本当に怖い初心者のWordPress
こんばんは。
先日ConohaのVPSでWordPressを使い始めました。こういうこと全然やったことがないし、なによりサーバ周りは全くの未経験者だったので非常に新鮮で楽しいです。
なんてのっほほんとしていたら、先日その手の事に熟知した知人から
「パスワードリセットメール送っときました(^^ゞ」
的なことを言われ驚愕。マジかよ。
で、いろいろ調べたらこんなページが。
WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する
要するに、ログインするページが周知されていると色々と悲惨なことになるようです。
というか現在進行形でなっていてかなりビビリました。
これが知り合いだから良かったようなものの、他人からやられたら一発でアウトですよ。恐ろしい恐ろしい。
というわけでログインページのURLを変更することにしました。
先述したページのとおり、自分でPHPを書き換えるほうが色々と勉強になったんでしょうが、
この時点で深夜12時半、しかも明日は5時半起床だったので、プラグインを使ってさっさと終わらせました。
追記:おそらくこのプラグインが原因でログインすることができなくなりました。
一度すべてのプラグインを無効化して残ったのがこいつだけなので多分このプラグインが原因だと思います。
とはいえ、単純に私がなんかやらかした結果である可能性もあるので、ご利用は自己責任で。
使用したプラグインは、日本人の開発者の方が丁寧な解説記事まで書いていたこれを使用しました。
Login rebuilder:プラグイン作ってみました:WordPress私的マニュアル
適当にカチカチするだけで変更完了。こいつは楽ですな。
で、ちょっと怖かったんでググったんですが。
どうやらWordPressを初期設定で使うのはかなり怖いようなので、さっさと修正するようにします。
まずは投稿者ページのURLを変更。
WordPressには、投稿者毎に投稿したページをアーカイブしたページを作る機能があり、そのページの URLに使われる文字列にユーザ IDが使われるのです。
つまりは、ユーザIDを adminから変更し、「ニックネーム(必須)」を変更して投稿記事に表示されないようにしても、投稿者アーカイブのページにはしっかり IDが表示されているのです!
引用元 ― WordPressの不正ログインを Edit Author Slugで回避
怖すぎだろ。著作者のユーザID見れるんかい。
で対応策。こいつ使う。
WordPress › Edit Author Slug « WordPress Plugins
使用方法については、大体さっきの引用元のページの通りにやればOK。
しかしこれだけでも対策になっていない場合があります。
というのも。このURLを変更したとしても、ページ上で表示されるニックネームとユーザIDが似通ったものの場合は結局ユーザIDを変更しないと意味が無いのです。恐ろしいですね。わたしはバカだったのでそんな風にしてしまっていました。
そんなんニックネーム変えればええやんって話なんでしょうが、そこは私のアイデンティティがあるので変えられないのです。
というわけで次はユーザIDの変更をします。
WordPress › Admin renamer extended « WordPress Plugins
プラグイン名のまんまです。非常に簡単にログインする時に必要なユーザIDを変更できます。
ID変更したらログアウトして、変更したユーザIDでログインしましょう。
次、ログイン試行回数の制限です。
Limit Login Attempts - ログイン画面のログイン試行回数を制限できるWordPressプラグイン - ネタワン
リトライの許容回数や次にログインできるようになるまでの時間を設定できます。このへんって短すぎても嫌だし長すぎても嫌なのですごい設定しづらいですよね。私は余裕でパスワード忘れるので、パスワードメモして付箋でPCに貼るようにしました(大嘘)
そして最後、Captchaの導入。
Captcha - ブログのコメント欄にスパム対策の投稿認証を追加できるWordPressプラグイン - ネタワン
ブログなんかでよくある、計算の解答をしないとコメントできないみたいなやつが、いろんな場所で使えるようになります。ログインフォームや登録、パスワードリセットフォームでも出てくるなんて便利ですね。
これでだいぶましになったはずなんですが、実は根本的に色々と対策していない部分があるので、そのへんは後日時間がある時にでも。本当はさっさとやらないといけないんですが、如何せん時間がない(・ω・`)休みくれ