ブログ

【WordPress】ログイン画面に誰でも入れちゃうってまじか

ブログ奮闘中のトリモです。最近こんな事がありました。

とりも
とりも
わし、ブログやり始めてみたんや!
師匠
師匠
え?ブログやってんの?
とりも
とりも
そうだよ~みてみて~
師匠
師匠
へ~ログイン画面入れるやん。時間ある時にユーザー名とパスワード特定しておくわ。
とりも
とりも
え? は? どゆこと? は?

ログイン画面入れるの!?ってなる訳ですよ…鬼な師匠を持つと僕のブログに対して解析してこようとするんですよ!怖すぎ!

もちろん本気で解析しようとは思っていないでしょうが、危ないよ!と注意してくれたのも事実!これは今すぐ対処せねば!という事で…

今回はWordPressのログイン画面についてお話したいと思います

WordPressのログイン画面

どうやってログイン画面出してる?

ログイン画面の出し方はこれぐらいですかね…

ログイン画面の出し方

・レンタルサーバーから管理画面を表示

・URLから表示

僕は今までログイン画面をお気に入り登録して表示していました。この時点で気付くべきだったのですが、WordPressで作ってるブログだとURLにちょっと追記するだけで、ログイン画面が表示されてしまうんです…

【WordPressのログイン画面】

ログイン画面がデフォルトだと何がいけないの?

URLに何かを追記すれば、ログイン画面が出ちゃうのは分かったけど、何故それがダメなのかも知っておいた方がいいですね!

この画面が出ちゃうと
何度でもユーザー名とパスワードを入力する事が出来てしまうんです。

それを何十何百万通りやってログイン画面を突破されてしまう可能性があるのです。あとは、管理者になりすましてあんな事やこんな事まで….

実際にこんな事をやろうとする人がいるんですよね~本当に怖い。

こんな人はやばいかも!

自分のログイン画面を見直してみましょう。


カスタマイズをしていない方は、こうではないですか?

この画面の方は、自分のサイトやブログのURLをクリックして下記のURLを入力してみてください。

・自分のサイトURL/wp-login

・自分のサイトURL/wp-admin

どうでしたか?
これでログイン画面が表示されてしまった人は、危ないかもしれませんよ!

これが出来てしまうという事は、他の人が上記のURLを入力した場合もログイン画面が表示されてしまうという事です!

Oh…これはよろしくない…

どうすればいいの?

ログイン画面を簡単に表示させなければいいのです!
僕は、現状の対策としてプラグインを導入してみました。

導入したプラグイン

SiteGuard WP Pluginを導入しました。
主に不正ログインや管理ページへのアクセスを防ぐ事が目的のプラグインです。

早速導入してみよう!

導入方法

SiteGuard WP Plugin導入方法

①WordPressのダッシュボードからプラグインの新規追加をクリック

②プラグイン検索窓でSiteGuard WP Pluginを検索してインストール

③インストールが完了したらプラグインを有効化
※有効化すると自分のサイトURL/wp-loginではログイン画面に入れなくなります。

プラグインを有効化した後に、管理者のメールを確認してみてください。

新規のWordPressログイン画面のURLが来ています。

通常のログイン画面URLより安全なURLになりました。まだ、少し設定が足りないのでお付き合いください!今の状態をメモしておきますね。

・wp-loginのURLが変わった

・wp-adminと追記すると表示されてしまう

・SiteGuard WP Pluginについてあまり知らない

詳細説明

SiteGuard WP Pluginが有効化されたので、ダッシュボードに追加されています。

今回の要件を満たしてくれる、機能を3つご紹介します。

管理ページアクセス制限

これをONにすると、先ほど言っていた他者がwp-adminと入力しても入れなくなります。そして変更したログインURLから管理者画面に入った人だけwp-adminで入れる様になります。

ログイン時にIPアドレスを登録しているみたいですね。IPアドレスが登録されていない人からのwp-adminのアクセスは拒否するみたいな感じでしょうか。

ログインページ変更

ログインURLの変更が出来ます。

現在は、プラグインが導入された時に自動で決定されたURLになっています。URLを変更したい場合はこちらで変えてください。

画像認証

認証をもう1段階追加できます。追加するとこんな感じになります!

他にも色々な項目がありますが、プラグイン上からURLで公式サイトの説明ページへ飛べるようになってますね。他にも気になる方はそちらから見てみてください!

まとめ

WordPressの管理者画面はどんな操作も出来てしまいます。

管理者画面は、ログイン画面を突破された時点で表示されてしまいますが、デフォルトの設定ではログイン画面を簡単に出す事が出来てしまうみたいです。

今回はプラグインを使った対処法ですが、これを導入したから絶対安全という訳ではありません。またWordPressについて理解が足りない事も改めて分かりましたので、これからブログ運営をしていく中で知識をつけていこうと思いました。

他にも良いやり方があるかもしれません。知っている方がいらっしゃいましたら、是非コメントに書いてください。最後までありがとうございました。