【コピペ】ワードプレスのログインページのURLをプラグインなしで変更する

ログインページのURLを変更

ブログ始めたばっかりなら、ワードプレスのログインページのURLはそのままではないですか?

デフォルトのままだと、WordPress共通なので誰でもアクセスでき、IDとパスワードさえ分かればログインできてしまいます。

パスワードを難しくするとかよりも、

そもそも、ログイン画面にたどりつかないという方がセキュリティ上、安全に決まってますよね。

今回は、プラグインなしでログインページのURLを変更する方法を紹介します。

自分サイトのログイン画面って誰でもアクセスできていいの・・?やばくない?って思いませんでした?

ワードプレスのログインページのURLを変更する

ワードプレスのログインは以下のようなURLで簡単にアクセスすることができます。

どのWordPressのデフォルトもこうなっているので、入力すればだれでもアクセスできてしまいます。

このURLでログインページが表示できる

  • http://sample.com/wp-login.php
  • http://sample.com/wp-admin
  • http://sample.com/login
  • http://sample.com/admin
  • http://sample.com/dashboard
  • http://sample.com/enter

試しに、ご自分のサイトで上記のいずれかのURLを入力してみましょう。

ログイン画面が表示されてしまいます。

ネット上で自分家の住所を公開しているようなもんですね・・。今の世の中で、それが危険だと思わない人はいないのではないでしょうか。

誰でもアクセスできることで、ブルートフォースアタックされる可能性が高まってしまいます。

ブルートフォースアタック(総当たり攻撃)とは、「ブルートフォース(brute force)」という言葉の意味(「強引な」とか「力ずく」)を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。

サイバーセキュリティ.com

.htaccessに追記してURLを変更する

プラグインなしで、ログインページのURLを変更するには、.htaccessにコードを追記します。

注意
.htaccessは重要なファイルです。入力ミスなどがあった場合に復元できるよう、バックアップは必ずとっておきましょう。

下記のコードをを.htaccessの<IfModule mod_rewrite.c>RewriteEngine Onと</IfModule>の間に追記しましょう。

.htaccessに追記するコード
RewriteRule ^enter/?$ /wp-login.php?logkey [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?logkey&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?logkey [R,L]
RewriteRule ^register/?$ /wp-login.php?logkey&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/enter
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)mydomain/register
RewriteCond %{QUERY_STRING} !^logkey
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?logkey [R,L]

上記コードに修正が必要です。

mydomainの箇所を自分のサイトのドメイン(例:https://small-green.com)に変更。

logkeyの箇所をログインページとしてURLに追加するキーワード(例:hgfaignalv)に変更してください。

すると、ログインページのURLが下記のように変更されます。

  • https://small-green.com/wp-login.php?hgfaignalv

ログインページのURLを確認する

上記設定後、ログインページのURLが変更できているか確認してみましょう。

これまでのログインページのURLでnot foundページが表示されればOKです。

次に、今回設定したURLを入力し、ログインページが表示されることを確認しましょう。

表示されれば成功です。毎回ログインページのURLを入力せずにすむようにブックマークやお気に入りに入れておくのがおすすめです。

プラグインを使って変更する場合

プラグインなしで.htaccessの編集に抵抗がある場合は、プラグインで簡単にログインページのURLを変更することができます。

これらのプラグインを使用してログインページのURLを変更してください。

代表的なプラグイン

  • WPS Hide Login
  • Login rebuilder

WPS Hide Loginがめちゃくちゃ簡単だった 【WPS Hide Login】使い方がめちゃくちゃ簡単だった

ただし、プラグインに脆弱性があった場合は、攻撃対象となってしまうことを理解しておきましょう。

最後に

以上、ワードプレスのログインページのURLを変更する方法を紹介しました。

大事な設定ですので、忘れてしまわないうちに設定しておきましょうね。

コメントを残す