、その方法として「Force email login」を使って、メールアドレスでログインしよう、と言うものです。
　
　

Force email loginのインストール方法

　
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
　
　

Force email loginの設定方法

　
Force email loginの設定項目は、特にありません！
　
　
「Force email login」をインストールし、有効にするだけで全ての設定は終了です。
　
それだけで、これまで利用していたユーザIDでのログインは全て拒否され、メールアドレスでのログインだけが有効になります。
　
また、それだけではなく、何度かログインに失敗すると数秒間はログインできなくなる処理も追加されますので、ブルートフォースアタック（総当たり攻撃）に対する対抗手段の一つを追加することにもつながりますので、非常に有効なプラグインだと思います。

- WordPress

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです！

Message コメントをキャンセル

※入力いただいたコメントは管理者の承認後に掲載されます。

: BackWPupでバックアップ・Jobの設定・保存する情報の設定

BackWPupその2。Jobのバックアップの基本部分と対象の設定についての解説。

: WordPressのプラグイン WP-DBMANAGERを使って PHP、CakePHP、baserCMSなどで作った Webサービスのデータベースも自動バックアップ

WP-DBMANAGERを使って WordPress以外の PHP、CakePHP、baserCMSなどで作った Webサービスのデータベースも自動バックアップする方法を解説。

: WordPressの一般設定投稿設定表示設定ディスカッションメディア

基本的な設定を行う「設定」の解説です。ブログサイトを構築する際に必要な設定内容を一般設定、投稿設定、表示設定などの各項目を説明しながら設定内容を提示しています。

: Theme My Loginの旧バージョン（V6.4.17）のダウンロード場所の紹介

Theme My Loginのバージョンアップ（V6.4系→V7.0系）で不具合が発生！問題を解消するには元バージョンにダウングレードだ！そんな時に必要となるV6.4系をダウンロードできるURLを紹介！

: BackWPupでWordPress以外のファイル、データベースをバックアップ

BackWPupその10。BackWPupはWordPressのバックアップ用のプラグインですが、WordPress以外のテーブルやファイルをバックアップする方法の解説です。

: WordPressのログイン画面 URLを変更する　管理画面に Basic認証を設定する

ログインURLは誰でも知っています。そのまま使うとリスクが高まりますのでログインURLを変更し Basic認証で二重チェックをする方法を解説。

: Throws SPAM Awayでコメントスパム対策を完璧に。自動削除で運用の手間ゼロ

コメントスパム対策の決定版ともいうべきプラグイン。簡単な設定で自動的にスパムコメントを削除してくれるので煩わしい作業はゼロに。細かな設定も可能。

: Advanced Custom Fieldsの関数の全部の使い方を調べてみた

Advanced Custom Fieldsに用意されている関数を全て調べてみた。よく使うget_field、the_field以外にも多くの関数が用意されていて、フォームを作成することも可能。

: Contact Form 7の使い方・引数で情報を受け渡す方法

Contact Form 7で引数の情報をフォームに編集する方法を解説します。

: SMTP Mailerでスパム判定回避。WP Mail SMTPで発生する送信エラーも対応

WordPressからのメールをスパム判定されずに送信する「SMTP Mailer」の解説。SMTP MailerはPHP 5.6、7.0になってもSMTP接続でエラーにならない設定を搭載しているのが特徴。