a-blog cms のログインURLを変更する
■ CONTENTS
a-blog cmsではログインURLが初期状態で以下のように設定されています。
https://<ドメイン名>/login
このままだと、a-blog cmsを使用しているのなら上記のURLにアクセスすることで誰でも認証を試すことができてしまいますね。
これはセキュリティ的によろしくないでしょうということで、ログインURLを変更します。
変更手順
ログインURLを変更するには、a-blogのインストールフォルダにあるconfig.server.phpを編集するだけでOK。
このファイル内にある以下の行の「login」の部分を、
define('LOGIN_SEGMENT', 'login');想像されにくい文字列に変更する。例えばこんな感じ。
define('LOGIN_SEGMENT', 'fukuzatsuna-login-url');こうすると、ログインURLがhttps://<ドメイン名>/fukuzatsuna-login-url/ になります。
試しに元のログインURL https://<ドメイン名>/login にアクセスしてみると、「404 Not Found」と表示されアクセスできない。
新しく設定したログインURL https://<ドメイン名>/fukuzatsuna-login-url/ にアクセスすると、ちゃんとログイン画面が表示されました。
まとめ
アクセスログを眺めていると、WordPressサイトでもないのにWordPressの初期ログインURLを狙ったアクセスが頻繁に来ていたりします。
a-blog cms も同じように狙われないとは限らないうえ、/login/ ってa-blogに限らずなにかしらのログイン画面だと容易に想像がつくページなので、a-blog狙いでなくても油断ならない。
複雑なパスワードを設定したり、アクセス元を制限したりすることでもログイン画面への不正なアクセスを防ぐことができますが、今回はそもそも攻撃されるURLを隠すことでセキュリティの強度を高めることができました。
先日「a-blog cms インストールしました!」とか記事を書いたのですが、その中でログインURLを記述したら旧に不安になったため急遽設定したのがこの記事の始まり。
悪いこと考える人へ ~ このサイトはもう変更済みです。 /login/ にアクセスしても何もないのでよろしくお願いします。