WordPressの使い方 セキュリティ ブログ

【セキュリティ強化】WordPressダッシュボードログインURLの変更方法

 

WordPressでホームページやブログを運営していく上で、欠かせないのがセキュリティ対策になります。

ブルートフォースアタック(総当たり攻撃)と呼ばれる悪質な手法から大事な WordPressサイトを守ることは必須になりますね。

 

 

ダッシュボード(管理画面)という家の中に入れないために玄関を厳重にする

WordPressでは一つのサイトに対して、公開ページとは別にダッシュボード(管理画面)へのログイン用のURLが用意されています。

そのWordPressダッシュボードログインURLですが、デフォルトでは、/wp-admin/、または/wp-login.phpと決まったURLになっています。

仮に、https://abcdef.comというサイトがあったとしたら、以下のような2種類のURLがある、ということですね。

ということは、デフォルトのままの WordPress サイトURLの末尾に「wp-admin」、もしくは「wp-login.php」を付ければ誰でも簡単にダッシュボードログインページへアクセスできることになります。

とはいえ、あくまでもログインページへのアクセス止まりですから、そこからユーザーIDやパスワードを知られなければ、ログインされるということはありません。

ユーザーID、パスワードを複雑なものとし、さらにはセキュリティ系のプラグインを導入し、何者かが数分で数回パスワードを間違えればロックがかかる、という設定にすることもできます。

ほとんどの場合、その対策だけで不正ログインは未然に防げます。

ですが、

●ブルートフォースアタックによるダッシュボードログイン画面へのアクセスを防ぎたい

●さらにセキュリティ効果を強めたい

という方は、WordPressのダッシュボードログインURLを、デフォルトの初期状態から変更することで、よりセキュリティを強化することができます。

三浦さん

分かりやすく言うと、ダッシュボードという家の中に入られる前に、その前の段階で入り口の玄関に厳重な鍵をかける、ということですね。

玄関にさえ入られなければ、家の中にも入れないですからね。

 

ブルートフォースアタック(総当たり攻撃)とは?

何者かによるログイン画面への不正アクセスは、ブルートフォースアタック(総当たり攻撃)と呼ばれる手法が使われていることが多いです。

ブルートフォースアタックとは、ユーザーのID、パスワードを解読するため、考えられる全てのパターンを試す方法で、文字通り総当たりで攻撃される、ということです。

例えば「aaa1」から始めて「aaa2」「aaa3」など、可能な組み合わせを全て実行するパスワード解読方法です。

もちろん、人間が手動で1から行っていたら莫大な時間がかかるものですが、ほとんどのブルートフォースアタックはプログラムを使って機械的に行われています。

一つのサイトへのログインができなかったら次のサイトへと、機械的にアタックを試していることが予想されます。

WordPressには、「All In One WP Security & Firewall」など、優れたセキュリティプラグインが用意されています。

例えば、「3分間で5回のログインに失敗したらロックがかかる」「ログインに失敗してロックがかかったらメールで通知が来る」などの設定をすることができます。

忘れずに設定しておくようにしてみてください。

 

プラグイン Login rebuilder のインストール方法

ダッシュボードログインURLの変更は「Login rebuilder」というプラグインを使うことで可能になります。

設定方法を説明いたします。

 

①ダッシュボード画面から、プラグイン→新規追加 の順にクリックします。

 

②画面右上の検索窓に「Login rebuilder」と入力し、検索します。

 

③「Login rebuilder」が表示されますので、「今すぐインストール」をクリックしてインストールします。

 

④インストールが完了したら、「有効化」をクリックします。

 

⑤インストールが完了すると、「インストール済みプラグイン」一覧に「ILogin rebuilder」が表示されるので、そのまま「設定」をクリックします。

 

プラグイン Login rebuilder の設定方法

Login rebuilderの設定画面が開きます。

以下、①〜③の順に説明していきます。

 

①ダッシュボードログインURL変更前のURLにアクセスした時に表示される画面設定です。

デフォルトでは「403ステータス」になっています。

デフォルトのままでも良いですし、見栄えを良くするなどのために、サイトトップへリダイレクトさせる形でも良いと思います。

 

②ログインファイルキーワードの設定

ログインファイルキーワードはランダムに自動生成されます。

ここは変更する必要がないので、そのままで大丈夫です。

 

③新しいログインファイルの設定

任意のダッシュボードログインページの URL を入力します。

ドメイン以下の部分を入力します。

「https:// abcdef.com」ならば、「.com」より下の部分を入力します。

例えば「login-obl1ncz9ilv3u9vkc5」など、英数字を絡めて長くて複雑なものにすると効果的です。

なお、末尾は必ず「.php」としておいてください。

つまり、「login-obl1ncz9ilv3u9vkc5.php」と入力し、ダッシュボードログインURLを「https:// abcdef.com/wp-admin」から「https:// abcdef.com/login-obl1ncz9ilv3u9vkc5.php」に変更する、ということです。

 

入力し終えたらページ下部に「ステータス」箇所があるので、「稼働中」にチェックを入れて「変更を保存」をクリックします。

これにて、ダッシュボードログインURLの変更が完了です。

 

完了後、一度 WordPress からログアウトして、変更後のダッシュボードログインURLにアクセスしてみてください。

そしてそのURLはブックマークするなど、忘れずに大切に保管してください。

なお、ユーザー名やパスワードは変更されません。以前のまま使えます。

以前の wp-admin のダッシュボードログインページ URLには、もうアクセスできなくなっていることも確認してみてください。

 

プラグイン Login rebuilder 設定後の注意点

プラグイン、Login rebuilderの設定後は、以下の点にご注意ください。

  • Login rebuilder を稼働させると、元のログインURLは使えなくなります
  • Login rebuilder を停止させると、元のログイン URLがまた使えるようになってしまいます
  • プラグインを一度停止して再度有効化すると「準備中」になるので「稼働」に再設定する必要があります
  • Login rebuilderプラグインを削除すると、元のログインURLに戻ります
  • Login rebuilderプラグインを削除すると、作成したログイン.php も一緒に自動で削除されます

 

ログインページ URL 変更前の不正アクセス、ブルートフォースアタック(総当たり攻撃)はほとんどが海外からの攻撃になります。

あなたのダッシュボードログインURLへの不正アクセスは誰か知人によるものとは考えにくく、スパムによる無差別攻撃だと認識すると良いでしょう。

WordPressダッシュボードログインURLへのアクセスに限らず、ブルートフォースアタックは無差別攻撃であるがゆえ、防ぎようのないことでもあります。

「私のサイトが特定の誰かに狙われた!」と悲観的になるのではなく、機械的なスパムによる無差別攻撃であることと捉え、セキュリティ対策をしっかり行っていきましょう。

 

 

三浦企画では、現在オンライン通話システム・ZOOMでのご相談を無料で承っております。

無料ホームページ相談の詳細はこちら

 

三浦企画・三浦猛のメールマガジンでは、個人事業主のビジネス活用についても配信しています。

メールマガジンのご登録はこちらから

 

 

ブログ 無料ホームページ相談

2022/11/14

【募集中】2022年12月14・15日 東京・無料ホームページ相談会

  今年も例年どおり、年末に東京で開催します 毎年12月に東京で開催している、無料ホームページ相談会。 今年も例年どおり開催いたします。 日程は以下の通りです。 12月14日(水) 10:00~  11:30~  13:00~  合計2組 12月15日(木) 10:00~  11:30~  13:00~  合計2組   今年で5回目となる年末開催。 コロナ禍のこの2年も、この東京相談会だけは欠かさずに開催してきました。   2018年から4年以上続けてきた、ホームページ無料相 ...

ReadMore

WordPress ブログ

2022/11/4

【何が変わった?】WordPress6.1がリリースされました 

2022年11月1日(日本では11月2日早朝)、WordPressの最新バージョンである、WordPress6.1 がリリースされました。 今回は2022年5月にリリースされたWordPress6.0以来の、メジャーアップデートになります。   WordPress 6.1  「Misha – ミーシャ」 WordPressはメジャーアップデートの度に、ジャズ・ミュージシャンの名前が付けられています。 今回は「Misha」という名前です。「ミーシャ」と読みます。 ノルウェー出身のジャズピアニスト、 ...

ReadMore

ブログ ホームページ制作実績

2022/11/2

【制作実績】Toning studio S・健康運動指導士 橘さち様

この度、痛みトリガーコンディショニング Tonins studio S   健康運動指導士・橘さち様のホームページを制作いたしました。 この度ご依頼くださりました、健康運動指導士・橘さちさんは東京・江戸川区を中心に『痛みトリガーコンディショニング』レッスンを提供されています。 『痛みトリガーコンディショニング』とは、【動かす・緩める・整える】をコンセプトに、関節の痛みの根本から見直すコンディショニングです。 痛みの出ている関節だけでなく全身を動かしながら根本的な痛みの原因を見つけ出すコンディショニング法。 ...

ReadMore

ブログ ホームページ制作実績

2022/11/28

【制作実績】Better Future たなかなおこ様

この度、Better Future(ベターフューチャー)・たなかなおこ様のホームページを制作いたしました。   この度ご依頼くださりました、たなかなおこさんの事業の屋号である「Better Future(ベターフューチャー)」 Better Futureでは、健康事業と資産形成事業の二つの事業を提供されています。   健康事業は「健康貯金」というテーマで、「健康」という無形資産を貯金のように増やしていきましょう、というコンセプト。 オンラインでのグループ講座、スクール形式で学ぶスタイル ...

ReadMore

ブログ ホームページ制作実績

2022/10/29

【制作実績】エグゼクティブコーチングオフィス エトワール様

この度、エグゼクティブコーチングオフィス エトワール様のホームページを制作いたしました。 エトワール代表、エグゼクティブコーチ・田代裕貴さんからは、3年前に一度ホームページ制作のご依頼を受注。 当時はカウンセリング業務をメインとした事業をされており、制作したホームページもその業務内容に沿ったものでした。 カウンセリングが主流だった事業内容はこの2年の間に大きく路線変更。 現在は主に経営者、起業家を対象にコーチング業務を提供されています。 事業内容変更に伴い、この度ホームページリニューアルとなりました。 & ...

ReadMore

  • この記事を書いた人
  • 最新記事

三浦 猛

三浦企画代表  細部までこだわり、徹底した「お客さま目線」でのWEBサイト作りは、お客さまから「お申し込みが3倍になった」「これまで1件もなかったホームページからの売上件数が月に8件になった」というお声をいただいています。 デザイン制作100作以上。

-WordPressの使い方, セキュリティ, ブログ

© 2022 三浦企画・MIU PROJECT