WordPressの管理画面のファイル名は、デフォルトではwp-login.phpとなっています。
このままだとこのURLはWPを知っている人ならば誰もがこのファイル名がログインURLだと
知っているので、ID・パスワードを変更するのはもちろんですが、このログインファイル名も変更してみました。
一応ログインも問題なくできるようですが、○○○○○○したときにおかしくなるよ、などというように
どこかに問題が出ないでしょうか?
セキュリティの為、管理画面を別名にしたら問題が出るでしょうか? (6 件の投稿)
-
jiluro
2 years前の投稿 # -
jiluroさん、こんにちは。
試したわけではありませんが、WordPressが自動でログイン画面のリンクを生成する場合のリンク先や、リダイレクトされてログイン画面に遷移する場合など404エラーとなる可能性があるかと思います。
例えば、wp_loginout関数の出力(フックで修正可能)、ログアウト状態で/wp-admin/にアクセスした場合、ログアウトを行った場合などです。
私も少々気になっていた点ですので、よい解決方法がありましたら教えていただけると幸いです。
-
下記、ファイル内にwp-login.phpという文字列が記述されているファイルリストです。
その他、プラグインやテーマ内にて記述されている場合もあります。
(Admin SSL、デフォルトテーマのコメントテンプレートで存在確認済み)wp-register.php
wp-includes/comment-template.php
wp-includes/pluggable.php
wp-includes/general-template.php
wp-includes/functions.php
readme.html
wp-admin/import/dotclear.php
wp-admin/import/textpattern.php
wp-admin/install.php
wp-login.php -
2 years前の投稿 #お二方、ありがとうございます。
ですよね、これは気になりますよね。私も投稿してからリダイレクトがあるなぁと気づいてしまい、手間かかるかなぁと
思い出していました。
デフォルトテンプレートでないものを使っていますが、ちょっとチェックしてみますね。 -
IKEDA Yuriko
2 years前の投稿 #wp-login.php のファイル名を変更しても、実はあまり意味がありません。
/wp-admin/ 配下のファイルに、ログアウト状態でアクセスするとauth_redirect()によって wp-login.php にリダイレクトされるためです。つまり、wp-newlogin.php とかに変更しても、悪意ある攻撃者は、/wp-admin/index.php とかにアクセスするだけで、自動的に変更されたログインページにアクセスできてしまいます。これでは、ファイル名を変更した意味が全くありません。
このような対策を行うならば、
auth_redirect()によるログインチェック時に、ログインページにリダイレクトする動作を停止させなければなりませんが、それはかなり使い勝手が落ちるので、やめた方がよさそうです。あと、XML-RPC のアクセスも停止させないと、意味がないです。ログイン画面のファイル名を変更するのは、ID/パスワードのブルートフォースアタックを避けるためだと思いますが、それは XML-RPC アクセスでも可能だからです。
-
特定のIP以外を弾くような設定にするのが現状では最善かもしれないですね。
確かに wp-login.php まわりはもうちょっとカスタマイズしやすく作られているべきだと感じます。
返信
ログイン しなければ投稿できません。
