WordPressでSiteGuardを使うときはログインページ変更+アクセス制限を使うなど3本メモ
プラグインSiteGuardからみのネタです。
1つは、ログインページURL変更だけで安心してしまうと、自動リダイレクト機能(これはWordpress元々の機能)で、リダイレクトして簡単にログインページが見えてしまう話。
もう1つは、管理者名など分からないようにするため、作成者IDなどは開示しないようにしたほうがいいという話。
この2本立てです。
そこそこメモが多くなってきたので過去ログ見ましたが、とくになかったので書きます。
自動リダイレクトは404表示で対応する
実際には公式のSiteGuardプラグインの説明にあるのでそちらを見てくださいというのが正しい気がします。とはいえ、SiteGuardを使いこなしてないと分からないかなとも思いつつ。使っていって分かる話かなという感じです。
SiteGuard WP Pluginの説明ページで、色々な機能の説明があります。今回は、管理ページアクセス制限+ログインページ変更についてです。
管理ページアクセス制限とは、ログイン成功してない関係ないIPアドレスは、/wp-admin/とかでアクセスしてもリダイレクトせず、404エラーとなります。これをONにしろってことですね。
同時に、ログインページ変更で、ランダムな英数字にしてしまえばいいと。
問題は、ログインページ変更だけをして安心してしまっている場合です。ログインページ変更したからいいでしょと思ったら、勝手にリダイレクトされて「意味ないじゃん」と思った方結構いるかもしれませんので。僕もそう思って調べた記憶があります。お気をつけください。
これは勝手に呼んでいるだけで正式な名称ではないです。
http://ドメイン名/?author=1
みたいに入れると、作成者の1番目のIDで表示します。これ自体は正しい動きなんですが、デフォルトで何も設定しておかないとまずかったかなと。
実際に運営ブログで確認すると、
- WordPress管理画面のユーザー画面で、ブログ上の表示名を変更すると確かに反映されます。が、URL自体にIDがでているのは変わらないです。これはユーザ名=IDをやはりそのまま出しているからなんでしょう。
ということが起きるんですね。気になる方は自分の運用サイトでやってみてください。
簡単にセキュリティ対策!SiteGuard WP Pluginの設定と注意事項・WAF対策が参考になったのですが、大分ページ下の方にありますが、「アドレス/?author=1でログイン時のユーザー名が丸見え対策」という部分で書かれていることと同じです。
そこで、Edit Author Slugというプラグインを導入して、回避ができます。例えば本ブログだと、入れてもそもそも1はいないので何もでないですが、author=2とすると何かでてきますが、ID自体は2となっています。当然これは管理IDではないので丸見え問題は避けられていることになります。当然推測できるIDにすべきではないわけですが。
このネタもわりとWordpressをいじってないとたどり着かない感じがします。結構運営していて気づくのが遅かったですね。
XML-RPCアクセスを受け付けない
おまけですが、xml-rpcとは外部からのログインができる機能です。で、これは例えばメールとかだったかな、外部アプリケーションからも投稿できる便利なものですが、それを悪意がある人が悪用もできるって話ですね。確かに以前xml-rpcでのアタックがいくつかありました。
制限の仕方は簡単で、.htaccessに、
<Files xmlrpc.php> Order Deny,Allow Deny from All </Files>
という記述で制限できるっぽいです。
xmlrpcのアクセス拒否テストまでやってないですが、xml-rpc自体では自分では使ってないのにアタックがあったものがなくなりました。おそらくコードが効いていると考えています。
Siteguardでログイン履歴みて、XML-RPCとか身に覚えがないものがあればぜひ対応してみてください。
おわりに
今回は2本軽いTIPS+おまけでした。
セキュリティを高めていくことでサイト運営意識も上がるし、不正アクセスも受けにくくなるということで良いのかなと思います。
もし、リダイレクトでログインページ見えるとか、authorで見えちゃうとか自サイトで試してみてやばいと思ったら対応の参考にしてみてください。
筆者プロフィール
- 「シゴクリ」運営者。アイデアの力でお客様に貢献するゼロイチ大好きアイデアマン。ビジネスアイデア相談実績等は200超を超える。好きな言葉は三方良し。詳しい自己紹介、仕事実績も合わせてご覧ください。お仕事メニューやお問い合わせはお気軽にどうぞ。
最新の投稿
- アイデアネタ2024年10月15日ハイチュウ訓から考える、小ネタを紹介するシゴトとか面白いかも
- 思考・考え方・メモ2024年10月12日書籍「インプット・ルーティン 天才はいない。天才になる習慣があるだけだ。」良かった良かった!
- お知らせ2024年10月11日ポッドキャスト配信のコツという本をkindle本としてリリースしました🚀
- シゴクリスペース2024年10月11日2024/10/11シゴクリスペースの最近の雰囲気
リサーチとアイデアの出し方講座
気になる方はハードルを極限まで下げているのでチェックしてみてください!