WordPress ログイン画面セキュリティ対策プラグイン、「Login Dongle」。

前から不思議に思っていたのですが。

WordPress(ワードプレス)には意外と、誰もが使えそうな定番のセキュリティ関連プラグインというものが見当たりませんね。

単に私が知らないだけで、本当はあるのかもしれませんけど。

 

よく紹介されているのは、何度かログインに失敗すると、同じIPアドレスからは一定の時間ログインできなくするという、銀行のATMのような仕組みのプラグイン。

しかし、私としては、ログイン画面にもう1つパスワードをかけてくれるような、たとえるなら玄関のドアを二重ロックにしてくれるようなプラグインをずっと探していたのですが、なかなか見つけることができませんでした。

 

で、最近ようやく見つけて使いはじめたのが、「Login Dongle」というセキュリティ用のプラグイン。

たとえ、WordPress ログイン画面のユーザー名とパスワードがわかったとしても、ユーザーの使っているパソコンのブラウザーに登録したブックマークレットを使って、あらかじめユーザーが作成した質問に対する答えを入力しないと、WordPressの管理画面にログインできない仕組みになっています。

 

つまり、WordPressの通常のユーザー名とパスワードの認証に加えて、さらにLogin Dongleのブックマークレットを登録してあるユーザーのパソコンのブラウザーからしかログインできなくしてしまうという、画期的な仕組みのWordPressセキュリティ用プラグインです。

 

これだけではちょっとわかりづらいというか、何のことだかわからないという方も多いと思うので、具体的にLogin Dongleの設定方法を説明してみたいと思います。

 

WordPress管理画面から、Login Dongleをインストールします。

インストールが完了すると、WordPress管理画面左サイドメニューの「設定」項目に、「Login Dongle」という子メニューが追加されます。


この「Login Dongle」の子メニューをクリックすると表示されるページそのものは、Login Dongleの機能の中ではそれほど重要ではないので、説明は後回しにします。

次に、WordPress管理画面左サイドメニューの「ユーザー」項目にある、「あなたのプロフィール」をクリックします。


「プロフィール」画面に、「Login Dongle」という設定項目ができているので、「Challenge」の空欄に適当な質問を、「Response」の空欄にその答えを入力してから、「プロフィール」画面の一番下にある、青い「プロフィールを更新」ボタンをクリックします。

今回の例では、質問を「YourName?」、答えを「nobita-nobi」にしてみました。

Login Dongleのプラグインサイトには、質問と答えのテキストは漢字でも大丈夫と書かれているのですが、なぜかうまくいかないことがあるので、私はアルファベットにしています。


すると、「Login Dongle」の設定項目に、「Bookmarklet for loggin in」などの設定項目が現れるので、青い文字と青い下線で「encoded」と書かれた部分を、ブラウザーのブックマークツールバーにドラッグ・アンド・ドロップします。

※ 下の画像例では、マウスポインターをのせているので赤字になっています。

 


Login Dongleを複数のWordPressサイトで使うなら、どのサイトのブックマークレットかわからなくなるので、名前を「encoded」からわかりやすい名前に変更しておくといいと思います。

今回の例では、「ゼロワープレ」に変更してみました。ブックマークツールバーにLogin Dongle専用のフォルダを作成して、そこに保存してもいいと思います。


今度は、一番最初にふれた、WordPress管理画面左サイドメニューの「設定」項目の「Login Dongle」メニューをクリックします。

デフォルトでは、「What did you expect?」というテキストが表示されていますが、自由に変更してください。

このままではうまく表示されないみたいなので、適当なHTMLタグでくくります。

 

今回は、「<b>What did you expect?</b>」のようにしてみました。


これで、Login Dongleのすべての設定は完了です。

これから、Login Dongleを実際に試してみます、と言いたいところなのですが、実はその前に1つやることがあります。

 

それは、管理者権限のある新規ユーザーを1人、臨時に作成しておくこと。

なぜかというと、もし何らかの原因でLogin Dongleがうまく機能しない場合、WordPress管理画面にログインできなくなってしまいます。

そんな場合でも、別の管理者権限ユーザーが作成してあれば、ログインして、Login Dongleを無効にしたり、うまく機能しなかった原因を探ることができるからです。

もし、WordPressサイトの管理者権限ユーザーが1人だった場合、閉め出されたら、FTPでアクセスしてLogin Dongleの機能を無効にしない限り、二度と通常のログインはできなくなります。

実際、私は一度閉め出されてログインできなくなってしまいました(笑)

 

なお、設定したLogin Dongleがきちんと機能することが確認できたら、臨時の管理者権限ユーザーは削除してください。

 

では、臨時の管理者権限ユーザーを作成したという前提で、WordPress管理画面を一度ログアウトします。

次に、いつものようにWordPressサイトのログイン画面にアクセスして、通常の手順でユーザー名とパスワードを入力します。

「ログイン」ボタンはクリックせずに(ここ重要!)、ブラウザーのブックマークツールバーに登録しておいたブックマークレットをクリックします。

すると、先ほど決めておいた質問「YourName?」が記された小さな入力画面が表示されるので、空欄にその答え「nobita-nobi」を入力して、「OK」ボタンをクリックします。


すると、「ログイン」ボタンをクリックしなくても、WordPressの管理画面に自動的にログインします。

もしログインできなかった場合は、残念ですがLogin Dongleの設定が間違っているか、Login Dongleの不具合が考えられます。

臨時のユーザーでログインして、設定を最初からやり直してみるなどして、原因を探ってみてください。

私の経験では、何度試してもうまくいかず、仕方がないのでインストールしたLogin Dongleを一度アンインストールして、再インストールしたところ、うまくいくようになりました。

 

ちなみに、Login Dongleの設定に成功したWordPressサイトでは、ログイン画面に正しいユーザー名と正しいパスワードを入力して、「ログイン」ボタンをクリックしても、Login Dongleのブックマークレットを使わなければエラー画面になり、こんな表示が出てきます。


そもそも、ユーザー名とパスワードが正しくなかった場合には、通常のエラー画面(エラー: 無効なユーザー名です。パスワードをお忘れですか ?)が出てきます。

 

Login Dongleは、管理者権限のない投稿者ユーザーでも、自分でブックマークレットを作成して登録することができます。

複数人で1つのWordPressサイトを運営しているという場合にも、役に立つプラグインだと思います。

 

この手の認証系プラグインは、失敗すると自分のサイトにログインできなくなってしまうので、Login Dongleを試してみようという方は、あくまでも自己責任で、ちゃんと準備をしてからトライしてみてください。

 

最後に、どうしてもログインできなくなってしまった時の解決方法を説明してみます。

FTPソフトか、レンタルサーバーのファイルマネージャー機能を使って、Login Dongleのプラグインディレクトリ(フォルダ)にアクセスします。

当サイトだと、「wp.8jimeyo.info/wp-content/plugins/login-dongle」となります。

 

Login Dongleのプラグインディレクトリ(フォルダ)内にある、「login-dongle.php」というファイルを探し出し、FTPソフトかレンタルサーバーのファイルマネージャーの編集機能を使って、ファイルを開きます。

※ この例では、当サイトが借りているレンタルサーバー、「ミニバード」のファイルマネージャー機能を利用しています。


一番最後の行にある、「$loginDonglePlugin = new LoginDonglePlugin();」の先頭に、スラッシュを2つ(//)入力して、上書き保存します。

その前の行にある、「//just comment the following line if you need to temporarily disable this plugin」の先頭のスラッシュ2つをコピーして貼り付けると便利です。


これで、通常のユーザー名とパスワードの入力で、WordPress管理画面にログインできるようになるはずです。

ログインできたら、先ほど入力したスラッシュ2つを削除して上書き保存し、「login-dongle.php」ファイルを元の状態に戻しておいてください。

 

Login Dongleの長所は、ブックマークレットを登録したユーザーのパソコンのブラウザーからしか、しかも、あらかじめ設定した質問の答えに正解しなければ、WordPressの管理画面にログインできなくなることです。

これで、WordPressのログイン画面からの不正アクセスの可能性は、限りなく少なくなるのではないかと思います。

 

いっぽう、Login Dongleの短所は、ログイン時の手間が増えてしまうことと、ブックマークレットを登録したブラウザー、パソコンからしかアクセスできなくなること。

そして、もし複数のユーザーがいるなら、すべてのユーザーにLogin Dongleを使ってもらわないと意味がなくなってしまうことでしょうか。

 

WordPessログイン画面のセキュリティに関心がある方は、使ってみてください。

end.

コメントを残す

メールアドレスが公開されることはありません。