2019-08-10
WordPress「Login Rebuilder」プラグインでログインページを変更する方法
セコムしてますか?
ワードプレスの管理画面URLはデフォルトで下記のように設定されていて、アクセスするとIDとパスワードの入力画面が表示されてしまいます。
下記URLのどちらでもアクセス可能で、WordPress利用者であればデフォルトのログインページを推測できてしまいます。つまり、IDとパスワードが推測などで破られてしまえば乗っ取られてしまいます。
- example.com/wp-admin
- example.com/wp-login.php
ブログの管理画面は権限者のみ利用できれば問題ないため、ログインページを隠してアクセス自体を制限させた方がセキュリティ上望ましいです。家に例えるなら、入り口に鍵をかけた上でドア自体を隠して入り口がどこか分からなくてしてしまおう、といった感じです。
ログインページURLの変更は、.htaccessやプラグインなど方法は様々ですが、この記事ではWordPressプラグイン「Login Rebuilder」をご紹介いたします。
Login Rebuilderプラグインの導入
Login Rebuilderを使い、管理画面のログインページURLを任意のファイルに変更しましょう。
- WordPress管理画面のメニューから「プラグイン」→「新規追加」を選択
- 「Login Rebuilder」で検索
- 「今すぐインストール」からインストール
- 「有効化」をクリック
プラグインをダウンロードした上で、FTPでアップロードする場合はこちらからダウンロードできます。
Login Rebuilderプラグインの基本設定
主要な設定項目を説明します。
無効なリクエスト時の応答
デフォルトのログインページにアクセスがあった場合の挙動を設定します。
おすすめは「サイトトップへリダイレクト」で、トップページへ遷移されます。403や404ページを表示させたい場合は「403ステータス」「404ステータス」にチェックを入れましょう。
新しいログインファイル
ログインURLを変更できます。このプラグインのメイン機能と言えるでしょう。
デフォルトでは、「your-login.php」が指定されていますが、例えば「example.php」と変更することで、ログインページURLが「https://example.com/example.php」へ変更できます。
ランダムな文字列などファイル名複雑にすれば、ログインページURLを特定しにくくなります。もちろん忘れてしまわないようなファイル名にするなど、そのあたりはバランスを取りつつ設定しましょう。
ステータス
「稼働中」にチェックを入れましょう。「準備中」にチェックが選択されたままだと動作しません。
ログ保存
ログイン動作に関するログを残すかどうか。どういうかたちで残すかを選択できます。保存されたログは管理画面のダッシュボードで確認することができます。
Login Rebuilderプラグインの動作確認
旧ページにアクセス
プラグイン実行前のログインページへアクセスして、デフォルトで指定されているwp-login.phpとwp-adminへのアクセスができなくなくなっていルことを確認しましょう。
先ほど「無効なリクエスト時の応答」でリダイレクト先を「サイトトップへリダイレクト」に指定しましたので、ログインページにアクセスするとブログのトップページにリダイレクトされますね。
新ページにアクセス
続いて、新しく指定したログインページにアクセスしてみましょう。
新たに作成したhttps://example.com/example.phpへアクセスするとログインページが表示されます。
注意点
デフォルトで使用していたログインページ、wp-login.phpは削除してしないように注意してください。
まとめ
WordPressを使用したブログ運営。長年ブログ運営を行っているアクセス数も増えてきますが、同時にセキュリティ面のリスクも増えます。
記事の投稿のみならず、WordPressの機能面、特にセキュリティにも目を向けましょう。最低限行っておくべきセキュリティ対策を行っていなかったがために、頑張って書き上げてきた記事を消されてしまった!ということにもなりかねません。
今回ご紹介した管理画面のログインページURL変更は、多くあるセキュリティ対策の一つに過ぎません。対策方法は、画像認証やIPアドレスによる制限など他にも多数あります。それらの対策を併せて行うことによりよりセキュアな環境が実現できます。これを機会に他の方法も調べてみてはいかがでしょうか。
その他のセキュリティ対策についても、今後別の機会にご紹介できればと思います。