Security Blog
Posted By Gregory

WordPressのカスタムログインページ

wp-login.phpの名前を変更し、カスタムログインURLを作成し、自動化されたブルートフォース攻撃やボット攻撃からWordPressを保護する方法。


English version: Custom login page for WordPress


カスタムログインページ機能は、攻撃対象領域を減らし、スパム登録を排除するための優れたツールです。これは、新しくインストールしたWordPressで最初に有効にする必要があることです。もう1つの強く推奨されるセキュリティ対策は、 WordPressのプラグインフォルダの名前を変更することです。

重要な理由と機能する理由

Cerber Labでの調査によると、ほとんどのハッカーツールと攻撃は、被害者のWordPressを利用したWebサイトにデフォルトのログインページがあり、プラグインはデフォルトのフォルダーにあるという前提に基づいています。どのWebサイトでもデフォルト値を使用しないことをお勧めしますが、多くのWebサイト所有者はこれらの単純な原則を無視し、ハッカーが成功裏に攻撃できるようにしています。そしてそれがハッカーがWordPressをとても愛している理由であり、いつでも何十万ものハッキングされたWebサイトを目にします。

カスタムログインページを構成する

WP Cerberを使用すると、デフォルトのWordPressログインURLwp-login.phpを必要な任意のURLに簡単かつ安全に変更できます。つまり、独自の既知のカスタムログインページを構成し(カスタムログインURLは、このコンテキストでは同じことを意味します)、悪意のある攻撃者、スキャナー、およびボットからwp-login.phpを非表示にすることができます。 .htaccessファイルを編集したり、wp-login.phpファイルの名前を変更したりする必要はありません。 WP Cerberを使用すると、数回クリックするだけで構成できます。

  1. プラグインのメイン設定管理ページに移動します。
  2. 新しい目的のログインURLを[カスタムログインURL]フィールドに入力し、設定を保存します。それでおしまい。
  3. キャッシュプラグインを使用する場合は、キャッシュしないページのリストに新しいログインURLを追加します。
  4. 新しいログインURLが正しく機能し、それを使用してログインできることを確認します。シークレットブラウザウィンドウでこれを行います。新しいログインURLが正常に機能することを確認するまで、Webサイトからログアウトしないでください
WordPress login security and custom login page settings

Custom WordPress login page settings

ボットやスキャナーからwp-login.phpを非表示にする方法

顧客のログインページを有効にしたら、デフォルトのWordPressログインページを非表示にして、ブルートフォース攻撃が行われないようにするのが理にかなっています。これを実現するには、 「wp-login.php認証要求の処理」設定を「wp-login.phpへのアクセスをブロックする」に設定します。ページにアクセスしようとすると、WPCerberは標準の「404NotFound」ページをレンダリングします。考慮すべき欠点は1つだけです。攻撃者が十分に賢い場合、攻撃者はWebサイトをスキャンし続け、実際のログインページを検索する可能性があります。

wp-login.phpを無効にする方法

考慮すべきもう1つのより高度なオプションは、wp-login.phpへのアクセスをブロックせずに無効にすることです。それはどのように機能しますか?この独自のWPCerber機能は、wp-login.phpを介した認証の試みを阻止します。ログインしようとすると、WP Cerberはデフォルトの誤ったパスワードエラーを模倣し、ユーザー認証プロセスを中止します。どのパスワードを入力してもかまいません。正しいパスワードを使用しても、誰もログインできません。この機能を有効にするには、 「wp-login.php認証要求の処理」設定を「wp-login.phpによる認証を拒否する」に設定します。

考慮する必要のある欠点があります。あなたまたはあなたのユーザーがwp-login.phpが期待どおりに機能しなくなったことを忘れると、あなたまたは彼らはログインできなくなり、何度か試行した後、自分自身がロックアウトされます。それをするために。

あなたが知る必要がある重要なこと

  • W3 TotalCacheやWPSuper Cacheなどのキャッシュプラグインを使用する場合は、キャッシュしないページのリストに新しいカスタムログインURLのスラッグを追加する必要があります。
  • WordPressマルチサイトインストールの場合、新しいログインURLがグローバルにすべてのサイトに設定されます。
  • wp-login.phpファイルを手動で削除したり名前を変更したりしないでください。 WordPressを新しいバージョンに更新すると、wp-login.phpが復元され、侵入者が再びアクセスできるようになります。

二要素認証でより安全に

管理者のアカウントを保護するために2FAを有効にすることを検討してください。二要素認証は、ユーザー名とパスワードだけでなく、識別の2番目の要素を必要とするセキュリティの追加レイヤーを提供します。

詳細: WordPressの2要素認証を有効にする方法

カスタムログインURL機能のトラブルシューティング

カスタムログインページを有効にすると、一部のプラグインが機能しなくなる場合があります。ログインページカスタマイズプラグインまたはソーシャルログインプラグインを使用している場合、そのようなプラグインが機能しなくなる可能性があります。この問題を修正するには、「カスタムログインページのレンダリングを延期する」を有効にします。この設定の詳細をご覧ください

カスタムログインURLを設定し、しばらくしてそれを忘れた場合は、まず、サイト管理者の電子メールボックスをオンにして、新しいログインURLに関する通知電子メールまたは週次レポートの電子メールを確認します。これらのメールには、カスタムログインURLが表示されます。それらが見つからない場合は、以下の手順に従ってプラグインを手動で再インストールする必要があります。

  1. FTPまたはホスティングコントロールパネルのファイルマネージャーを使用して、プラグインフォルダー/ wp-cerber /を手動で削除します。
  2. デフォルトの/wp-login.phpURLを使用するか、カスタムログインURLを有効にする前に使用していた別の方法を使用して、通常どおりWordPressダッシュボードにログインします。
  3. 通常どおり、WP CerberSecurityプラグインをインストールしてアクティブ化します。
  4. プラグインのメイン設定ページに移動します。
  5. [カスタムログインURL]フィールドを確認します。使用する必要のあるカスタムログインURLが表示されます。それを覚えて。

WordPressのセキュリティを強化する次のステップ


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Vincent
Cancel Reply