WordPressのセキュリティの話。

こういう対策をしたい人向けの記事です。

• ログイン画面を外部から隠したい
• wp-adminをアクセス不可にしたい

そういう時はプラグインの力を借りましょう。

とても便利で使いやすいのも見つけたので、
導入方法をとても分かりやすく解説します。

これでセキュリテイ対策は万全です！

ログイン画面・wp-adminを隠すべき理由

WordPressログイン画面は誰でもアクセス可能。

例えば以下のブログドメインがあるとします。

↓ とあるブログのURL

URL : https://my-blog.com/

このログイン画面を開く方法は２つです。

↓ 次のURLにアクセスすればいい

URL : https://my-blog.com/wp-login.php

URL : https://my-blog.com/wp-admin

もう全世界から丸見えなんです。

攻撃者はログイン画面にすすめるか確認し、そこからパスワードを総当たりなどして不正アクセスします。とても怖い

だからログイン画面／wp-adminは隠すべきですね。

対策は Login Rebuilderプラグインの導入

根本的な対策はログイン画面を隠すことです。

でも技術的なことは素人には難しすぎます。

そこで登場が Login Rebuilderプラグイン

↓ こちらのプラグイン

このプラグインを使えば次のことができます。

• wp-login.phpへのアクセスを防げる
• wp-admin ⇒ ログインへのリダイレクト防止
• カスタムのログイン画面URLを作成できる

デフォルトのログイン画面を無効化できます。

そして wp-login.php のようなログインURLの代わりに、自分で任意のログインURLを作れちゃうという代物です。つまりログイン画面にたどり着けるのはあなただけ！

ある意味最強のセキュリティ対策と言えます。

１．Login Rebuilderプラグインを有効化

それではプラグインをインスト・有効化します。

プラグインの新規追加を開き、
そこで「login rebuilder」を検索してください。

↓ Login Rebuilderプラグインが出てくるはず

手動インストールする場合は次ページから

URL : https://ja.wordpress.org/plugins/login-rebuilder/

インストールが終わったら「今すぐインストール」ボタンが「有効化」ボタンに変わるので、最後にそれも押して有効化しておきましょう。

これでログイン画面を隠す準備ができました。

２．新しいログインURLを作成する

それではログイン画面を隠す作業に入ります。

プラグインの設定画面を開いてください。

↓「設定」⇒「ログインページ」とクリック

↓ このような画面が出てくる

※ 操作はまだ何もしないでください！

この時点ではログイン画面は隠されてません。

初めに以下設定項目に注目です。

↓ 「新しいログインファイル」の項目

この名前が新しいログイン画面のURLになります。

デフォルトだと your-login.php になってますね。

それだと簡単に推測されるので・・・
次のように複雑なログインファイル名にしておきます。

名前を付けるときは以下の点に注意が必要です。

• 半角英数字ならなんでも使ってOK
• 日本語など全角文字は使ってはダメ
• ハイフンなどの記号も含めてはダメ
• 最後に必ず「.php」を付けること

そして名前を絶対にメモしください！
あるいは画面ごとスクショするのでも良いです。

メモしましたか？？ＯＫなら次に進んでください。

最後にステータスを「稼働中」に切り替えましょう。

↓ このように切り替えする

そして設定画面下の「変更を保存」を押してください。

……はい、これでログイン画面が完全に隠されました。

３．隠しログイン画面にアクセスできるか確認

今設定したカスタムログイン画面、

そこに正常にアクセスできるか確かめてください。

↓ 例えば以下の隠しログイン画面を設定したなら…

↓ 次のURLから隠しログインページに入れる

URL : https://my-blog.com/login2O23O7lllOl6.php

↓ いつものログイン画面が開かれる

これでログイン画面・wp-adminを隠すことに成功です。

旧ログイン画面・wp-adminは403で隠される

ちなみにwp-login.php、wp-adminは403になります。

↓ 攻撃者はログイン画面にたどり着けない

ブログ管理者がログインURLを忘れなければOK

これでセキュリティが飛躍的に向上しました。

もし新しいログインURLを忘れたら？

ここからはトラブルシューティングの時間。

次のトラブルが起きてしまった場合です。

• 設定前に新ログインURLのメモを忘れた…
• 新しいログインURLを忘れてしまった…

こういう事態に陥っても大丈夫です。

その場合はプラグインを無効化しましょう。

「いや管理画面に入れないと無理では…？」

そう思うかもしれませんが、原始的に無効化できます。

1. レンタルサーバーなどでFTP接続
2. プラグインディレクトリを探す
3. フォルダ login-rebuilder を探す
4. それを __login-rebuilder に改名

より詳しい方法は以下の記事でも紹介しました。

PHPバージョンアップでWordPresエラーの対処法

PHPバージョンアップでWordPressでエラーが出た、管理画面にアクセスできなくなった・・・そういった時の対処法について。自分自身の経験と、今までのご相談事例を元にまとめました。

fukuro-press.com

2021-04-09 07:48

技術に自信のある人はこの方法を試してください。

もしサッパリ意味不明という方は…

私自身がWordPressトラブル解決相談を実施してます。

WordPressのトラブル解決相談始めました！

WordPressが真っ白になった、デザインが崩れた・・・そんなWordPressのトラブル解決相談ができるサービスをココナラで始めました！もしWPのブログ運営で困った時は是非ご利用ください。お得な割引情報もお知らせ・・・

fukuro-press.com

2023-07-01 21:06

お困りなら一度ご相談ください。（割引特典あり）

※ ただし依頼は一律価格でないことに要注意

平日休日祝日に関係なく対応できます。

セキュリテイを強めるための関連記事

WordPressセキュリテイの関連記事です。

↓ WPセキュリティを高める６つの対策

セキュリテイ意識はどれだけ高くても損しません。

過剰なくらいに対策するのが丁度いいです。

ということでログイン画面・wp-adminを隠す方法でした。

The post WordPressのログイン画面・wp-adminを隠すには？完ぺきなやり方 first appeared on Fukuro Press.

WordPressにログインしようとしたら・・・

みたいなトラブルに遭遇する人は多いです。

そして「開かずの扉」ならぬ、「開かずのブログ」になります。

そんな窮地に陥っている人のための記事です。

ここでは、WordPressでパスワードを忘れた時の対処法を２つ紹介 します。

自力で解決できずお困りなら、
今から紹介する２つのいずれかを試してみてください。

対処法１．メールアドレスからパスワード再発行

１つめの対処法は次のような人向け

• パスワードだけを忘れてしまった
• ユーザー名は覚えている
• 登録メルアドも覚えている

パスワード再発行は次の３ステップで実行できます。

※ もし登録メルアドも忘れた人は ２つめの対処法 を試してください。

１．ログイン画面からメールアドレス入力

ではまずWordPressのログイン画面を開きましょう。

そしてログイン画面を開いたら、
「パスワードをお忘れですか？」と書かれたリンクをクリック

ユーザー名 or メールアドレス入力が求められるので、
どちらか入力して「新しいパスワードを取得」ボタンをクリック

「メールアドレス」は WordPressインストール時に登録したメールアドレス です。

それ以外のメールアドレスを入力しても無効なのでご注意を。

２．再発行リンクからパスワード再設定

しばらくすると次のようなメールが届きます。

その中の パスワードリセット用リンク をクリックしてください。

もしメールが届かないなら、
迷惑メールフォルダを探すと見つかることが多いです。

リンクをクリックすると、次のパスワードの再設定画面が表示されます。

この画面で新しいパスワードを入力。

終わったら「パスワードをリセット」ボタンを押しましょう。

これでパスワードの再設定は完了。

この時点で新パスワードでログインできるようになりました。

３．再発行したパスワードでログイン

パスワードが再発行されたら、
ログイン画面にアクセスしてそのパスワードを入力しましょう。

↓ よかった・・・ログインできた(T_T)

以上がパスワードを再発行の手順です。

パスワード紛失したことない人でも、
覚えておけば ”もしものとき” に役立ちますね。

対処法２．phpmyadmin からパスワード変更

２つめの対処法は次のような人向け

• 登録メールアドレスも忘れた
• 再発行メールもなぜか届かない

つまりWPからパスワード再発行ができない時の対処法です。

こういう状況なら、
次の phpmyadmin というツールを使った手順をお試しください。

１．まずサーバーでmySQLユーザーを追加する

まずはレンタルサーバーでの作業

それがMySQLユーザーを追加すること

サーバーによって微妙に手順は違いますが、基本は同じです。

ここでは エックスサーバー での MySQLアカウント作成手順 を例にします。

その手順は以下の通り

まず管理画面にログインし、「データベース」ー＞「MySQL設定」をオープン

↓ エックスサーバー管理画面トップにて

するとMySQLの全般設定画面が出てくるはず

そこで「MySQLユーザー追加」タブを開いてみてください。

そしてMySQLユーザーIDとパスワードを入力します。

↓ MySQLユーザーの作成例

各項目の入力の仕方（ルール）は次の通り

• MySQLユーザーID
  ⇒　半角英数字で7文字以内
• MySQLパスワード
  ⇒　半角英数字で8文字以上16文字以内

以上の２つを入力したら「確認画面へ進む」を押します。

そして内容に問題が無ければ、「追加する」をクリック

ユーザー追加したら「MySQL一覧」に戻ってください。

そして現在WordPressで使っているデータベースを見つけ、
その「アクセス未所有権ユーザー」から先ほど追加したユーザーを選択します。

↓ このような感じでユーザー追加すればＯＫ

↓ 最後に必ず「追加」を押すのを忘れずに！

以上でPHPMyAdminにログインする準備が整いました。

ここまできたら あと少しです。

２．phpmyadmin経由でパスワード変更する

最後に phpmyadmin からパスワード変更します。

あんまり聞きなれないツールですよね。

でも phpmyadmin を使えば、
パスワードを忘れていても強制的にパスワード変更できます。

ただし１つ注意点です。

ここからの作業は本当に慎重に行ってださい。

過剰に心配する必要はないですが、
データベースはWPにとって超大事なのをお忘れなく。

ではまず phpmyadmin にログインします。

エックスサーバー管理画面の場合は、
「データベース」ー＞「phpmyadmin」からオープン可能です。

そうするとこういう画面が出てきましたよね？

これがphpmyadminと呼ばれるツールです。

左にあるのが現在サーバーで使われているデータベース一覧になります。

そして左から現在WPで使用してるデータベース（DB）を探しましょう。

それを「+」を押して展開し、
展開した中から「wp_users」というのをクリックしてみてください。

↑ 目的のデータベースから「wp_users」を開いているときの様子

今度は右側で「wp_users」の中身が表示されたはずです。

ココはユーザー情報（名前、パスワード、etc...）が１行ごとに記録されてます。

そして自分のユーザー情報のある行を探し、「編集」を押してください。

↑ 赤矢印で指示した場所をクリック！

するとユーザー情報を変更する画面が出てきます。
（正確には違うけど、ここでは詳しいことは省略・・・）

この画面の【user_pass】という部分に注目です。

名前から分かるように、ここにユーザーパスワードが記録されてます。

ココを変更すれば、元のパスワードでログインできる訳です。

その手順ですが、必ず以下の手順で変更を行ってください。

1. 【関数】から "MD5" を選択
2. 【値】にそのままパスワード入力
3. 最後に【実行】ボタンを押す

言葉で分かりにくいなら、次の画像をご覧ください。

【関数】から "MD5" を選択するのが特に重要なポイント

それさえ気を付けてれば、パスワード変更は成功します。

以上が phpmyadmin を使ったパスワード変更手順

手順さえ間違わなければ、ログインできるようになったはずです。

大変な作業だったかもですが、お疲れ様でした！

やり方が分からない場合は・・・

もし上２つで紹介したどちらの方法を試したけど、

• パスワード変更がどうしてもできない
• そもそも変更方法がよく分からない
• 自分で作業してトラブルを起こしたくない

そういう人向けに ココナラで作業代行のサービス も行っています。

もしお困りの方は、
次記事で紹介したサービスからご相談＆ご依頼ください。

WordPressのトラブル解決相談始めました！

WordPressが真っ白になった、デザインが崩れた・・・そんなWordPressのトラブル解決相談ができるサービスをココナラで始めました！もしWPのブログ運営で困った時は是非ご利用ください。お得な割引情報もお知らせ・・・

fukuro-press.com

2023-07-01 21:06

長年のWordPress運用経験を活かし、
トラブル解決＆作業代行に当たらせていただきます。

もちろんログインできない以外のトラブルにも対応しています。

興味のある方はお気軽にご相談ください。

パスワード紛失時の対処法まとめ

ということで、対処法のまとめ

• 登録メルアドからパスワード再発行
  これはパスワードだけ忘れたときに試すべき方法。もしユーザー名も登録メールアドレスも忘れたなら、２つめの方法を試そう
• phpmyadminからパスワード変更
  サーバー側から phpmyadmin を使い、強制的にパスワード変更する方法。パスワードを忘れてしまった時の最終手段

ほとんどの場合は１番目で解決できるはずです。

でも場合によっては phpmyadmin が必要になるケースもありますね。

以上、WordPressでパスワード忘れたときの対処法でした。

The post WordPressのパスワードを忘れたときの２つの応急処置 first appeared on Fukuro Press.

WordPressは広く使われている分、セキュリティ的に弱いところを突かれて不正ログインなどの被害に遭いやすいです。

なので不正ログインを他人事と思わずに「自分もいつか被害に遭うかもしれない」、という気持ちでセキュリティ対策はしておくべきです。

ではセキュリティを高めるためにいったい何をすればいいのか・・・

その答えの１つがログイン画面で2段階認証を有効にすることです。

ここでは Google Authenticator ( miniOrangeプラグイン ) を使い、2段階認証を設定する手順について紹介していきます。

2段階認証ってそもそも何？導入するメリットとは

2段階認証は最近よく聞くようになった言葉ですよね。

これはログイン時にパスワードに加え、
さらに他の情報を求めて2段階の認証をさせることです。

例えば今までの方法だと、次みたいな1段階認証。

1. IDとパスワードを入力
2. 正しければログイン成功

このように、IDとパスワードだけなのが今までの問題点。

そこで2段階認証では、もう１つ本人確認の作業を増やしています。

その認証作業の例をいくつか挙げるとすると・・・

• 登録したメール宛てに届いた認証コードを入力
• 音声通話でパスワードを受け取り入力
• 認証アプリを使って受け取った認証コード入力

・・・などなど

メールとか電話番号とかスマホの認証アプリというのは本人でしか使えないので、誰かがなりすましでログインできる可能性がかなり低くなります。

WordPressでも次に紹介するGoogle Authenticatorプラグインを導入すれば、管理画面でもこの2段階認証が利用可能です。

例えば管理画面でパスワードに加えて、次のようにスマホの認証アプリから送られてくるコードを入力しなければログインができない仕組みになります。

認証アプリで認証コードを得るにはプラグインから自分のスマホを登録しないといけないので、赤の他人は認証コードを得ることすら不可能です。

しかも認証コードは30秒~１分ごとに毎回変わるので推測することも不可能になります。

つまり2段階認証をしておけば次の メリット があるんです。

• 本人確認の作業が増える
• 認証コードは自分以外には分からない
• 認証コードを推測することも不可能

今までのIDとパスワードを入力するだけに比べ、セキュリティが劇的に高くなることが分かると思います。

WP管理画面での2段階認証設定手順

二段階認証の設定手順を簡単にまとめると次の通り

1. WordPress側でのプラグインの設定
2. miniOrangeにサインアップ
3. スマホアプリ側での2段階認証設定

ではこの手順について順番に説明していきます。手順通りにやれば数分くらいで終わるのでパパッと設定してしまいましょう。

１．Google Authenticatorプラグインのインストール

まずGoogle AuthenticatorをWordPressにインストール・有効化します。

その手順は次の通り

まずWordPressメニューから「プラグイン」ー＞「新規追加」を選択

新規追加画面が開いたらプラグインの検索欄に「google authenticator」と入力して検索

しばらくすると検索結果の一番上に次のようなプラグインが表示されるので「今すぐインストール」ボタンを押してインストールします。

ちなみに以下ページから直接ダウンロードも可能

https://ja.wordpress.org/plugins/miniorange-2-factor-authentication/

インストールが終わると「今すぐインストール」ボタンが「有効化」ボタンに変わるので必ずそれを押して有効化しましょう。

これでプラグインのインストール・有効化は完了です。

２．miniOrangeアカウントにサインアップ

プラグインから二段階認証設定するにはminiOrangeアカウントが必要です。

なのでminiOrangeアカウント作成してサインアップしましょう。

その手順は簡単で次の通り

まずWordPressメニューから「miniOrange 2-Factor」を選択

すると次の画面が開くのでオレンジ色で囲った枠にメールアドレスやパスワードなど必要な情報を入力して「Create Account」ボタンを押しましょう。

＊注意＊ : 登録したメールアドレスとパスワードは2段階認証の再設定時にも必要になるので必ず覚えておくかどこかにメモしておいてください。

しばらくすると登録したメアドに「123456」のような６桁のワンタイムパスワードが書かれたメールが届きます。

あとはこのワンタイムパスワードをプラグイン画面から入力して「Validate OTP」ボタンをクリック

認証に成功すると次のようなダイアログが現れます。

ここまでがアカウントのサインアップ手順です。

では次にこのダイアログで2段階認証の設定をしていきましょう。

３．Google Authenticatorアプリから2段階認証設定

miniOrangeでは次の３つの方法での二段階認証に対応しています。

• Google Authenticatorアプリで認証
• miniOrange開発のアプリで認証
• ログイン時に秘密の質問に答えて認証

ここでは一般的に使われているGoogle Authenticatorアプリを使い、WordPress管理画面に二段階認証を設定していきます。

その手順は次の通り

ではまず先ほど開いたダイアログの「Next」ボタンを押して先に進みましょう。

次に進むと、どの認証法を使うか聞かれるので「Google Authenticator」を選んでそのまま放置

しばらく待つと次のような画面に自動的に進みます。

ではまずこの画面左にある「Select Phone-Type」から認証に使うスマホの種類を選んでください。

ここではAndroidを選びました。

そうしたらスマホにGoogle Authenticatorアプリをインストール。

Android・iPhoneそれぞれのダウンロードリンクはこちらから

Android版 : https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja

iPhone版 : https://itunes.apple.com/jp/app/google-authenticator/id388497605?mt=8

インストールが終わったらダイアログ真ん中に表示されているQRコードをスマホのバーコードリーダなどで読み取りしてください。

上の画像のオレンジ色の枠で囲ったところにあるのがQRコードです。

このQRコードを読み取るとGoogle Authenticatorアプリが起動し、miniOrangeプラグインのキーが保存されます。

キーが保存されていないとアプリを2段階認証に使えないので必ずQRコードの読み取りは忘れずに

Google Authenticatorアプリでは認証コードは６桁の数字で表示されます。

この認証コードが管理画面でのログインに必要になることを覚えておきましょう。

ちなみにこのコードは30秒～1分程度で別のものに切り替わります。

ではminiOrangeプラグインの設定ダイアログに戻って、今表示されている認証コードを入力して「Verify and Save」を押してください。

そして次のようなメッセージが表示されれば2段階認証の設定は完了です。

ちなみに「Next」を押すと2段階認証のテストができます。

それが不要なら「Skip Test」を押してダイアログを閉じてOKです。

長かったですが、以上で2段階認証ログインできるようになりました。

次は実際に2段階認証でログインしてみることにします。

2段階認証でログインしてみよう

まず今WordPressにログインしているならログアウト。

ログアウトしたら今までと同じように次のログイン画面が出てきます。

ここはもう普通にユーザー名とパスワードを入力して「ログイン」ボタンを押すだけです。

二段階認証が今までと違うのはログインボタンを押すと次のような認証コード入力画面が出てくること

この画面でやることはGoogle Authenticatorアプリに表示されているコードを入力して「Validate」ボタンを押すだけです。

認証コードを正しく入力すればいつも通りにダッシュボードが表示されます。

認証コードを確認して入力する、それだけの手間が増えただけです。

でもこれだけの手間でセキュリティ飛躍的に上がりますね。今までと比べものにならないほど安全にすることが可能です。是非お試しを！

もし2段階認証でログインできなくなったら...

2段階認証には１つ知るべきことがあります。

それはログインできない時の対処法

ごくまれに起こるんです。滅多にないですが・・・

その体験談は次noteで書いた通りです。

体験談ついでに対処法も書いてあります。

その手順を端的に書くならこうですね。

1. サーバー管理画面にログイン
2. WebFTPなどでサーバーに接続
3. miniOrangeプラグインをリネーム

これで２段階認証を一時的に解除できます。

もちろんサーバーへの2段階認証もお忘れなく・・・
（利用できないならパスワードを限りなく強固に！）

WordPressのセキュリティをさらに高めるには

以上がWordPressでの2段階認証の導入手順

WordPressのセキュリティがかなり高くなるはずです。

ですが2段階認証に加え、次の対策もすればセキュリティ向上に効果があります。

• パスワードを使いまわさない
• パスワードを強力なものにする
• SiteGuard WP Pluginを使う
• プラグインをこまめに更新する

詳しくは次の記事でまとめたのでご覧あれ。

WordPressの不正ログインを防止してセキュリティを高める６つの対策

WordPressは多くのブログで使われているため、そのセキュリティをついて不正ログインしようとする攻撃者が多く絶対に対策が必要です。ここではその不正ログインを防ぐために有効な対策を５つ紹介します。

fukuro-press.com

2023-07-11 11:04

ちょっとした心掛けや、プラグインの導入でセキュリティは誰でも簡単に高められます。面倒くさがらずにWordPressの不正ログイン対策はしておきましょう。

まとめ

以上、WordPressに2段階認証を設定する方法について紹介しました。

情報発信の場をハッカーや悪意のある人間に乗っ取られないよう、二段階認証も含めてセキュリティ対策はバッチリしておきたいですね。

The post WordPressにも2段階認証を！Google Authenticatorの導入手順 first appeared on Fukuro Press.