Lenovo がパソコン「最大52% OFF」ボーナスセールを開催中(12月12日まで)

WordPressのログインページURL変更は一番効果のあるセキュリティ対策のひとつ

About WordPress

WordPress を使って運営しているブログやホームページ。結構悩むのがセキュリティ対策なんですよね。

ぼくが、約10年間 WordPress サイトを作ってきて、一番効果のあるセキュリティ対策だと感じるのは「ログインページの URLを変更する」こと!!

ログインを2段階認証にしたりなど他にも様々な対策を講じますが、他に導入したセキュリティ対策を最大限に活かす上でも、とりあえず「ログインページの URLを変更する」ことは何を置いても大事なことだと思います。

今回は「WordPress サイトのログインページ URL を簡単に変更する方法」を紹介します。

玄関がわからなければ悪い人は入ってこれないでしょ?

WordPress のログインページ URL といえば「https://myblog.com/wp-admin」これ。

何も対策されていない WordPress サイト URL のおしりに「wp-admin」をくっつければ誰でも簡単にログインページへアクセスできちゃいます。

玄関まで簡単に入ることはできちゃうので、あとはどのカギが合うのか総当たりでレッツトライ(ブルートフォースアタック)すればカギはいずれ開けられるかも?

でもね、ログインページへアクセスするための URL がわからなければ、ブルートフォースアタック(総当たり攻撃)をやることも出来ませんよね。

これが「玄関がわからなければ悪い人は入ってこれない」の理屈です。

もちろん、脆弱性などをつかれてその他の場所から侵入されてしまえばそれまでなのですが、「一番入られやすいログインページからパスワードを破られて侵入される」ことはこれでほぼ防ぐことができます。

ログインページ URL を変更する手順

ログインページ URL の変更はプラグイン「Login rebuilder」を使うと簡単です。

  1. Login rebuilder
    プラグインの新規追加で「Login rebuilder」と検索すれば出てきます。インストールして有効化してください。
  2. Login rebuilderの場所
    Login rebuilder を有効化したあとは、管理画面の「設定」の中に「ログインページ」という項目が新たに表示されます。こちらからログインページ URL の変更を設定します。
  3. Login rebuilder の設定方法
    ① は、例えば今までの wp-admin の URL にアクセスされた場合のアクションを設定できます。ぼくはトップページへリダイレクトするようにしています。
  4. ② には、任意のログインページの URL を入力します。ドメイン以下の部分を入力してください。本ブログなら「http://tanweb.net」なので「.net」より下の部分を記入します。例えば「roguin-url-dayo-0112」とか。外国人が探し辛いローマ字であえて表記しつつ数字もまぜると効果的だと思います。
  5. ログインページ URL を記入すると、③ に新しい URL が表示されます。これをコピーしておきます。

  6. 少しスクロールして「稼働中」にチェックを入れて「変更を保存」ボタンを押すと、WordPress サイトのログインページ URL がここで設定したものへ変更されます。
  7. 一度 WordPress からログアウトして、先程コピーした変更後の URL をブラウザへ貼り付けてアクセスしてみてください。そしてその URL をブックマークし直してください。
  8. 因みにユーザー名やパスワードに変更はありませんので安心してください。
  9. 前の wp-admin のログインページ URL にアクセスするとトップページへリダイレクトされることもチェックしてください。

ログイン URL 変更はどのくらい効果があるんでしょう?

これ ↑↑ 本ブログのログイン履歴です。旅先で自分が起こしたログインエラーのみ。ログインページの URL を変更してから不正アクセスは「皆無・全く無い・ゼロ」です。

ログインページ URL 変更前は本当に不正アクセスがひどかった(全部日本の IP に偽装している海外勢の攻撃だと思うよ)。

まあ、脆弱性をつかれて侵入されちゃうことはあるのかもしれませんが(これはしようがない。誰にも防げない)、少なくともログインページからによる不正アクセスはなくなると言っても良いでしょう。

変更したログインページ URL を忘れちゃった時には

セキュリティのために変更したログインページの URL は当然 wp-admin ではない、オンリーワンなものになっています。

しかし、オンリーワンゆえにうっかり忘れてしまった時にはここを確認してください。

FTP ソフトでサーバーにアクセスをして、WordPress の一番最初のルートを確認すると、Login rebuilder で自分が設定したドメインより下の部分が PHP ファイルとして生成されています。

サイト URL が「http://mysite.com」なら「http://mysite.com/roguin-url-dayo-0112.php」がログインページ URL であると FTP サーバーの WordPress 最初のルートを確認すればすぐにわかります。

これで自分が変更設定したログインページ URL を忘れてしまっても大丈夫ですよね! 管理ページへログインできるようになります。

あとがき

物事に絶対はありませんので全てにおいて過信は禁物ですが、WordPress のログインページ URL を wp-admin から変更しておくだけでセキュリティ効果は跳ね上がります。

玄関を隠してしまえば迷惑セールスも訪ねてこられない作戦っす!!

興味がある方はぜひぜひお試しください。