- 公開日: 2024-10-20
- 最終更新日:
SiteGuardプラグインを入れた状態でパスワード保護記事を書くと、ログインURLがバレる
はじめに(問題提起)
今回はネットの人から教えていただいた情報を元に記事を書いていきます。
皆さんはSiteGuardプラグインを導入して、ログインURLを変更していますか?
しかし、このプラグインにはタイトルにもある通りとあるトラップがあります。
以下のような、パスワード保護記事を書くと、パスワードフォームのactionにログインURLと※1パラメーターが出力されます。
※1(https://www.pitahex.com/ログインURL?action=postpass)
つまり、ログインURLを変更してた場合、それにパラメーターがついたものがformのaction属性に
出力されるので、ログインURLが漏洩してしまいます。
解決方法(根本的ではない)
もうこれは仕様上どうしようもできないので、根本的ではない対処法(脳筋法)を説明します。
多分その他のプラグインを使用しても、原理は同じなので、ほとんどの場合同じようになると思います。
ユーザー名を複雑(末尾に乱数など)にする
例えば「admin, root, Administrator」などでしたら容易に推測できてしまうと思います。
ですので、「Eita-Kobayashi-A964FBE5A82B783E01C4」などにすれば、不正ログインは防げると思います。
そもそもパスワード保護記事を書かない
こうすれば解決します。
…
まぁ、無理なことを言ってるのはわかります。
なので上記のように最後の砦のパスワードやユーザー名を複雑にするなどがあります。
しかし、URLを変更する目的はサーバーへの負荷軽減なのであまり意味がありません。
まとめ
ログインURLを隠す主な目的は、不正なクローラーによるログインをできないようにして、
サーバーへの負荷を軽減することです。しかし、パスワード保護記事などで
ログインURLが漏洩してしまうと、その目的が果たせなくなってしまいます。
また、ログインURLが漏洩してしまうと、不正なクローラーがログイン試行を仕放題です。
なので最後の砦のパスワードとユーザー名を複雑にしましょう。
そして、ユーザー名は特にadminなど設定しないようにしましょう。
大半の攻撃者は「admin, Administrator, root」というユーザー名でログインを試行してきます。
ですから、上記で解説したように、ユーザー名の末尾を乱数にするなどしましょう。
なので、根本的な解決として、パスワード保護記事は書かないか、別のプラグインを使うなどあります。
しかし、別のプラグインを使ってもSiteGuard wp pluginと原理は同じだと思うので、あまり意味はないと思います。
よかったらグッドボタン&シェアお願いします!
記事の削除依頼や修正依頼については、問い合わせにて受け付けております。
ぜひお気軽に問い合わせください。
筆者のプロフィール
名前: Otusoa (本名: 小林 栄太)
主に1年半ぐらい趣味でWebサイトを作っています。
このブログは痒い所に手が届くニッチな技術を提供します。
当サイトでは、自分の好きなようなことをマイペースに発信していきます。
※私は謎の備忘録おじさんではなく、謎の備忘録お兄さんです(2009年生まれ)
送信したコメントは承認作業を行うまで表示されません。ご了承ください。
なお名前の入力は任意でメールアドレスの入力も必要ありません。 CAPTCHA(画像認証)の文字が表示されない場合は再リロードしてください。