WordPressのサイトを安全に保つためには、ログインページへの不正アクセスを防ぐことが大切です。そのために、ログインページのURLを一般的なものから別のものに替えるという方法があります。これにより、悪意のある攻撃者がログインページを見つけ出しにくくなり、サイトへの侵入を難しくすることができます。
この記事では、なぜログインページのURLを変更する必要があるのか、そして具体的な変更方法を分かりやすく解説します。
目次
ログインページURL変更の必要性
初期状態のWordPressログインページURLは、以下のようになっています。
- https://example.com/wp-login.php
- https://example.com/wp-admin/
ドメインの後ろに「/wp-login.php」や「/wp-admin/」を追加すれば、誰でもログインページにアクセスできてしまうということです。
攻撃者は、発見したログインページに対して「ユーザー名」と「パスワード」の組み合わせを次々に試す「ブルートフォース攻撃(ブルートフォースアタック)」を仕掛けてきます。
このような攻撃も、攻撃者がログインページにアクセスできないようにしてしまえば、未然に防ぐことができます。ログインページURLの変更は、そのための効果的な対策の一つなのです。
「SiteGuard」を使ったログインページURLの変更方法
ログインページURLの変更方法には、WordPressの設定ファイルを直接修正する方法もありますが、これにはリスクが伴います。間違って修正すると、サイトが正常に動作しなくなる可能性があるため、初心者にはあまりおすすめできません。
そこで今回は、初心者でも簡単にURLを変更できる「SiteGuard」プラグインを使った方法をご紹介します。
プラグインをインストールする
まずはWordPressにログインして、サイドバーの「プラグイン」を選択し、「新規プラグインを追加」ボタンをクリックします。
「プラグインを追加」画面が表示されたら、プラグインの検索欄に「siteguard」と入力してプラグインを検索します。
一覧の中から、「SiteGuard WP Plugin」を探し「今すぐインストール」をクリックし、プラグインをインストールしてください。
「今すぐインストール」部分が「有効化」ボタンに切り替わったらそのまま「有効化」をクリックしてください。
これでプラグインのインストールは完了です。
ログインページURLを設定する
次にログインページのURLを変更していきましょう。
サイドバーの「SiteGuard」を選択し、表示される設定状況の中の「ログインページ変更」を選択します。
画像が表示されたら、「有効」「無効」ボタンを「有効」に切り替え、「変更後のログインページ名」の部分にログインページのURLに使用したい文字列を入力します。
ログインページ名には、複数の単語の組み合わせや、ハイフン(-)、アンダーバー(_)、数字などを使うなどして、できるだけ推測しにくい文字列を指定してください。ログインページ名が複雑であればあるほど、外部からログインページにアクセスすることが難しくなり、攻撃のリスクを軽減することができます。
以下の例では、ログインページ名として「mysite-login-page9」と指定しています。
注意:次回ログインする際に必要となりますので、「変更後のログインページ名」は忘れないようにしてください。
オプションの部分の「管理画面からログイン画面にリダイレクトしない」の項目にチェックを入れたら、「変更を保存」をクリックして、設定を保存してください。
以上でログインURLの変更は完了です。
最後に、Webブラウザに「変更後のログインURL」を入力し、WordPressのログイン画面が表示されることを確認してください。
まとめ
今回は「SiteGuard」を使ったログインページURLの変更方法をご紹介しました。
悪意のある攻撃者は、WordPressサイトへの攻撃の第一歩として、まずWordPressのログインページを探し出そうとします。サーバのアクセスログを確認すると、ほぼ確実に外部からログインページを探索した形跡が残っています。
このように、ほとんどすべてのWordPressサイトが標的になりうることを考慮し、今回ご紹介したログインページの変更を貴社のサイトでも実施することをおすすめいたします。
ログインページURLの変更もご相談ください
「プラグインを導入しても正常に動作しない…」「プラグインの設定に失敗したらどうしよう」とお悩みの皆様、ぜひ一度弊社にご相談ください。お客様の環境に最適なセキュリティ対策をご提案し、問題解決のお手伝いをいたします。
