The post WordPressのログイン画面・wp-adminを隠すには?完ぺきなやり方 first appeared on Fukuro Press.
]]>WordPressのセキュリティの話。
こういう対策をしたい人向けの記事です。
そういう時はプラグインの力を借りましょう。
とても便利で使いやすいのも見つけたので、
導入方法をとても分かりやすく解説します。
これでセキュリテイ対策は万全です!
WordPressログイン画面は誰でもアクセス可能。
例えば以下のブログドメインがあるとします。
↓ とあるブログのURL
URL : https://my-blog.com/
このログイン画面を開く方法は2つです。
↓ 次のURLにアクセスすればいい
URL : https://my-blog.com/wp-login.php
URL : https://my-blog.com/wp-admin
もう全世界から丸見えなんです。
攻撃者はログイン画面にすすめるか確認し、そこからパスワードを総当たりなどして不正アクセスします。とても怖い
だからログイン画面/wp-adminは隠すべきですね。
根本的な対策はログイン画面を隠すことです。
でも技術的なことは素人には難しすぎます。
そこで登場が Login Rebuilderプラグイン
↓ こちらのプラグイン
このプラグインを使えば次のことができます。
デフォルトのログイン画面を無効化できます。
そして wp-login.php のようなログインURLの代わりに、自分で任意のログインURLを作れちゃうという代物です。つまりログイン画面にたどり着けるのはあなただけ!
ある意味最強のセキュリティ対策と言えます。
それではプラグインをインスト・有効化します。
プラグインの新規追加を開き、
そこで「login rebuilder」を検索してください。
↓ Login Rebuilderプラグインが出てくるはず
手動インストールする場合は次ページから
URL : https://ja.wordpress.org/plugins/login-rebuilder/
インストールが終わったら「今すぐインストール」ボタンが「有効化」ボタンに変わるので、最後にそれも押して有効化しておきましょう。
これでログイン画面を隠す準備ができました。
それではログイン画面を隠す作業に入ります。
プラグインの設定画面を開いてください。
↓「設定」⇒「ログインページ」とクリック
↓ このような画面が出てくる
※ 操作はまだ何もしないでください!
この時点ではログイン画面は隠されてません。
初めに以下設定項目に注目です。
↓ 「新しいログインファイル」の項目
この名前が新しいログイン画面のURLになります。
デフォルトだと your-login.php になってますね。
それだと簡単に推測されるので・・・
次のように複雑なログインファイル名にしておきます。
名前を付けるときは以下の点に注意が必要です。
そして名前を絶対にメモしください!
あるいは画面ごとスクショするのでも良いです。
メモしましたか??OKなら次に進んでください。
最後にステータスを「稼働中」に切り替えましょう。
↓ このように切り替えする
そして設定画面下の「変更を保存」を押してください。
……はい、これでログイン画面が完全に隠されました。
今設定したカスタムログイン画面、
そこに正常にアクセスできるか確かめてください。
↓ 例えば以下の隠しログイン画面を設定したなら…
↓ 次のURLから隠しログインページに入れる
URL : https://my-blog.com/login2O23O7lllOl6.php
↓ いつものログイン画面が開かれる
これでログイン画面・wp-adminを隠すことに成功です。
ちなみにwp-login.php、wp-adminは403になります。
↓ 攻撃者はログイン画面にたどり着けない
ブログ管理者がログインURLを忘れなければOK
これでセキュリティが飛躍的に向上しました。
ここからはトラブルシューティングの時間。
次のトラブルが起きてしまった場合です。
こういう事態に陥っても大丈夫です。
その場合はプラグインを無効化しましょう。
「いや管理画面に入れないと無理では…?」
そう思うかもしれませんが、原始的に無効化できます。
より詳しい方法は以下の記事でも紹介しました。
技術に自信のある人はこの方法を試してください。
もしサッパリ意味不明という方は…
私自身がWordPressトラブル解決相談を実施してます。
お困りなら一度ご相談ください。(割引特典あり)
※ ただし依頼は一律価格でないことに要注意
平日休日祝日に関係なく対応できます。
WordPressセキュリテイの関連記事です。
↓ WPセキュリティを高める6つの対策
WordPressはブログ作りに必須のツールと言っても過言ではありません。でもそれだけ広く普及していてからこそセキュリティの穴をついて不正ログインしようとする攻撃者が多いのが現実不正ログインされてしまうとブログを乗っ取られたり、他サイトへの攻撃の踏み台にされ加害者にもなってしまうこともあります。ここではその被害を防ぐためのWordPress向けセキュリティ対策をまとめました。不正ログイン防止の6つの対策不正ログイン防止のために "絶対" しておきたいのが次の対策1.ログインパスワードを使いまわさないここ... WordPressの不正ログインを防止してセキュリティを高める6つの対策 - Fukuro Press |
セキュリテイ意識はどれだけ高くても損しません。
過剰なくらいに対策するのが丁度いいです。
ということでログイン画面・wp-adminを隠す方法でした。
The post WordPressのログイン画面・wp-adminを隠すには?完ぺきなやり方 first appeared on Fukuro Press.
]]>The post WordPressのパスワードを忘れたときの2つの応急処置 first appeared on Fukuro Press.
]]>WordPressにログインしようとしたら・・・
みたいなトラブルに遭遇する人は多いです。
そして「開かずの扉」ならぬ、「開かずのブログ」になります。
そんな窮地に陥っている人のための記事です。
ここでは、WordPressでパスワードを忘れた時の対処法を2つ紹介 します。
自力で解決できずお困りなら、
今から紹介する2つのいずれかを試してみてください。
1つめの対処法は次のような人向け
パスワード再発行は次の3ステップで実行できます。
※ もし登録メルアドも忘れた人は 2つめの対処法 を試してください。
ではまずWordPressのログイン画面を開きましょう。
そしてログイン画面を開いたら、
「パスワードをお忘れですか?」と書かれたリンクをクリック
ユーザー名 or メールアドレス入力が求められるので、
どちらか入力して「新しいパスワードを取得」ボタンをクリック
「メールアドレス」は WordPressインストール時に登録したメールアドレス です。
それ以外のメールアドレスを入力しても無効なのでご注意を。
しばらくすると次のようなメールが届きます。
その中の パスワードリセット用リンク をクリックしてください。
もしメールが届かないなら、
迷惑メールフォルダを探すと見つかることが多いです。
リンクをクリックすると、次のパスワードの再設定画面が表示されます。
この画面で新しいパスワードを入力。
終わったら「パスワードをリセット」ボタンを押しましょう。
これでパスワードの再設定は完了。
この時点で新パスワードでログインできるようになりました。
パスワードが再発行されたら、
ログイン画面にアクセスしてそのパスワードを入力しましょう。
↓ よかった・・・ログインできた(T_T)
以上がパスワードを再発行の手順です。
パスワード紛失したことない人でも、
覚えておけば ”もしものとき” に役立ちますね。
2つめの対処法は次のような人向け
つまりWPからパスワード再発行ができない時の対処法です。
こういう状況なら、
次の phpmyadmin というツールを使った手順をお試しください。
まずはレンタルサーバーでの作業
それがMySQLユーザーを追加すること
サーバーによって微妙に手順は違いますが、基本は同じです。
ここでは エックスサーバー での MySQLアカウント作成手順 を例にします。
その手順は以下の通り
まず管理画面にログインし、「データベース」ー>「MySQL設定」をオープン
↓ エックスサーバー管理画面トップにて
するとMySQLの全般設定画面が出てくるはず
そこで「MySQLユーザー追加」タブを開いてみてください。
そしてMySQLユーザーIDとパスワードを入力します。
↓ MySQLユーザーの作成例
各項目の入力の仕方(ルール)は次の通り
以上の2つを入力したら「確認画面へ進む」を押します。
そして内容に問題が無ければ、「追加する」をクリック
ユーザー追加したら「MySQL一覧」に戻ってください。
そして現在WordPressで使っているデータベースを見つけ、
その「アクセス未所有権ユーザー」から先ほど追加したユーザーを選択します。
↓ このような感じでユーザー追加すればOK
↓ 最後に必ず「追加」を押すのを忘れずに!
以上でPHPMyAdminにログインする準備が整いました。
ここまできたら あと少しです。
最後に phpmyadmin からパスワード変更します。
あんまり聞きなれないツールですよね。
でも phpmyadmin を使えば、
パスワードを忘れていても強制的にパスワード変更できます。
ただし1つ注意点です。
ここからの作業は本当に慎重に行ってださい。
過剰に心配する必要はないですが、
データベースはWPにとって超大事なのをお忘れなく。
ではまず phpmyadmin にログインします。
エックスサーバー管理画面の場合は、
「データベース」ー>「phpmyadmin」からオープン可能です。
そうするとこういう画面が出てきましたよね?
これがphpmyadminと呼ばれるツールです。
左にあるのが現在サーバーで使われているデータベース一覧になります。
そして左から現在WPで使用してるデータベース(DB)を探しましょう。
それを「+」を押して展開し、
展開した中から「wp_users」というのをクリックしてみてください。
↑ 目的のデータベースから「wp_users」を開いているときの様子
今度は右側で「wp_users」の中身が表示されたはずです。
ココはユーザー情報(名前、パスワード、etc...)が1行ごとに記録されてます。
そして自分のユーザー情報のある行を探し、「編集」を押してください。
↑ 赤矢印で指示した場所をクリック!
するとユーザー情報を変更する画面が出てきます。
(正確には違うけど、ここでは詳しいことは省略・・・)
この画面の【user_pass】という部分に注目です。
名前から分かるように、ここにユーザーパスワードが記録されてます。
ココを変更すれば、元のパスワードでログインできる訳です。
その手順ですが、必ず以下の手順で変更を行ってください。
言葉で分かりにくいなら、次の画像をご覧ください。
【関数】から "MD5" を選択するのが特に重要なポイント
それさえ気を付けてれば、パスワード変更は成功します。
以上が phpmyadmin を使ったパスワード変更手順
手順さえ間違わなければ、ログインできるようになったはずです。
大変な作業だったかもですが、お疲れ様でした!
もし上2つで紹介したどちらの方法を試したけど、
そういう人向けに ココナラで作業代行のサービス も行っています。
もしお困りの方は、
次記事で紹介したサービスからご相談&ご依頼ください。
長年のWordPress運用経験を活かし、
トラブル解決&作業代行に当たらせていただきます。
もちろんログインできない以外のトラブルにも対応しています。
興味のある方はお気軽にご相談ください。
ということで、対処法のまとめ
ほとんどの場合は1番目で解決できるはずです。
でも場合によっては phpmyadmin が必要になるケースもありますね。
以上、WordPressでパスワード忘れたときの対処法でした。
The post WordPressのパスワードを忘れたときの2つの応急処置 first appeared on Fukuro Press.
]]>The post WordPressにも2段階認証を!Google Authenticatorの導入手順 first appeared on Fukuro Press.
]]>WordPressは広く使われている分、セキュリティ的に弱いところを突かれて不正ログインなどの被害に遭いやすいです。
なので不正ログインを他人事と思わずに「自分もいつか被害に遭うかもしれない」、という気持ちでセキュリティ対策はしておくべきです。
ではセキュリティを高めるためにいったい何をすればいいのか・・・
その答えの1つがログイン画面で2段階認証を有効にすることです。
ここでは Google Authenticator ( miniOrangeプラグイン ) を使い、2段階認証を設定する手順について紹介していきます。
2段階認証は最近よく聞くようになった言葉ですよね。
これはログイン時にパスワードに加え、
さらに他の情報を求めて2段階の認証をさせることです。
例えば今までの方法だと、次みたいな1段階認証。
このように、IDとパスワードだけなのが今までの問題点。
そこで2段階認証では、もう1つ本人確認の作業を増やしています。
その認証作業の例をいくつか挙げるとすると・・・
・・・などなど
メールとか電話番号とかスマホの認証アプリというのは本人でしか使えないので、誰かがなりすましでログインできる可能性がかなり低くなります。
WordPressでも次に紹介するGoogle Authenticatorプラグインを導入すれば、管理画面でもこの2段階認証が利用可能です。
例えば管理画面でパスワードに加えて、次のようにスマホの認証アプリから送られてくるコードを入力しなければログインができない仕組みになります。
認証アプリで認証コードを得るにはプラグインから自分のスマホを登録しないといけないので、赤の他人は認証コードを得ることすら不可能です。
しかも認証コードは30秒~1分ごとに毎回変わるので推測することも不可能になります。
つまり2段階認証をしておけば次の メリット があるんです。
今までのIDとパスワードを入力するだけに比べ、セキュリティが劇的に高くなることが分かると思います。
二段階認証の設定手順を簡単にまとめると次の通り
ではこの手順について順番に説明していきます。手順通りにやれば数分くらいで終わるのでパパッと設定してしまいましょう。
まずGoogle AuthenticatorをWordPressにインストール・有効化します。
その手順は次の通り
まずWordPressメニューから「プラグイン」ー>「新規追加」を選択
新規追加画面が開いたらプラグインの検索欄に「google authenticator」と入力して検索
しばらくすると検索結果の一番上に次のようなプラグインが表示されるので「今すぐインストール」ボタンを押してインストールします。
ちなみに以下ページから直接ダウンロードも可能
https://ja.wordpress.org/plugins/miniorange-2-factor-authentication/
インストールが終わると「今すぐインストール」ボタンが「有効化」ボタンに変わるので必ずそれを押して有効化しましょう。
これでプラグインのインストール・有効化は完了です。
プラグインから二段階認証設定するにはminiOrangeアカウントが必要です。
なのでminiOrangeアカウント作成してサインアップしましょう。
その手順は簡単で次の通り
まずWordPressメニューから「miniOrange 2-Factor」を選択
すると次の画面が開くのでオレンジ色で囲った枠にメールアドレスやパスワードなど必要な情報を入力して「Create Account」ボタンを押しましょう。
*注意* : 登録したメールアドレスとパスワードは2段階認証の再設定時にも必要になるので必ず覚えておくかどこかにメモしておいてください。
しばらくすると登録したメアドに「123456」のような6桁のワンタイムパスワードが書かれたメールが届きます。
あとはこのワンタイムパスワードをプラグイン画面から入力して「Validate OTP」ボタンをクリック
認証に成功すると次のようなダイアログが現れます。
ここまでがアカウントのサインアップ手順です。
では次にこのダイアログで2段階認証の設定をしていきましょう。
miniOrangeでは次の3つの方法での二段階認証に対応しています。
ここでは一般的に使われているGoogle Authenticatorアプリを使い、WordPress管理画面に二段階認証を設定していきます。
その手順は次の通り
ではまず先ほど開いたダイアログの「Next」ボタンを押して先に進みましょう。
次に進むと、どの認証法を使うか聞かれるので「Google Authenticator」を選んでそのまま放置
しばらく待つと次のような画面に自動的に進みます。
ではまずこの画面左にある「Select Phone-Type」から認証に使うスマホの種類を選んでください。
ここではAndroidを選びました。
そうしたらスマホにGoogle Authenticatorアプリをインストール。
Android・iPhoneそれぞれのダウンロードリンクはこちらから
Android版 : https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja
iPhone版 : https://itunes.apple.com/jp/app/google-authenticator/id388497605?mt=8
インストールが終わったらダイアログ真ん中に表示されているQRコードをスマホのバーコードリーダなどで読み取りしてください。
上の画像のオレンジ色の枠で囲ったところにあるのがQRコードです。
このQRコードを読み取るとGoogle Authenticatorアプリが起動し、miniOrangeプラグインのキーが保存されます。
キーが保存されていないとアプリを2段階認証に使えないので必ずQRコードの読み取りは忘れずに
Google Authenticatorアプリでは認証コードは6桁の数字で表示されます。
この認証コードが管理画面でのログインに必要になることを覚えておきましょう。
ちなみにこのコードは30秒~1分程度で別のものに切り替わります。
ではminiOrangeプラグインの設定ダイアログに戻って、今表示されている認証コードを入力して「Verify and Save」を押してください。
そして次のようなメッセージが表示されれば2段階認証の設定は完了です。
ちなみに「Next」を押すと2段階認証のテストができます。
それが不要なら「Skip Test」を押してダイアログを閉じてOKです。
長かったですが、以上で2段階認証ログインできるようになりました。
次は実際に2段階認証でログインしてみることにします。
まず今WordPressにログインしているならログアウト。
ログアウトしたら今までと同じように次のログイン画面が出てきます。
ここはもう普通にユーザー名とパスワードを入力して「ログイン」ボタンを押すだけです。
二段階認証が今までと違うのはログインボタンを押すと次のような認証コード入力画面が出てくること
この画面でやることはGoogle Authenticatorアプリに表示されているコードを入力して「Validate」ボタンを押すだけです。
認証コードを正しく入力すればいつも通りにダッシュボードが表示されます。
認証コードを確認して入力する、それだけの手間が増えただけです。
でもこれだけの手間でセキュリティ飛躍的に上がりますね。今までと比べものにならないほど安全にすることが可能です。是非お試しを!
2段階認証には1つ知るべきことがあります。
それはログインできない時の対処法
ごくまれに起こるんです。滅多にないですが・・・
その体験談は次noteで書いた通りです。
体験談ついでに対処法も書いてあります。
その手順を端的に書くならこうですね。
これで2段階認証を一時的に解除できます。
もちろんサーバーへの2段階認証もお忘れなく・・・
(利用できないならパスワードを限りなく強固に!)
以上がWordPressでの2段階認証の導入手順
WordPressのセキュリティがかなり高くなるはずです。
ですが2段階認証に加え、次の対策もすればセキュリティ向上に効果があります。
詳しくは次の記事でまとめたのでご覧あれ。
ちょっとした心掛けや、プラグインの導入でセキュリティは誰でも簡単に高められます。面倒くさがらずにWordPressの不正ログイン対策はしておきましょう。
以上、WordPressに2段階認証を設定する方法について紹介しました。
情報発信の場をハッカーや悪意のある人間に乗っ取られないよう、二段階認証も含めてセキュリティ対策はバッチリしておきたいですね。
The post WordPressにも2段階認証を!Google Authenticatorの導入手順 first appeared on Fukuro Press.
]]>