WordPressの使い方 セキュリティ ブログ

【セキュリティ強化】WordPressダッシュボードログインURLの変更方法

 

WordPressでホームページやブログを運営していく上で、欠かせないのがセキュリティ対策になります。

ブルートフォースアタック(総当たり攻撃)と呼ばれる悪質な手法から大事な WordPressサイトを守ることは必須になりますね。

 

 

ダッシュボード(管理画面)という家の中に入れないために玄関を厳重にする

WordPressでは一つのサイトに対して、公開ページとは別にダッシュボード(管理画面)へのログイン用のURLが用意されています。

そのWordPressダッシュボードログインURLですが、デフォルトでは、/wp-admin/、または/wp-login.phpと決まったURLになっています。

仮に、https://abcdef.comというサイトがあったとしたら、以下のような2種類のURLがある、ということですね。

ということは、デフォルトのままの WordPress サイトURLの末尾に「wp-admin」、もしくは「wp-login.php」を付ければ誰でも簡単にダッシュボードログインページへアクセスできることになります。

とはいえ、あくまでもログインページへのアクセス止まりですから、そこからユーザーIDやパスワードを知られなければ、ログインされるということはありません。

ユーザーID、パスワードを複雑なものとし、さらにはセキュリティ系のプラグインを導入し、何者かが数分で数回パスワードを間違えればロックがかかる、という設定にすることもできます。

ほとんどの場合、その対策だけで不正ログインは未然に防げます。

ですが、

●ブルートフォースアタックによるダッシュボードログイン画面へのアクセスを防ぎたい

●さらにセキュリティ効果を強めたい

という方は、WordPressのダッシュボードログインURLを、デフォルトの初期状態から変更することで、よりセキュリティを強化することができます。

三浦さん

分かりやすく言うと、ダッシュボードという家の中に入られる前に、その前の段階で入り口の玄関に厳重な鍵をかける、ということですね。

玄関にさえ入られなければ、家の中にも入れないですからね。

 

ブルートフォースアタック(総当たり攻撃)とは?

何者かによるログイン画面への不正アクセスは、ブルートフォースアタック(総当たり攻撃)と呼ばれる手法が使われていることが多いです。

ブルートフォースアタックとは、ユーザーのID、パスワードを解読するため、考えられる全てのパターンを試す方法で、文字通り総当たりで攻撃される、ということです。

例えば「aaa1」から始めて「aaa2」「aaa3」など、可能な組み合わせを全て実行するパスワード解読方法です。

もちろん、人間が手動で1から行っていたら莫大な時間がかかるものですが、ほとんどのブルートフォースアタックはプログラムを使って機械的に行われています。

一つのサイトへのログインができなかったら次のサイトへと、機械的にアタックを試していることが予想されます。

WordPressには、「All In One WP Security & Firewall」など、優れたセキュリティプラグインが用意されています。

例えば、「3分間で5回のログインに失敗したらロックがかかる」「ログインに失敗してロックがかかったらメールで通知が来る」などの設定をすることができます。

忘れずに設定しておくようにしてみてください。

 

プラグイン Login rebuilder のインストール方法

ダッシュボードログインURLの変更は「Login rebuilder」というプラグインを使うことで可能になります。

設定方法を説明いたします。

 

①ダッシュボード画面から、プラグイン→新規追加 の順にクリックします。

 

②画面右上の検索窓に「Login rebuilder」と入力し、検索します。

 

③「Login rebuilder」が表示されますので、「今すぐインストール」をクリックしてインストールします。

 

④インストールが完了したら、「有効化」をクリックします。

 

⑤インストールが完了すると、「インストール済みプラグイン」一覧に「ILogin rebuilder」が表示されるので、そのまま「設定」をクリックします。

 

プラグイン Login rebuilder の設定方法

Login rebuilderの設定画面が開きます。

以下、①〜③の順に説明していきます。

 

①ダッシュボードログインURL変更前のURLにアクセスした時に表示される画面設定です。

デフォルトでは「403ステータス」になっています。

デフォルトのままでも良いですし、見栄えを良くするなどのために、サイトトップへリダイレクトさせる形でも良いと思います。

 

②ログインファイルキーワードの設定

ログインファイルキーワードはランダムに自動生成されます。

ここは変更する必要がないので、そのままで大丈夫です。

 

③新しいログインファイルの設定

任意のダッシュボードログインページの URL を入力します。

ドメイン以下の部分を入力します。

「https:// abcdef.com」ならば、「.com」より下の部分を入力します。

例えば「login-obl1ncz9ilv3u9vkc5」など、英数字を絡めて長くて複雑なものにすると効果的です。

なお、末尾は必ず「.php」としておいてください。

つまり、「login-obl1ncz9ilv3u9vkc5.php」と入力し、ダッシュボードログインURLを「https:// abcdef.com/wp-admin」から「https:// abcdef.com/login-obl1ncz9ilv3u9vkc5.php」に変更する、ということです。

 

入力し終えたらページ下部に「ステータス」箇所があるので、「稼働中」にチェックを入れて「変更を保存」をクリックします。

これにて、ダッシュボードログインURLの変更が完了です。

 

完了後、一度 WordPress からログアウトして、変更後のダッシュボードログインURLにアクセスしてみてください。

そしてそのURLはブックマークするなど、忘れずに大切に保管してください。

なお、ユーザー名やパスワードは変更されません。以前のまま使えます。

以前の wp-admin のダッシュボードログインページ URLには、もうアクセスできなくなっていることも確認してみてください。

 

プラグイン Login rebuilder 設定後の注意点

プラグイン、Login rebuilderの設定後は、以下の点にご注意ください。

  • Login rebuilder を稼働させると、元のログインURLは使えなくなります
  • Login rebuilder を停止させると、元のログイン URLがまた使えるようになってしまいます
  • プラグインを一度停止して再度有効化すると「準備中」になるので「稼働」に再設定する必要があります
  • Login rebuilderプラグインを削除すると、元のログインURLに戻ります
  • Login rebuilderプラグインを削除すると、作成したログイン.php も一緒に自動で削除されます

 

ログインページ URL 変更前の不正アクセス、ブルートフォースアタック(総当たり攻撃)はほとんどが海外からの攻撃になります。

あなたのダッシュボードログインURLへの不正アクセスは誰か知人によるものとは考えにくく、スパムによる無差別攻撃だと認識すると良いでしょう。

WordPressダッシュボードログインURLへのアクセスに限らず、ブルートフォースアタックは無差別攻撃であるがゆえ、防ぎようのないことでもあります。

「私のサイトが特定の誰かに狙われた!」と悲観的になるのではなく、機械的なスパムによる無差別攻撃であることと捉え、セキュリティ対策をしっかり行っていきましょう。

 

 

三浦企画では、現在オンライン通話システム・ZOOMでのご相談を無料で承っております。

無料ホームページ相談の詳細はこちら

 

三浦企画・三浦猛のメールマガジンでは、個人事業主のビジネス活用についても配信しています。

メールマガジンのご登録はこちらから

 

 

ブログ ホームページ制作実績

2022/5/7

【制作実績】認可外保育施設 Amica(あみーか)様

この度、埼玉県さいたま市見沼区 託児・一時預かり 認可外保育施設 Amica(あみーか)様のホームページを制作いたしました。   保育施設不足が問題となっている中、多様な保育ニーズに対応する「認可外保育施設」の需要が高まっています。   Amica(あみーか)主催の北村聡美さんは、5歳と1歳の男の子を育てながら、保育施設を運営されています。 また、認可外保育施設事業の他に、「ママのための親子教室」も提供されています。 ●赤ちゃんを抱っこしたり寝かしつけたりするときに使う、「おくるみ」の ...

ReadMore

SNS WordPressの使い方 ブログ

2022/4/29

SNS拡散には必須 WordPressのOGP設定 Twitter編

  相談者・Hさん WordPressで書いたブログ記事をTwitterにシェアしたのですが、アイキャッチ画像が表示されなかったり、表示されても小さかったり。 他の方がシェアしているように大きくアイキャッチ画像を表示させる方法を教えてください。 せっかくブログ記事をTwitterにシェアするのですから、アイキャッチが大きく表示されるようにしたいですよね。 分かりました。やり方を解説していきますね。 三浦さん   目次 WordPressでブログを書いたらアイキャッチの設定を忘れずに ア ...

ReadMore

無料ホームページ相談

2022/4/26

60分から90分に時間延長 5月18日(水)・19日(木) 東京・無料ホームページ相談会

  「5月18日(水)・19日(木)開催 東京・無料ホームページ相談会」を開催いたします。 2018年から開催を続けてきた、この対面による無料相談会。 これまで、実に80名を超える方にご参加いただけました。 実際に、無料相談会にお越しくださり、そこでホームページを作ることを決断され、現在しっかりとそのホームページから集客に結びつけている方もたくさんいらっしゃいます。   2019年11月 東京開催ご来場 行政書士 立花技術法務事務所 立花信一様  https://tachibana-o ...

ReadMore

お知らせ

2022/4/26

ゴールデンウィーク休業のお知らせ

いつも大変お世話になっております。 誠に勝手ながら、三浦企画では下記日程をゴールデンウイーク休業とさせていただきます。 2022年4月29日(金)〜2022年5月5日(木) 期間中はお電話でのお問い合わせは受け付けておりません。 また、メールでのご連絡・お問い合わせ(LINE、messenger等含む)は受信まではできますが、お返事は5月6日(金)以降になります。 何卒、ご理解の程、よろしくお願い申し上げます。    

ReadMore

WordPressの使い方 ブログ

2022/4/25

WordPressのバージョンアップデートはすぐに行うべき?

  相談者・HさんWordPressを使っていると、頻繁に「WordPress ●.● が利用可能です ! 今すぐ更新してください。」というようなメッセージがダッシュボードに出ますよね? あの通知を見たら、やはりすぐ更新した方が良いのでしょうか? WordPressのバージョンのアップデートのことですね。 もちろん、更新した方が良いのですが、すぐには行わないことをお勧めします。 今日はその理由についてお話しますね。三浦さん   目次 WordPressのアップデートを行う重要性 Wor ...

ReadMore

  • この記事を書いた人
  • 最新記事

三浦 猛

三浦企画代表  細部までこだわり、徹底した「お客さま目線」でのWEBサイト作りは、お客さまから「お申し込みが3倍になった」「これまで1件もなかったホームページからの売上件数が月に8件になった」というお声をいただいています。 デザイン制作100作以上。

-WordPressの使い方, セキュリティ, ブログ

© 2022 三浦企画・MIU PROJECT