WordPress ブログ

【ブログ乗っ取り!?】WordPress のログイン ページを守る方法【SiteGaurd WP Plugin】

WordPress のログインページを守る方法

WordPress ログイン ページの URL って意識したことありますか?

普段何気に WordPress にログインしている人が多いと思いますが、WordPress ログイン ページの URL は変更しない限り共通の URL になっています。

ログイン URL

  • https://ブログの URL /wp-login.php
  • https://ブログの URL /wp-admin/
    • 自動的にひとつ目の URL に移動します (リダイレクト)
WordPress ログインページの URL
WordPress ログインページの URL

これが何を意味するかというと誰でも簡単に WordPress のログイン ページにたどり着けてしまうということです。

この記事では WordPress ログイン ページを変更しないことによるリスクと対策について解説していきます。

WordPress ログイン ページを変更しないことによるリスク

WordPress は世界的に有名な CMS (Contens Management System) のため、利用ユーザーが多いです。利用ユーザー数が多いということは、悪用しようとする人も多いということです。

攻撃者は WordPress っぽいブログの「wp-login.php」にアクセスし、よく使われるユーザー名・パスワード不正に入手したユーザー名・パスワードでログインを試みることがあります。

万が一、攻撃者に不正ログインを許すと WordPress で管理しているサイトが改ざんされる可能性があります。

被害例

  • WordPress で管理しているサイト全体が改ざんされ、全く別のサービス(詐欺など含む)のサイトに書き換えられてしまう。
  • 記事内のリンクが書き換えられ、リンクをクリックすると詐欺サイトに飛ぶように書き換えられてしまう。

いずれも積み上げてきた信頼が一瞬で崩れることになるため、不正ログインされないようにしっかり対策をしましょう。

まずは不正アクセスの入り口となるログイン ページの対策を行います。

WordPress ログイン ページの URL を変更する方法

WordPress のログイン ページ URL を変更する方法は複数あります。

Web エンジニアであればソースコードを変更することで WordPress ログイン ページの変更はできますが、エンジニアでない人がやろうとするとハードルが高い作業になります。

でも安心してください。

WordPress のプラグインを利用することで簡単に WordPress ログイン ページの変更が可能です。

WordPress ログイン ページを変更できるプラグインはいくつもありますが、この記事ではオススメの「SiteGuard WP Plugin」で説明します。

SiteGuard WP Plugin インストール

WordPress ダッシュボードの「プラグイン」をクリックするとインストール済みのプラグイン一覧が表示されます。

上のほうにある「新規追加」ボタンをクリックします。

プラグイン新規インストール
プラグイン新規インストール

右上の検索ボックスに「SiteGuard」と入力すると「SiteGuard WP Plugin」が表示されるので「今すぐインストール」をクリックします。

SiteGuard WP Plugin インストール
SiteGuard WP Plugin インストール

「今すぐインストール」が「有効化」に変わったら「有効化」をクリックします。

SiteGuard WP Plugin 有効化
SiteGuard WP Plugin 有効化

自動でプラグイン一覧ページに戻ります。上部に「ログインページ URL が変更されました。」と表示されていればインストール成功です。

「新しいログインページURL」をクリックすると新しいログイン ページに飛びます。

新ログインページ
新ログインページ

新しいログイン URL は末尾が「wp-login.php」ではなく「login_○○」に変更されていると思います。

新しいログイン URL
新しいログイン URL

また、追加のセキュリティとしてひらがなを入力する項目が増えていると思います。

新ログイン画面
新ログイン画面

新しいログイン ページは忘れずにブックマークに登録しておきましょう。

ブックマークを忘れた場合

万が一ブックマークするのを忘れてしまった場合は、プラグイン有効化時に届くメールを探してみましょう。

メールには新しいログイン ページ URL が記載されています。

ログイン ページ URL メール
ログイン ページ URL メール

プラグインを有効化するだけでログイン URL は変わりますが、一部抜け穴があるため設定の変更を行います。

ログイン ページ変更設定

SiteGuard メニューの「ログインページ変更」を開きます。

ログインページ変更
ログインページ変更

オプションにある「管理者ページからログインページへリダイレクトしない」にチェックをつけて「変更を保存」をクリックします。

この設定をしないと「https://<WordPress URL>/wp-admin/」にアクセスすると自動でログイン ページの URL へ飛びます。(専門用語でリダイレクトといいます。)

攻撃者からログイン ページを隠すためにこのプラグインを導入しているのに、ログイン ページへのアクセス方法を残す意味はないため、この設定は必須と考えてください。

以下は好みに応じて設定変更を検討してください。

SiteGuard WP Plugin 設定

WordPress ダッシュ ボードで「SiteGuard」をクリックすると SiteGuard のダッシュボードが表示されます。

SiteGuard ダッシュボード
SiteGuard ダッシュボード

緑色のチェックが入っている項目が有効になっている機能です。ログイン ページ変更以外にも多くの機能が含まれているのがわかりますね。

プラグイン インストール後に変更した方がいい設定や、メールが多く届くようになるのを防ぐ設定を紹介します。

画像認証

プラグインを導入するとログイン画面に画像認証の項目が追加されます。

WordPress 画像認証
WordPress 画像認証

様々なユーザー名とパスワードを試す攻撃に大きな効果があるため、基本的には有効化のままにしておくことをおすすめします。

毎回入力するのが煩わしく、この設定を無効化したい場合は「画像認証」のページより「OFF」にするか、個別に「無効」を選択して「変更を保存」してください。

SiteGuard 画像認証設定
SiteGuard 画像認証設定

海外からの攻撃が多いので初期設定の「ひらがな」が一番効果が高いと思います。

ログイン アラート

SiteGuard をインストールすると、WordPress にログインする度にメールが届くようになります。

ログイン アラート メール
ログイン アラート メール

不正アクセスに気付くきっかけになるため、有効のままにしておくことをおすすめします

毎回メールが来るのが煩わしいという方は以下の設定を「OFF」にします。

ログイン アラート設定
ログイン アラート設定

更新通知

WordPress のテーマやプラグインのアップデートが行われると以下のようなメールが届くようになります。

WordPress 更新通知
WordPress アップデート通知

テーマやプラグインのアップデートは可能な限り早めに行うことが理想ですが、テーマとの互換性で問題が発生する場合もあるため、少し様子を見るのが一般的です。

そういった観点で、更新通知を受け取ったとしてもすぐに対応しないのであれば、更新通知は「OFF」でも問題ないと思います。

更新通知設定
更新通知設定

まとめ

不正アクセスの入り口となる WordPress のログイン ページを守る方法を紹介させていただきました。

プラグインをインストールしていくつか設定を変更するだけで十分な対策になるため、まだ対策されていない人は今すぐにでも行動することをおすすめします。

  • この記事を書いた人

ゆいあっき

副業ブロガー | 2 児の父で会社勤め | ゆいあっき Blog では副業としてブログを始める方に役立つ情報を発信しています。ブログ関するお悩み相談はいつでも受付中です!

-WordPress, ブログ
-, , ,