2023/02/02
Cocoonのアップデートをして、画面の表示等も問題ないようなので、一旦ログアウト。
時間をおいてログインし直したら……
ログインできません!の画面が表示されました。
焦ったので、スクショを取り忘れました。
ログイン画面でメールを送っているよ♪みたいな表示がされた記憶。
今回の致命的なエラーが出たので「SiteGuard WP Plugin」プラグインとはお別れすることにしました。
十数年間、私のログイン画面を見守ってくれてありがとう!
今回のトラブルについては、リカバリーモードに切り替えてSiteGuard WP Pluginを無効にして対応しました。
WPS Hide Loginを入れたら今度はWordfence Securityとの相性がイマイチで、SiteGuard WP Pluginがアップデートされてログインできるようになったので元に戻しました。
ワードプレスのリカバリー機能すごい!
過去はトラブルあるごとにプラグインをサーバーから削除して云々って大変だったものね
WordPress がプラグイン SiteGuard WP Plugin でエラーを捉えました
今回のエラーはCocoonのアップデートによるものでした。
CocoonをアップデートしていないサイトはSiteGuard WP Pluginが正常に動いています。
エラーが出てもワードプレス側で対処してくれるようになり、便利になったなとシミジミです。
この機能がなければ、FTTPでプラグインの削除とかをしなければならず、ものすっごく手続きが面倒なんですよね。
WordPress 5.2から、サイトでプラグインやテーマが致命的なエラーを発生させた場合にそれを検知して自動メールでお知らせする機能が追加されました
自動メールの内容
今回メールでは下記の手順で確認するようなメッセージが届きました
- ご自分のサイトを開き、目に見える問題がないか確認してください。
- 次に、エラーが発生したページ を開き、同様に問題がないか確認してください。
⇒今回はログインページでエラー - この問題をさらに調査するにはサーバーホストに連絡してみてください。
⇒SiteGuard WP Pluginを無効化すればOKなのでロリポップに問い合わせ不要
もしサイトが壊れていてダッシュボードに正常に接続できない場合、WordPress には特別な「リカバリーモード」があります。これによりダッシュボードに安全にログインし、さらに調査をすることができます。
メールにリンクが表示されているので、リンクをクリックすればリカバリーモードに切り替わり、ログインできるようになりました。
エラーが出たときは
そのプラグインが本当に必要なのかを
考えるきっかけに
SiteGuard WP Pluginは卒業しようと思っていた件
まずはSiteGuard WP Pluginって何?から
SiteGuard WP Pluginは、不正アクセスからWordPressを守るプラグインです。
ログイン画面には誰でもアクセスできるため、不正アクセスのターゲットになりやすく、セキュリティ対策が必須となります。
SiteGuard WP Pluginを入れることでどんな効果があるかというと…
- 不正ログイン
- 管理ページへの不正アクセス
- コメントスパム
不正ログインの対処方法
SiteGuard WP Pluginを利用する前は
ログインURLを変更して不正ログインに対処していました!
そもそもなぜログインURLを変更するべきなのでしょうか?
答えは「ログインURLの変更が、もっとも手軽で効果的なセキュリティ対策」だからです。
未対策のURL
URLを変更していない、初期設定のWordPressのログインURLは下記のとおりです。
- https://あなたのサイトドメイン/wp-login.php
あなたのWordPressサイトのドメインの末尾に「/wp-login.php」「/wp-admin」を付ければ、ログイン画面にアクセスすることができます。
つまり、公開されているあなたのサイトのドメインを見れば、世界中の誰もが管理画面に辿り着けてしまうのです。
これはとても危険な状態ですよね。
つまりWordPressのログインURLを初期設定のまま放置しておくということは、いつこれらの重大事故が起こりかねないとても危険な状態であるということです。
変更する方法
functions.phpを編集する方法を使っていましたが、これが超!怖い!
失敗が許されない(笑)いや、間違ったら直せばいいだけ
プラグインを使って変更する方法
ログインURLを変更できるプラグインはたくさんありますが、代表的なものとしては下記の3つです。
- SiteGuard WP Plugin
- WPS Hide Login
- Login rebuilder
単純にログインURLを変更するだけならWPS Hide Loginがおすすめ
SiteGuard WP PluginはURLを変更してくれるほかに
ログインやコメントに画像認証が出てくるところがお気に入りでした
SiteGuard WP Pluginは削除しWPS Hide Loginを入れました
初期設定では「login」が記載されているので、これを新しいURLに上書きします。
「/wp-login.php」「/wp-admin」と入力しても404ページが表示されるようになります。
ロリポップの自動インストールでSiteGuard WP Pluginが削除された
2022年4月以降、ワードプレステーマを「有料テーマJIN」から「Cocoon」に変更しました。
安いプランを使っている私には「JIN」は動作が重く、アクセスが伸び出したことで、GoogleConsoleから再三の改善要請が…
重さの原因が「JIN」ということがわかっていたため思いきって変更しました。
その後、ロリポップ側も「Cocoon」が公式認定テーマになり、自動で「Cocoon」をインストールしてくれるようになりました。
※「JIN」も認定テーマですが、使う場合はハイスピードプランをオススメします
2022年10月に新しいサイトを立ち上げた際、Cocoonも自動でインストールしたんですね。
そうしたら、いままで入っていた「SiteGuard WP Plugin」が入っていなかったんです。
ああ、これはロリポップ認定プラグインから外れたな!
って勝手に思いました(笑)
Wordfenceとは?
PHPベースのアプリケーションレベルのファイアウォールで、サイトへの悪意のある要求をフィルタリングするプラグインです。
一般的なWebベースの攻撃だけでなく、ワードプレスのコアファイルやテーマやプラグインを対象とした大量の攻撃を防ぎます。プラグインやテーマが潜在的に脆弱なコードを実行する前に、攻撃をフィルタリングしてくれます。
設定が面倒くさいです
英語わからないし……
SiteGuard WP Pluginの代替案
二要素認証
WordPressで登録したスマホを所有している人だけがログインできるようにする仕組み。
不正ログイン対策で現状最強。
SiteGuard WP Pluginにはない機能。
二要素認証って導入すれば安心だけど
面倒くさい
reCaptcha
Googleが提供しているスパム対策機能で、プログラムによる入力操作を防いでくれる。
スパムコメントや不正ログインは大体プログラムによって行われているので効果絶大。
アフィリエイトをしている人は
「akismet」が使えないため
「reCaptcha」を!
管理画面のIP制限
自分が接続しているIPアドレスだけ管理画面にアクセスできるようにする。
その他のIPアドレスからは管理ページへ一切のアクセスができなくなる。
ログイン画面へのアクセス自体が不可能になるからログインURLの変更などをしなくてもOK。
不正ログインを試みるアクセスログ自体が残らなくなるので、精神的に楽になるのも◎