【WordPress】Classic Editorは時代遅れ!今すぐGutenbergエディターに乗り換えたくなる魅力5選
裕希ヒロ WordPressでバズるマーケティング
【5分で対策】ワードプレス(WordPress)ログインURLの変更:初心者ほど確認すべき理由
裕希ヒロ
こんにちは!裕希ヒロです。このブログでは、システムエンジニア出身の私がWEBマーケティングを学んで『稼ぐ力』を鍛える過程を発信しています。
WordPressが悪い他人に乗っ取られる前に、ログインURLを変更しておいた方がいいことを知っていますか?
大前提、すべての WordPress 利用者のログインURLはすぐに分かります。なぜかというと、あなたの WordPress サイトURLの最後に wp-admin/ と書いてアクセスすればよいからです。
そうなると、あとはIDとパスワードが分かれば乗っ取りができますよね。
「IDとパスワードがそんな簡単にバレるわけないじゃん♪」
そう思いましたか?
・・・残念ながら、その程度の甘い認識だと、バレるのは時間の問題です。
ちゃんとセキュリティ対策をしている人というのは
- IDとパスワードの組み合わせは、他の会員サイトでは一切利用していないと言い切れますか?
- パスワードは最低12文字よりも長い文字列を作っていますか?
- あるいは少し短かったとしても、「大文字」「小文字」「記号」「数字」の組み合わせで複雑にしていますか?
ここまでのセキュリティ意識を持っていれば、とてもいい感じですね。
そうじゃなければ、乗っ取りのリスクを低減するために今すぐパスワードを変更することはもちろん、この記事で説明している「ログインURLの変更」の対策を実施しましょう。
5分で終わりますので、今すぐやるべきです。
Contents
WordPressのログインURLを見つける方法
繰り返しになりますが、標準のログインURLは全員が一律で以下のようになっています。
- http://yourdomain.com/wp-admin
- http://yourdomain.com/wp-login.php
これらのURLにアクセスすると、WordPressのログイン画面が表示されます。
なんでログインURLが2つあるの?という疑問に答えると、 wp-login.php が本物のURLです。
wp-admain/ でアクセスすると、この wp-login.php にリダイレクト(転送)されるようになっているだけなのです。
専門的になりますが、ターミナルを利用できる人は以下のとおり実施すると簡単にわかります。
この説明は、 https://~~~~~/wp-admin/ にアクセスしたら、location: ..... という行にかかれているURLに転送あれることを意味しています。転送先には wp-login.php の文字がありますよね。
ログインURLをバレにくくする方法
非常にシンプルですが「標準のログインURLを隠す」および「あなたしか知らない専用のログインURLを作成する」という2点を実行するだけです。これを実現するためのプラグインもいくつかあるのですが、シンプルでおすすめなのは WPS Hide Login プラグインです。
インストール数は100万以上、レビュー数も2千を超え、これだけでも安心感がありますね。(2024/07/31現在)
無料で利用できますし、プラグインの有効化後にも煩わしい広告は出てきませんので、とても良心的なプラグインだと思います。
WPS Hide Loginの使い方
- プラグインのインストールと有効化
- WordPressの管理画面から「プラグイン」→「新規追加」をクリック。
- 検索ボックスに「WPS Hide Login」と入力し、インストール後、有効化します。
- ログインURLの設定
- 「設定」→「一般」から、WPS Hide Loginの設定画面にアクセス。
- 新しいログインURLを指定し、「変更を保存」をクリック。
このように、非常にわかりやすくログインURLの設定画面があります。(以下の内容はデフォルト値です)
- 「ログインURL」の部分を、あなたしか知らない任意の文字に変更します。必ずメモをして忘れないようにしてください。
- 「リダイレクトURL」は、そのままで構いません。
たったこれだけで設定が完了しました。
動作確認
設定後、今までのログインURLである ~~~~/wp-admin へアクセスしてみましょう。
この時、設定を失敗していたらログインできなくなって混乱するかもしれないので、ログイン中のブラウザはそのままにブラウザのシークレットウィンドウや別のブラウザでアクセスしてみることを強く推奨します。設定が間違っていても、もとのログインがそのまま残っていれば修正できますからね。
そして、元のログインURLにアクセスをすると記事が見つからない趣旨のメッセージが表示されます。この画面は、利用しているテーマによって違います。
専門的な表現をすると、404 Not Fonud エラー画面が出ていることになります。
これも先程と同様、専門のコマンドを利用すると以下のようになります。
wp-admin/ へのアクセスが、 404/ に転送されていることが分かりますね。
なお、この動作は未ログイン状態の場合の挙動です。ログイン済みの状態だと wp-admin/ へアクセスしても従来通りに表示することが可能です。
その他の強化策: WordPressのログインURLに関するセキュリティ対策
セキュリティの担保ってなかなか難しいもので、やってもやってもキリがないのですよね。
まずみなさんに知っていただきたい大前提ですが、セキュリティの世界に100点は存在しません。
もし、「これだけやっておけば完璧です!」と言っている人がいたら、その人の知識が浅い可能性がありますので注意しましょう。技術に詳しい人間は100点がないことを知っていますので、安易にセキュリティ対策が完璧なんて言葉は言わないのです。
とはいえ、少しでも100点に近づけていきたいですよね。その他の対策も簡単にご紹介します。
- ブルートフォース攻撃への対策【今回実施した対策】
- ログインURLを変更することで、ブルートフォース攻撃(パスワードを総当たりで試す攻撃)からサイトを守ることができます。標準のログインURLは一般的に知られているため、攻撃者が簡単にアクセスできてしまいます。ログインURLを変更することで、攻撃者がログインページを見つけるのを難しくします。
- ただ、ログインURLを標準のものから変更したといっても「分かりにくくした」だけでしかありません。変更後のURLが想像できやすいものだとあまり意味がありませんので、注意しましょう。
- 二段階認証の導入
- ログインURLの変更に加え、二段階認証を導入することで、セキュリティをさらに強化できます。Google AuthenticatorやAuthyなどのプラグインを使用すると、簡単に二段階認証を設定できます。
- ログイン試行回数の制限
- 「Limit Login Attempts Reloaded」などのプラグインを使用して、ログイン試行回数を制限することも有効です。これにより、総当たり攻撃が発生したときにすぐにブロックがかかりますので、ログインを突破される可能性を非常に小さくすることができ、不正なログイン試行を防ぐことができます。
まとめ:WordPressのログインURL管理でセキュリティを強化
WordPressのログインURLを変更する方法を説明しました。
「必須か?」と言われたら、必須ではありません。あなたがIDとパスワードを複雑に管理しているならば、問題ないでしょう。
しかし、「世界中の誰もがログインURLを知っている」状態と「一部の人しかログインURLを知らない」状態であれば、後者の方がいいですよね。
設定は5分で完了しますので、セキュリティレベルを向上するための手段としては悪くないと思います。
「事が起きてからでは遅い」が、セキュリティの大原則です。
自分だけは大丈夫だと思わずに、コツコツと対策をしていきましょう。
以上、裕希ヒロがお送りしました。
ABOUT ME
順調に出世していて定年まで安泰だったはずの大企業を無計画に辞職。年収ダウンのリスクと隣合わせに「WEBマーケティング」を学び、新たな武器を手にして新世界に挑戦しているエンジニア。中学生からインターネット文化に染まり、ネトゲ沼にはまりながらIT業務歴は長く20年超。
