▶【注目記事】Windows 11 を導入したら最初にやっておくべき初期設定

wordpress この設定をするだけで不正アクセスがなくなる・・・かも!!

About WordPress

▶ 本ブログの広告掲載ポリシー

WordPressのセキュリティ系のハウツーブログは検索をかけると沢山ヒットすることと思います。今回はそんな中の選択肢のひとつとして、実際に僕が設定したらログインページへの不正アクセスがほぼ皆無になった方法をブログしたいと思います。

WordPressのログインページURLを変更しよう

ということで、何よりもまず「ログインページ」のURLを変更することが先決。

デフォルトのログインURLは、

  • http://hogehoge.com/wp-admin
  • http://hogehoge.com/wp-login.php

です。

このURLを別のURLに変更することによってほぼ99%ログインページへの不正アクセスがなくなります。

「玄関の場所がわかならければ訪問したくてもできないんだよ」

という状況をつくるのです。

ログインURL変更はプラグインで設定します

ログインURLを変更するプラグインは何種類かありますが、僕は以下のプラグインを使用しています。理由は簡単だからです。

上記リンクからインストールするかプラグイン検索から「Login rebuilder」をコピペして有効化します。

login01

有効化が完了すると、サイドメニューの「設定」に「ログインページ」という項目が表示されています。設定をするために「ログインページ」項目をクリックします。

login02

無効なリクエストの応答:この項目はデフォルトの「wp-admin」等URLでアクセスされたときにどのような画面へ誘導するか・・・という項目です。僕はブログのトップページにリダイレクトするように設定しています。

ログインファイルのキーワード:空欄で構いません。設定するとランダムで英数字が入ります。あとで控えておいてください。

新しいログインファイル:ここに好きな英数字を入力して「wp-admin」や「wp-login.php」の部分を任意のURLに変更します。URLの部分に画像のような変更後の新しいURLが表示されることと思います。

第2ログインファイル:空欄でOKです。ユーザー権限によってログインURLを分けたい方のみ利用してください。

ステータス:「稼働中」にチェックします。これを忘れるとログインURLは変更されないままデフォルトの状態です。

ログ保存:ログイン時のログを保存するかどうかですが、あとに紹介するログイン履歴プラグインを用いる関係上必要ありませんので「しない」でOK。

以上の設定ができたら「変更を保存」で適用させます。

これでWordpressのログインURLがオリジナルのものになるので、なかなか入り口が探せなくなります。当然不正アクセスも激減します。

ログイン履歴が確認できるようになる「Crazy Bone」

やはり不正ログインを試みるけしからん輩がいるかどうかを日々モニタリングするために、ログイン履歴プラグインを入れましょう。

上記リンクからインストールするかプラグイン検索から「Crazy Bone」をコピペして有効化します。

login03

有効化が終わるとサイドメニュー「ユーザー」に「ログイン履歴」が表示されますのでクリックします。

login-log

上記画像のようにログインの履歴をしっかりと記録してくれます。不正アクセスは「どのようなユーザー名」で「どのIPアドレスやブラウザから」など欲しい情報がしっかりと記録されていて大変見やすく高機能のプラグインです。

この「Crazy Bone」で適度にモニタリングしてあげれば安心ですね。上記画像では日本からの不正アクセスですが、今回のブログの方法を設定する前はロシアが多かったです。

兎にも角にもログインURLを変えた今ではすっかり不正ログインは来なくなりました。

その他に入れたほうが良いセキュリティ系プラグイン

ログインを●回失敗すると、そのIPアドレスからのアクセスを●分(時間)禁止するプラグイン。ブルートフォースアタック対策に絶大な効果。数ある類似プラグインのなかでも「軽い・シンプル・簡単」の三拍子の優良プラグイン・・・だと思います。

このプラグインだけで「ログインURL変更」と「ブルートフォースアタック対策」ができるのですが、今まで紹介したプラグインの方が「わかりやすく&設定しやすい」のでそれらの機能は使わずに、「ピンバックOFF」と「画像認証」機能だけを使用し、あとはOFFにします

画像認証機能でログイン時「ひらがな」入力を必須にするだけで、ログインページが発見された場合でも外国人の多くはお手上げになります。

あとがき

とりあえず、今回のブログのことをすると恐らくは不正ログインが激減+セキュリティが堅くなるのではないかな?と思います。不正ログインでお困りの方は是非実践してみてください。

もしも不正アクセスが出てくるようになった場合はログインURLを再設定すればまたしばらくは大丈夫です。

(2016年7月追記)
因みにこのブログでは、上記のことをやっただけで、2014年11月以降の不正アクセスは一度もありません。

loginerror

もっと強固にしたい場合は・・・

以下のブログ記事では、WordPress を 2段階認証にする方法が丁寧に説明されています。本記事の方法 + 2段階認証ならもはや鉄壁じゃないでしょうか?

参考 WordPressの管理ページに二段階認証(Google Authenticator)を導入するまろろぐ