WordPressのサイトを安全に保つためには、ログインページへの不正アクセスを防ぐことが大切です。そのために、ログインページのURLを一般的なものから別のものに替えるという方法があります。これにより、悪意のある攻撃者がログインページを見つけ出しにくくなり、サイトへの侵入を難しくすることができます。
この記事では、なぜログインページのURLを変更する必要があるのか、そして具体的な変更方法を分かりやすく解説します。

ログインページURL変更の必要性

初期状態のWordPressログインページURLは、以下のようになっています。

• https://example.com/wp-login.php
• https://example.com/wp-admin/

ドメインの後ろに「/wp-login.php」や「/wp-admin/」を追加すれば、誰でもログインページにアクセスできてしまうということです。

攻撃者は、発見したログインページに対して「ユーザー名」と「パスワード」の組み合わせを次々に試す「ブルートフォース攻撃（ブルートフォースアタック）」を仕掛けてきます。

このような攻撃も、攻撃者がログインページにアクセスできないようにしてしまえば、未然に防ぐことができます。ログインページURLの変更は、そのための効果的な対策の一つなのです。

「SiteGuard」を使ったログインページURLの変更方法

ログインページURLの変更方法には、WordPressの設定ファイルを直接修正する方法もありますが、これにはリスクが伴います。間違って修正すると、サイトが正常に動作しなくなる可能性があるため、初心者にはあまりおすすめできません。

そこで今回は、初心者でも簡単にURLを変更できる「SiteGuard」プラグインを使った方法をご紹介します。

プラグインをインストールする

まずはWordPressにログインして、サイドバーの「プラグイン」を選択し、「新規プラグインを追加」ボタンをクリックします。

「プラグインを追加」画面が表示されたら、プラグインの検索欄に「siteguard」と入力してプラグインを検索します。

一覧の中から、「SiteGuard WP Plugin」を探し「今すぐインストール」をクリックし、プラグインをインストールしてください。

「今すぐインストール」部分が「有効化」ボタンに切り替わったらそのまま「有効化」をクリックしてください。

これでプラグインのインストールは完了です。

ログインページURLを設定する

次にログインページのURLを変更していきましょう。
サイドバーの「SiteGuard」を選択し、表示される設定状況の中の「ログインページ変更」を選択します。

画像が表示されたら、「有効」「無効」ボタンを「有効」に切り替え、「変更後のログインページ名」の部分にログインページのURLに使用したい文字列を入力します。

ログインページ名には、複数の単語の組み合わせや、ハイフン（-）、アンダーバー（_）、数字などを使うなどして、できるだけ推測しにくい文字列を指定してください。ログインページ名が複雑であればあるほど、外部からログインページにアクセスすることが難しくなり、攻撃のリスクを軽減することができます。
以下の例では、ログインページ名として「mysite-login-page9」と指定しています。

注意：次回ログインする際に必要となりますので、「変更後のログインページ名」は忘れないようにしてください。

オプションの部分の「管理画面からログイン画面にリダイレクトしない」の項目にチェックを入れたら、「変更を保存」をクリックして、設定を保存してください。

以上でログインURLの変更は完了です。

最後に、Webブラウザに「変更後のログインURL」を入力し、WordPressのログイン画面が表示されることを確認してください。

まとめ

今回は「SiteGuard」を使ったログインページURLの変更方法をご紹介しました。

悪意のある攻撃者は、WordPressサイトへの攻撃の第一歩として、まずWordPressのログインページを探し出そうとします。サーバのアクセスログを確認すると、ほぼ確実に外部からログインページを探索した形跡が残っています。

このように、ほとんどすべてのWordPressサイトが標的になりうることを考慮し、今回ご紹介したログインページの変更を貴社のサイトでも実施することをおすすめいたします。

ログインページURLの変更もご相談ください

「プラグインを導入しても正常に動作しない…」「プラグインの設定に失敗したらどうしよう」とお悩みの皆様、ぜひ一度弊社にご相談ください。お客様の環境に最適なセキュリティ対策をご提案し、問題解決のお手伝いをいたします。