WordPressプラグイン「Force Email Login」の使い方や設定方法を紹介します。
このプラグインは、管理画面にログインする時に必要なユーザーIDを全て拒否し、登録したメールアドレスでのみログイン出来るようにセキュリティ対策をしてくれます。
2013年3月頃からよく聞かれるようになった「ブルートフォースアタック」ですが、adminやroootといった簡単なデフォルトユーザー名に対して
IPアドレスを変更しながら無作為にパスワードを入力し総当りで攻撃してくる解析方法です。
プラグインのインストール
当サイトが使用しているエックスサーバーでは、管理画面へアクセスする国外IPを拒否する「国外IPアクセス制限設定」があるので、
エックスサーバーをご利用の方は設定をONにしておく事をおすすめします。
このプラグインの機能は大きく分けて以下の二つです。
- 従来のユーザー名によるログインをすべて拒否して、メールアドレスによるログインを強制します。
- ログインに失敗すると、ログイン処理に対して10秒間 wp_die() を発火させて膨大な量のブルートフォースアタックによるサーバー負荷を軽減します。
- メールアドレス以外のログインは、問答無用で wp_die() を発火させて、同じくサーバー負荷を軽減します。
引用元:WordPressへのログイン方法をユーザー名ではなくメールアドレスにしてなんちゃってブルートフォースアタック対策|Firegoby
「プラグインを有効化」をクリックすると、インストールは完了です。
Force Email Loginの使い方
Force Email Loginには詳細設定はありません。有効化するとすぐに適用されます。
この時点ではログインしている状態ですが、一度ログアウトするとユーザーIDではなくメールアドレスでないとログイン出来なくなります。
MATO-MEMO
非常に簡単に出来るセキュリティ対策の1つとして有効なプラグインですね。
Force Email Loginを有効化すると、iPhoneやAndroidなどのWordPressアプリでログインする際もユーザーIDではなく、メールアドレスとなるのでご注意下さい。
この記事が役に立ったらいいね!しよう
最新情報をお届けします
Twitterでアクロニウムをフォローしよう!
Follow @acronymjp