当ブログ(ライフ・チェンジング・ハックス)は、WordPressでブログを運営しています。
WordPressでブログを運営すると、いろいろと知っておいたほうがいいことがあります。
今回、紹介するWordPressログインページのURL変更もその1つ。

今回は、プラグイン「Login rebuilder」を利用して、ログインページのURLを変更する方法をお伝えします。
なぜログインページのURLを変更するのか?
WordPressで対応すべきセキュリティ対策はいくつかありますが、もっとも効果があると言われているのが、「ログインページのURL変更」です。
WordPressの管理画面に入るとき、必ず下図のようなログインページにアクセスします。

実はこのログインページのURLは、
となっていて、非常にわかりやすいものになっているんですね。
つまり、知らない人のブログでも、
というように、URLのおしりに「wp-admin」と入力すると、ログイン画面にアクセスできてしまうんです。
パスワードクラックに気をつけよう
ログインURLを特定されてしまったら、総当たり攻撃、辞書攻撃、リバースブルートフォース攻撃などさまざまな手段を使い、不正なログインをされる可能性があります。
総当たり攻撃(ブルートフォースアッタク)は、セキュリティ攻撃としては、もっとも単純で原始的な方法です。
しかし、今なお被害は後を立ちません。
総当たりという言葉からも想像できるように、パスワードに使われていると推測される文字列を1つずつ変えながら片っ端から試していく方法がブルートフォースアッタク。
もちろん、人の手でやるのではなく、自動にパソコンのプログラミングが攻撃を仕掛けてきます。
人間だと一生かかるような文字列の解読を、パソコンであれば数秒で解読してしまうので、脅威です。
辞書攻撃というのは、辞書に載っているような意味のある文字列から優先的に試す攻撃です。ブルートフォースアタックとあわせて使われる場合が多いようです。
リバースブルートフォース攻撃は、パスワードを固定し、異なるIDを使って、次々にログインを試みる手法。
ログインの回数制限に引っかかることがないので、そのような手法で不正アクセスを試みる輩がいるということです。
不正にアクセスされたらどうなる?
万が一、不正アクセスされた場合、どのような被害を被るのかイメージしておきましょう。
- 自分のWordPressにログインできなくなる
- ブログが更新できなくなる
- 過去の記事内容が改ざんされてしまう
- 自分のサイトにスパムサイトのリンクや広告を表示させらてしまう
- サイト閲覧者に感染するウイルスを埋め込まれる
- テロ行為など、危険な思想の情報発信源にされてしまう
など、考えただけでやっかいな問題もありますね。
これらは、実際にあった不正アクセスの被害報告としても紹介されている事例です。
「自分は大丈夫」と思わずに、万全な対策をしておいて損はありません。

WordPressのログインページのURLを変更する方法
ログインページのURLを変更するためには、下記のように2通りの対策方法があります。
- プラグインを利用する
- PHPファイルを作成する
基本的には、プラグインを利用する方法がおすすめ。
誰でも簡単に対応可能です。
PHPファイルを作成する場合は、「functions.php」というWordPressの中でも一番重要なファイルに手を加えなければなりません。
記述ミスをしてしまうと、画面が真っ白になったり、アクセスができなくなったりするので、プログラミングに詳しくない人にはハードルが高いかもしれません。
プラグインをインストールできない理由があるなど、特別な事情がない限りは、プラグインを利用しましょう。
プラグインは「Login rebuilder」が設定も簡単でおすすめです。
プラグイン「Login rebuilder」の設定方法
WordPressの管理画面にログインして、新規追加から「Login rebuilder」を検索してインストールします。

インストール後、「Login rebuilder」を有効化。
そうすると、左メニュー「設定」の中に「ログインページ」という項目が表示されます。

こちらをクリックして設定画面に遷移しましょう。

無効なリクエスト時の応答
ログインURL変更後に、旧URL(wp-admin)にアクセスした場合の処理を選択します。

- 403ステータス
- 404ステータス
- サイトトップへリダイレクト
のいずれかから選択します。
僕はサイトトップへリダイレクトにチェックしました。
ログインファイルのキーワード
こちらは自動的にランダムなキーワードに変更されます。

基本的に変更する必要はありません。
そのままでOKです。
新しいログインファイル
この項目が一番大事。
赤枠内に新しいURL(ファイル名)を決めて入力してください。

注意点ですが、必ず最後に「.php」という拡張子を付けましょう。
忘れてしまうと、ログイン画面にアクセスできないという不具合が起きてしまいます。
ここは慎重に確認しながら作業してください。
ロックファイルは、何らかの理由で認証情報が漏洩した場合、アクセスを制限することができます。
第2ログインファイルは、管理人以外もログインできるように、別のログインURLを作成できます。
複数人で管理する場合に使うといいですね。
ステータス
設定が済んだら、ここの項目を「稼働中」にチェックをして、変更を保存するとログイン画面のURLが変更されます。

ログ保存
ログ情報を保存・確認するための設定です。

ログインページへの不正アクセスを確認できるので、どれくらいの数の不正アクセスがあるのか知りたい方はチェックを入れるといいでしょう。
僕の場合、「無効なリクエスト時のみ」ログを残す設定にチェックを入れています。
著者ページへのアクセス
WordPressの場合、「https://自分のドメイン/?author=1」のようにURLを入力すると、自分のユーザーIDが表示されてしまいます。
このような方法で、不正ログインをするためのIDを類推されてしまうことがあるので、注意が必要。
プラグイン「Login rebuilder」では、こちらの対策も可能です。
「 404ステータス」にチェックを入れて、「author=ユーザーID」でアクセスされないように設定しておきましょう。

その他の設定

その他の項目では、細かい設定が行えます。
例えば、ログインがあった場合、通知メールを飛ばすなど。
僕は、ここもデフォルトのままにしています。
以下で、メニュー項目を簡単に説明しておきます。
■設定項目:ログイン時のエラーメッセージをあいまいな内容に変更する
ログインエラーの原因を詳細に表示するのは、セキュリティ上のリスクになります。気になる方は変更しましょう。
■設定項目:メールアドレスとパスワードによる認証を禁止する
WordPressに登録したメールアドレスによる認証を禁止する設定です。
■設定項目:登録フォームを拒絶する
この項目については、リサーチしてみたのですが、役割がよくわかりませんでした。
デフォルトでチェックが付いていたので、そのままにしています。
■設定項目:ログインしていない場合はREST API / Usersを拒否する
最近では、APIキーを活用したプラグインが増えてきました。REST APIは便利な機能ですが、その情報の中には管理者情報も含まれています。
こちらの項目にチェックを入れると、管理者情報が漏洩するリスクを低減させる効果があります。
■設定項目:ログファイルに見出しを付ける
「Login rebuilder」では、ログをCSVファイルでダウンロードできますが、そのファイルに見出しをつけるかどうかの設定です。
■設定項目:管理者のログインを通知する
ログインがあった場合、通知メールが届くようになります。複数人でWordPressを利用する場合は、設定しておいたほうがいいかもしれません。
設定の変更をした場合は、Chromeブラウザのシークレットモードで確認しましょう。
さらに詳細な内容を確認したい方は、開発者のブログにアクセスしてみてください。
ログを表示
「ログを表示」のボタンをクリックすると、「ログ保存」の設定により、不正ログインの記録が表示されます。
ログの表示形式は「アクセス日時 – ID(IPアドレス)」となっています。

- IDの記載がないもの→wp-login.phpが直接アクセスされた場合
- IDが記載されているもの→設定されたログインページでIDとパスワードでログイン失敗した場合
という形でログが記録されます。
後者のログが記録されている場合は、ログインページを変更することをおすすめします。
まとめ:「Login rebuilder」で前もってセキュリティ対策をしよう
この記事ではプラグイン「Login rebuilder」を利用したセキュリティ対策をお伝えしました。
このプラグインで、ログイン画面のURLを変更したら、アクセスしてみましょう。
そして、旧URLにもアクセスして、リダイレクトされるかも必ず確認してください。

WordPressはオープンソースという特徴があるがゆえ、誰でも使いやすい反面、セキュリティの危険性が付きまといます。
何か起こってから対応するのは、非常に大変。
そして、時間の浪費です。
ですから、セキュリティ対策は、前もって万全にしておいたほうが絶対にいいですね。
WordPressのセキュリティ対策をするべき理由については、下記の記事でも詳しく説明していますので、あわせて読んでみてください。
あわせて読みたい
→ 【セキュリティ対策の基本を解説】WordPress初心者が対応すべき最低限のセキュリティ対策
よく一緒に読まれている記事