WordPressプラグイン「Force Email Login」の使い方や設定方法を紹介します。

このプラグインは、管理画面にログインする時に必要なユーザーIDを全て拒否し、登録したメールアドレスでのみログイン出来るようにセキュリティ対策をしてくれます。

2013年3月頃からよく聞かれるようになった「ブルートフォースアタック」ですが、adminやroootといった簡単なデフォルトユーザー名に対して

IPアドレスを変更しながら無作為にパスワードを入力し総当りで攻撃してくる解析方法です。

当サイトのログイン履歴をチェックすると、この方法を使ってログインしようとする履歴が今もありますので、しっかりと対策はしておきたいものです。

プラグインのインストール

当サイトが使用しているエックスサーバーでは、管理画面へアクセスする国外IPを拒否する「国外IPアクセス制限設定」があるので、

エックスサーバーをご利用の方は設定をONにしておく事をおすすめします。

Force Email LoginはログインするためのユーザーIDを、メールアドレスに変更してしまうのでこういったハッキング方法をはなっから除外出来てしまいます。

このプラグインの機能は大きく分けて以下の二つです。

  • 従来のユーザー名によるログインをすべて拒否して、メールアドレスによるログインを強制します。
  • ログインに失敗すると、ログイン処理に対して10秒間 wp_die() を発火させて膨大な量のブルートフォースアタックによるサーバー負荷を軽減します。
  • メールアドレス以外のログインは、問答無用で wp_die() を発火させて、同じくサーバー負荷を軽減します。

引用元:WordPressへのログイン方法をユーザー名ではなくメールアドレスにしてなんちゃってブルートフォースアタック対策|Firegoby

機能詳細は作者のTakayuki Miyauchiさん(@miya0001 )エントリーを引用させて頂きました。

プラグインの検索

ダッシュボードから「プラグイン」⇒「新規追加」をクリックして、プラグイン検索に「Force Email Login」と入力して検索しましょう。

Force Email Loginのインストール

Force Email Loginが見つかったら、「いますぐインストール」をクリックします。

プラグインの有効化

「プラグインを有効化」をクリックすると、インストールは完了です。

Force Email Loginの使い方

Force Email Loginの使い方

Force Email Loginには詳細設定はありません。有効化するとすぐに適用されます。

この時点ではログインしている状態ですが、一度ログアウトするとユーザーIDではなくメールアドレスでないとログイン出来なくなります。

MATO-MEMO

非常に簡単に出来るセキュリティ対策の1つとして有効なプラグインですね。

Force Email Loginを有効化すると、iPhoneやAndroidなどのWordPressアプリでログインする際もユーザーIDではなく、メールアドレスとなるのでご注意下さい。

この記事が役に立ったらいいね!しよう

最新情報をお届けします

Twitterでアクロニウムをフォローしよう!