WordPress ログイン ページの URL って意識したことありますか?
普段何気に WordPress にログインしている人が多いと思いますが、WordPress ログイン ページの URL は変更しない限り共通の URL になっています。
ログイン URL
- https://ブログの URL /wp-login.php
- https://ブログの URL /wp-admin/
- 自動的にひとつ目の URL に移動します (リダイレクト)
これが何を意味するかというと誰でも簡単に WordPress のログイン ページにたどり着けてしまうということです。
この記事では WordPress ログイン ページを変更しないことによるリスクと対策について解説していきます。
WordPress ログイン ページを変更しないことによるリスク
WordPress は世界的に有名な CMS (Contens Management System) のため、利用ユーザーが多いです。利用ユーザー数が多いということは、悪用しようとする人も多いということです。
攻撃者は WordPress っぽいブログの「wp-login.php」にアクセスし、よく使われるユーザー名・パスワードや不正に入手したユーザー名・パスワードでログインを試みることがあります。
万が一、攻撃者に不正ログインを許すと WordPress で管理しているサイトが改ざんされる可能性があります。
被害例
- WordPress で管理しているサイト全体が改ざんされ、全く別のサービス(詐欺など含む)のサイトに書き換えられてしまう。
- 記事内のリンクが書き換えられ、リンクをクリックすると詐欺サイトに飛ぶように書き換えられてしまう。
いずれも積み上げてきた信頼が一瞬で崩れることになるため、不正ログインされないようにしっかり対策をしましょう。
まずは不正アクセスの入り口となるログイン ページの対策を行います。
WordPress ログイン ページの URL を変更する方法
WordPress のログイン ページ URL を変更する方法は複数あります。
Web エンジニアであればソースコードを変更することで WordPress ログイン ページの変更はできますが、エンジニアでない人がやろうとするとハードルが高い作業になります。
でも安心してください。
WordPress のプラグインを利用することで簡単に WordPress ログイン ページの変更が可能です。
WordPress ログイン ページを変更できるプラグインはいくつもありますが、この記事ではオススメの「SiteGuard WP Plugin」で説明します。
SiteGuard WP Plugin インストール
WordPress ダッシュボードの「プラグイン」をクリックするとインストール済みのプラグイン一覧が表示されます。
上のほうにある「新規追加」ボタンをクリックします。
右上の検索ボックスに「SiteGuard」と入力すると「SiteGuard WP Plugin」が表示されるので「今すぐインストール」をクリックします。
「今すぐインストール」が「有効化」に変わったら「有効化」をクリックします。
自動でプラグイン一覧ページに戻ります。上部に「ログインページ URL が変更されました。」と表示されていればインストール成功です。
「新しいログインページURL」をクリックすると新しいログイン ページに飛びます。
新しいログイン URL は末尾が「wp-login.php」ではなく「login_○○」に変更されていると思います。
また、追加のセキュリティとしてひらがなを入力する項目が増えていると思います。
新しいログイン ページは忘れずにブックマークに登録しておきましょう。
ブックマークを忘れた場合
万が一ブックマークするのを忘れてしまった場合は、プラグイン有効化時に届くメールを探してみましょう。
メールには新しいログイン ページ URL が記載されています。
プラグインを有効化するだけでログイン URL は変わりますが、一部抜け穴があるため設定の変更を行います。
ログイン ページ変更設定
SiteGuard メニューの「ログインページ変更」を開きます。
オプションにある「管理者ページからログインページへリダイレクトしない」にチェックをつけて「変更を保存」をクリックします。
この設定をしないと「https://<WordPress URL>/wp-admin/」にアクセスすると自動でログイン ページの URL へ飛びます。(専門用語でリダイレクトといいます。)
攻撃者からログイン ページを隠すためにこのプラグインを導入しているのに、ログイン ページへのアクセス方法を残す意味はないため、この設定は必須と考えてください。
以下は好みに応じて設定変更を検討してください。
SiteGuard WP Plugin 設定
WordPress ダッシュ ボードで「SiteGuard」をクリックすると SiteGuard のダッシュボードが表示されます。
緑色のチェックが入っている項目が有効になっている機能です。ログイン ページ変更以外にも多くの機能が含まれているのがわかりますね。
プラグイン インストール後に変更した方がいい設定や、メールが多く届くようになるのを防ぐ設定を紹介します。
画像認証
プラグインを導入するとログイン画面に画像認証の項目が追加されます。
様々なユーザー名とパスワードを試す攻撃に大きな効果があるため、基本的には有効化のままにしておくことをおすすめします。
毎回入力するのが煩わしく、この設定を無効化したい場合は「画像認証」のページより「OFF」にするか、個別に「無効」を選択して「変更を保存」してください。
海外からの攻撃が多いので初期設定の「ひらがな」が一番効果が高いと思います。
ログイン アラート
SiteGuard をインストールすると、WordPress にログインする度にメールが届くようになります。
不正アクセスに気付くきっかけになるため、有効のままにしておくことをおすすめします。
毎回メールが来るのが煩わしいという方は以下の設定を「OFF」にします。
更新通知
WordPress のテーマやプラグインのアップデートが行われると以下のようなメールが届くようになります。
テーマやプラグインのアップデートは可能な限り早めに行うことが理想ですが、テーマとの互換性で問題が発生する場合もあるため、少し様子を見るのが一般的です。
そういった観点で、更新通知を受け取ったとしてもすぐに対応しないのであれば、更新通知は「OFF」でも問題ないと思います。
まとめ
不正アクセスの入り口となる WordPress のログイン ページを守る方法を紹介させていただきました。
プラグインをインストールしていくつか設定を変更するだけで十分な対策になるため、まだ対策されていない人は今すぐにでも行動することをおすすめします。