WordPress管理画面のデフォルトのログインURLは、
https://example.com/wp-admin
https://example.com/wp-login.php
と共通となっています。ログインURLが最初からバレているため、ブルートフォースアタック(総当たり攻撃)をかけられる可能性があるのです。
そうした背景があるため、WordPressの管理画面のログインURLを変更するというのは、セキュリティ的にかなり有効であることが分かっています。
ただ、WordPressは最初からログインURLが固定されているので、プラグイン「WPS Hide Login」で変更することになります。
WPS Hide Loginの特徴
WPS Hide Loginは、ログインURLの変更とwp-adminアクセス時のリダイレクトができるだけというシンプルなWordPressプラグインになっています。
- ログインURLを任意に変更
- wp-login.php・wp-adminのURLをリダイレクト
有効化した時点でログインURLが変わります。
より高度なセキュリティ対策をしたい方は、「Login rebuilder」という類似プラグインを使うと良いでしょう。アカウント権限ごとにログインURLを変更できるだけでなく、著者IDを隠したり、ログ保存ができたりします。
WordPressはオープンソースでとても拡張性が高いので、今ではお店などの集客の強い見方となってくれています。しかしその反面、セキュリティに脆弱性が常につきまとい、ハッカーに狙われやすいという傾向があるのも事実です。 したがって、WordPressでサイトを作れば、セキュリティ対策も...
プラグインのインストール
管理画面から「WPS Hide Login」を検索してインストールするか、下のボタンからもダウンロード可能です。プラグインファイルを wp-content/pluginsディレクトリにアップした後、管理画面から有効化してください。
使い方
プラグインを有効化した時点で、ログインURLは下記に変更されます。
「login」の部分を任意のURLに変更するには、下記に進みます。
ログインURL: wp-login.php・wp-adminの代わりのディレクトリを指定
リダイレクトURL: wp-login.php・wp-adminにアクセスした際のリダイレクト先を指定
解説は以上です。
「WPS Hide Login」の機能はこの2つだけなので、とてもシンプルです。より高機能なプラグインを使いたい方は「Login rebuilder」をご利用ください。
セキュリティ対策、どこまでやればいい?
筆者は過去にはセキュリティ対策は「やればやるほど良い」と思っていたフシがありました。それでこんな記事も用意したりして。
WordPressはオープンソースかつ、無料で使えて拡張性(プラグイン・テーマ)も高いので、世界中で最も利用されているCMSの1つです。オープンソースであるがゆえ、脆弱性が早期発見されやすい性質もあります。 WordPressは世界中で使われているCMSのため、きちんとセキュリティ対策を行って...
ですが、セキュリティを強固にすればするほど、自分たちもログインするハードルが上がります。二要素認証はその典型。
なので、適度かつ安心できるレベルのセキュリティ対策がベターです。強固なパスワードに加え、その他の対策を2〜3個ほどやっておくくらいで十分でしょう。
WordPressテーマ集
コメント