![SUMOGURI [すもぐり]](https://small-green.com/wp-content/uploads/2020/04/small-green-logo-2020.svg){kind=logo}
ブログ始めたばっかりなら、ワードプレスのログインページのURLはそのままではないですか?
デフォルトのままだと、WordPress共通なので誰でもアクセスでき、IDとパスワードさえ分かればログインできてしまいます。
パスワードを難しくするとかよりも、
そもそも、ログイン画面にたどりつかないという方がセキュリティ上、安全に決まってますよね。
今回は、プラグインなしでログインページのURLを変更する方法を紹介します。
ワードプレスのログインページのURLを変更する
ワードプレスのログインは以下のようなURLで簡単にアクセスすることができます。
どのWordPressのデフォルトもこうなっているので、入力すればだれでもアクセスできてしまいます。
このURLでログインページが表示できる
- http://sample.com/wp-login.php
- http://sample.com/wp-admin
- http://sample.com/login
- http://sample.com/admin
- http://sample.com/dashboard
- http://sample.com/enter
試しに、ご自分のサイトで上記のいずれかのURLを入力してみましょう。
ログイン画面が表示されてしまいます。
誰でもアクセスできることで、ブルートフォースアタックされる可能性が高まってしまいます。
ブルートフォースアタック(総当たり攻撃)とは、「ブルートフォース(brute force)」という言葉の意味(「強引な」とか「力ずく」)を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。
サイバーセキュリティ.com
.htaccessに追記してURLを変更する
プラグインなしで、ログインページのURLを変更するには、.htaccessにコードを追記します。
下記のコードをを.htaccessの<IfModule mod_rewrite.c>RewriteEngine Onと</IfModule>の間に追記しましょう。
RewriteRule ^enter/?$ /wp-login.php?logkey [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?logkey&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?logkey [R,L]
RewriteRule ^register/?$ /wp-login.php?logkey&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/enter
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/register
RewriteCond %{QUERY_STRING} !^logkey
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?logkey [R,L]上記コードに修正が必要です。
mydomainの箇所を自分のサイトのドメイン(例:https://small-green.com)に変更。
logkeyの箇所をログインページとしてURLに追加するキーワード(例:hgfaignalv)に変更してください。
すると、ログインページのURLが下記のように変更されます。
- https://small-green.com/wp-login.php?hgfaignalv
ログインページのURLを確認する
上記設定後、ログインページのURLが変更できているか確認してみましょう。
これまでのログインページのURLでnot foundページが表示されればOKです。
次に、今回設定したURLを入力し、ログインページが表示されることを確認しましょう。
表示されれば成功です。毎回ログインページのURLを入力せずにすむようにブックマークやお気に入りに入れておくのがおすすめです。
プラグインを使って変更する場合
プラグインなしで.htaccessの編集に抵抗がある場合は、プラグインで簡単にログインページのURLを変更することができます。
これらのプラグインを使用してログインページのURLを変更してください。
代表的なプラグイン
- WPS Hide Login
- Login rebuilder
【WPS Hide Login】使い方がめちゃくちゃ簡単だった
ただし、プラグインに脆弱性があった場合は、攻撃対象となってしまうことを理解しておきましょう。
最後に
以上、ワードプレスのログインページのURLを変更する方法を紹介しました。
大事な設定ですので、忘れてしまわないうちに設定しておきましょうね。
