WordPress を使って運営しているブログやホームページ。結構悩むのがセキュリティ対策なんですよね。
ぼくが、約12年間 WordPress サイトを作ってきて、一番効果のあるセキュリティ対策だと感じるのは「ログインページの URLを変更する」こと!!
ログインを2段階認証にしたりなど他にも様々な対策を講じますが、他に導入したセキュリティ対策を最大限に活かす上でも、とりあえず「ログインページの URLを変更する」ことは何を置いても大事なことだと思います。
今回は「WordPress サイトのログインページ URL を簡単に変更する方法」を紹介します。これは効きますよ!
目次
玄関がわからなければ悪い人は入ってこれないでしょ?
WordPress のログインページ URL といえば「https://myblog.com/wp-admin」これです。
何も対策されていない WordPress サイト URL のおしりに「wp-admin」をくっつければ誰でも簡単にログインページへアクセスできちゃいます。
悪人
玄関まで簡単に入ることはできちゃうので、あとはどのカギが合うのか総当たりでトライすればカギはいずれ開けられるかも?
しかし、ログインページへアクセスするための URL がわからなければ、総当たり攻撃(ブルートフォースアタック)をやることも出来ません。
これが「玄関がわからなければ悪い人は入ってこれない」の理屈です。
もちろん、脆弱性などをつかれてその他の場所から侵入されてしまえばそれまでなのですが、「不正アクセスで一番多い事例であるログインページからパスワードを破られて侵入される」ことはこれでほぼ防ぐことができます。
自動ロボットを使って正解のパスワードになるまで何度もランダムの英数記号を総当りで入力し続ける不正行為を「ブルートフォースアタック」といいます。
ログインページ URL を変更する手順
キタムラ
ログインページ URL の変更はプラグイン「Login rebuilder」を使うと簡単です。
プラグインの新規追加で「Login rebuilder」と検索すれば出てきます。インストールして有効化してください。
Login rebuilder を有効化したあとは、管理画面の「設定」の中に「ログインページ」という項目が新たに表示されます。こちらからログインページ URL の変更を設定します。
① は、例えば今までの wp-admin の URL にアクセスされた場合のアクションを設定できます。ぼくはトップページへリダイレクトするようにしています。因みにログインファイルキーワードはランダム生成。変更の必要がないので説明を省きました。- ② には、任意のログインページの URL を入力します。ドメイン以下の部分を入力してください。本ブログなら「https://tanweb.net」なので「.net」より下の部分を記入します。例えば「roguin-url-dayo-0112」とか。外国人が探し辛いローマ字であえて表記しつつ数字もまぜると効果的だと思います。
- ログインページ URL を記入すると、③ に新しい URL が表示されます。これをコピーしておきます。
少しスクロールして「稼働中」にチェックを入れて「変更を保存」ボタンを押すと、WordPress サイトのログインページ URL がここで設定したものへ変更されます。- 一度 WordPress からログアウトして、先程コピーした変更後の URL をブラウザへ貼り付けてアクセスしてみてください。そしてその URL をブックマークし直してください。
- 因みにユーザー名やパスワードに変更はありませんので安心してください。
- 前の wp-admin のログインページ URL にアクセスするとトップページへリダイレクトされることもチェックしてください。
ログインページからの不正アクセスは海外からが多いので、日本語ローマ字で設定すると推測されにくくなり鉄壁です。
例えば「2023-01-25-kaisetsushita-burogu」とかブログをオープンした日付と完全な日本語ローマ字など…こういった自分しかわからないような組み合わせにしておけば、海外勢だけではなく日本人の不正者に対しても有効になります。
ログイン URL は非公開で他者の目に触れない部分ですから、ダサかろうかなんだろうがわかりづらければ良いのです!
ログイン URL 変更はどのくらい効果があるんでしょう?
以下の画像は WordPress へのログイン履歴を確認できるプラグインのスクリーンショットです。
ログインページ URL 変更前は本当に不正アクセスがひどかった(全部日本の IP に偽装している海外勢の攻撃だと思う)。
ログイン URL を変更したあとは、外出先で自分が起こしたログインエラーのみ。ログインページの URL を変更してから不正アクセスは「皆無・全く無い・ゼロ」です。
脆弱性をつかれて侵入されちゃうことは防ぎようがないのでしかたがありませんが、ログイン URL を変更しておけば、少なくともログインページからによる不正アクセスはなくなります。
変更したログインページ URL を忘れちゃった時には
セキュリティのために変更したログインページの URL は当然 wp-admin ではない、オンリーワンなものになっています。
しかし、オンリーワンゆえにうっかり忘れてしまった時にはここを確認してください。
FTP ソフトでサーバーにアクセスをして、WordPress の一番最初のルートを確認すると、Login rebuilder で自分が設定したドメインより下の部分が PHP ファイルとして生成されています。
サイト URL が「http://mysite.com」なら「http://mysite.com/roguin-url-dayo-0112.php」がログインページ URL であると FTP サーバーの WordPress 最初のルートを確認すればすぐにわかります。
これで自分が変更設定したログインページ URL を忘れてしまっても大丈夫ですよね! 管理ページへログインできるようになります。
Login rebuilder を利用する上での注意点
Login rebuilder を使う上での注意点を紹介します。
- Login rebuilder が稼働すると元のログイン URL は利用できなくなる
- Login rebuilder を停止させると元のログイン URL も使えるようになってしまう
- 停止させて再度有効化すると「準備中」になる「稼働」に再設定する必要がある
- Login rebuilder をアンイストールすると元のログイン URL に戻る
- アンイストールすると作成されたログイン.php も一緒に自動で削除される
Login rebuilder と一緒に入れると良いプラグイン
Login rebuilder と一緒に入れておくとセキュリティ的に良いプラグインがあります。ログイン履歴を記録してくれる「User Login History」という便利なプラグインです。
User Login History 自体にはセキュリティ効果はありませんが、WordPress へのログイン履歴を確認できるということは、不正ログインに気づけるということです。
Login rebuilder と一緒に入れて損は無い、とても有用なプラグインといえます。
User Login History の詳しい導入方法や使い方は以下の別記事で掲載しています。
あとがき
物事に絶対はありませんので全てにおいて過信は禁物ですが、WordPress のログインページ URL を wp-admin から変更しておくだけでセキュリティ効果は跳ね上がります。
玄関を隠してしまえば迷惑セールスも訪ねてこられない作戦っす!!
興味がある方はぜひぜひお試しください。
おすすめレンタルサーバー
【当ブログも愛用中の負荷に強いサーバー】
ブログのサーバー選びは「安さ」ではなく「同時アクセスに強い」ものを!月間200万PVの当ブログのアクセスにも余裕で耐えるエックスサーバー X10 はすごいです!
