WordPress のセキュリティ!ログインページのURLを変更して安全を確保しよう

About WordPress

WordPress は世界で一番使われている CMS だけあって、セキュリティも世界一気を使わなければいけない CMS ですよね。

通常の WordPress ログイン URL はみんな共通の・・・

  • http://hogehoge.com/wp-admin
  • http://hogehoge.com/wp-login.php

で、ブログやサイト URL のケツに wp-admin をつけとけばとりあえず誰でもログインページへアクセスできてしまいます。

このログイン URL の wp-admin と wp-login.php を誰もわからない任意のものへ変更してしまえば、「玄関の場所がわからなければ訪問したくてもできない」状態になります。

ログイン URL を変えて、そもそも不正アクセスを試みられることの無い状況をつくりだすことは、WordPress サイトを運営する上で絶対にやっておいたほうがよい対応です。

今回は、WordPress ログインページ URL を簡単に別のものへ変更できる便利なプラグイン「Login rebuilder」の使い方をメモします。

プラグイン「Login rebuilder」をインストールしよう

Login rebuilder の新規インストール

WordPress 管理画面のプラグイン新規追加の検索で「Login rebuilder」と検索すればバッチリでてくるので、インストールして有効化しましょう。

Login rebuilder の設定方法

有効化した Login rebuilder の場所

有効化した Login rebuilder は、サイドメニュー「設定」の中にある「ログインページ」にあります。ここからログインページ URL を変更します。

Login rebuilder の設定

設定項目をひとつひとつ解説します。

  1. 無効なリクエストの応答: この項目はデフォルトの「wp-admin」等URLで不正アクセスされたときにどのような画面へ誘導するか? という項目です。好きな項目を選んでください。404 か トップページリダイレクトが一般的ですね。
  2. ログインファイルのキーワード: 空欄で構いません。設定するとランダムで英数字が入ります。
  3. 新しいログインファイル: ここに好きな英数字を入力して「wp-admin」や「wp-login.php」の部分を任意のURLに変更します。入力後、URLの部分に画像のように変更後の新しいURLが表示されます。この URL をメモやブックマーク登録してください。
  4. 第2ログインファイル: 空欄でOKです。ユーザー権限によってログインURLを分けたい方のみ利用してください。
  5. ステータス: 「稼働中」にチェックします。これを忘れるとログインURLは変更されません。お忘れなきよう。
  6. ログ保存: ログイン時のログを保存するかどうかですが、あとに紹介するログイン履歴プラグインを用いる関係上必要ありませんので「しない」でOK。
  7. 変更を保存: 全ての設定が完了したらこのボタンを押します。これでログインページの URL が設定したものへ切り替わります。

あとがき

ログインページの URL は絶対に変更したほうが良いです。これだけで多くの不正アクセスを弾くことができます。

先にも書きましたが、玄関がわからなければブルートフォースアタックなどはやりようがありませんからねっ!!