WordPressでホームページやブログを運営していく上で、欠かせないのがセキュリティ対策になります。
ブルートフォースアタック(総当たり攻撃)と呼ばれる悪質な手法から大事な WordPressサイトを守ることは必須になりますね。
ダッシュボード(管理画面)という家の中に入れないために玄関を厳重にする
WordPressでは一つのサイトに対して、公開ページとは別にダッシュボード(管理画面)へのログイン用のURLが用意されています。
そのWordPressダッシュボードログインURLですが、デフォルトでは、/wp-admin/、または/wp-login.phpと決まったURLになっています。
仮に、https://abcdef.comというサイトがあったとしたら、以下のような2種類のURLがある、ということですね。
ということは、デフォルトのままの WordPress サイトURLの末尾に「wp-admin」、もしくは「wp-login.php」を付ければ誰でも簡単にダッシュボードログインページへアクセスできることになります。
とはいえ、あくまでもログインページへのアクセス止まりですから、そこからユーザーIDやパスワードを知られなければ、ログインされるということはありません。
ユーザーID、パスワードを複雑なものとし、さらにはセキュリティ系のプラグインを導入し、何者かが数分で数回パスワードを間違えればロックがかかる、という設定にすることもできます。
ほとんどの場合、その対策だけで不正ログインは未然に防げます。
ですが、
●ブルートフォースアタックによるダッシュボードログイン画面へのアクセスを防ぎたい
●さらにセキュリティ効果を強めたい
という方は、WordPressのダッシュボードログインURLを、デフォルトの初期状態から変更することで、よりセキュリティを強化することができます。
分かりやすく言うと、ダッシュボードという家の中に入られる前に、その前の段階で入り口の玄関に厳重な鍵をかける、ということですね。
玄関にさえ入られなければ、家の中にも入れないですからね。
ブルートフォースアタック(総当たり攻撃)とは?
何者かによるログイン画面への不正アクセスは、ブルートフォースアタック(総当たり攻撃)と呼ばれる手法が使われていることが多いです。
ブルートフォースアタックとは、ユーザーのID、パスワードを解読するため、考えられる全てのパターンを試す方法で、文字通り総当たりで攻撃される、ということです。
例えば「aaa1」から始めて「aaa2」「aaa3」など、可能な組み合わせを全て実行するパスワード解読方法です。
もちろん、人間が手動で1から行っていたら莫大な時間がかかるものですが、ほとんどのブルートフォースアタックはプログラムを使って機械的に行われています。
一つのサイトへのログインができなかったら次のサイトへと、機械的にアタックを試していることが予想されます。
WordPressには、「All In One WP Security & Firewall」など、優れたセキュリティプラグインが用意されています。
例えば、「3分間で5回のログインに失敗したらロックがかかる」「ログインに失敗してロックがかかったらメールで通知が来る」などの設定をすることができます。
忘れずに設定しておくようにしてみてください。
プラグイン Login rebuilder のインストール方法
ダッシュボードログインURLの変更は「Login rebuilder」というプラグインを使うことで可能になります。
設定方法を説明いたします。
①ダッシュボード画面から、プラグイン→新規追加 の順にクリックします。
②画面右上の検索窓に「Login rebuilder」と入力し、検索します。
③「Login rebuilder」が表示されますので、「今すぐインストール」をクリックしてインストールします。
④インストールが完了したら、「有効化」をクリックします。
⑤インストールが完了すると、「インストール済みプラグイン」一覧に「ILogin rebuilder」が表示されるので、そのまま「設定」をクリックします。
プラグイン Login rebuilder の設定方法
Login rebuilderの設定画面が開きます。
以下、①〜③の順に説明していきます。
①ダッシュボードログインURL変更前のURLにアクセスした時に表示される画面設定です。
デフォルトでは「403ステータス」になっています。
デフォルトのままでも良いですし、見栄えを良くするなどのために、サイトトップへリダイレクトさせる形でも良いと思います。
②ログインファイルキーワードの設定
ログインファイルキーワードはランダムに自動生成されます。
ここは変更する必要がないので、そのままで大丈夫です。
③新しいログインファイルの設定
任意のダッシュボードログインページの URL を入力します。
ドメイン以下の部分を入力します。
「https:// abcdef.com」ならば、「.com」より下の部分を入力します。
例えば「login-obl1ncz9ilv3u9vkc5」など、英数字を絡めて長くて複雑なものにすると効果的です。
なお、末尾は必ず「.php」としておいてください。
つまり、「login-obl1ncz9ilv3u9vkc5.php」と入力し、ダッシュボードログインURLを「https:// abcdef.com/wp-admin」から「https:// abcdef.com/login-obl1ncz9ilv3u9vkc5.php」に変更する、ということです。
入力し終えたらページ下部に「ステータス」箇所があるので、「稼働中」にチェックを入れて「変更を保存」をクリックします。
これにて、ダッシュボードログインURLの変更が完了です。
完了後、一度 WordPress からログアウトして、変更後のダッシュボードログインURLにアクセスしてみてください。
そしてそのURLはブックマークするなど、忘れずに大切に保管してください。
なお、ユーザー名やパスワードは変更されません。以前のまま使えます。
以前の wp-admin のダッシュボードログインページ URLには、もうアクセスできなくなっていることも確認してみてください。
プラグイン Login rebuilder 設定後の注意点
プラグイン、Login rebuilderの設定後は、以下の点にご注意ください。
- Login rebuilder を稼働させると、元のログインURLは使えなくなります
- Login rebuilder を停止させると、元のログイン URLがまた使えるようになってしまいます
- プラグインを一度停止して再度有効化すると「準備中」になるので「稼働」に再設定する必要があります
- Login rebuilderプラグインを削除すると、元のログインURLに戻ります
- Login rebuilderプラグインを削除すると、作成したログイン.php も一緒に自動で削除されます
ログインページ URL 変更前の不正アクセス、ブルートフォースアタック(総当たり攻撃)はほとんどが海外からの攻撃になります。
あなたのダッシュボードログインURLへの不正アクセスは誰か知人によるものとは考えにくく、スパムによる無差別攻撃だと認識すると良いでしょう。
WordPressダッシュボードログインURLへのアクセスに限らず、ブルートフォースアタックは無差別攻撃であるがゆえ、防ぎようのないことでもあります。
「私のサイトが特定の誰かに狙われた!」と悲観的になるのではなく、機械的なスパムによる無差別攻撃であることと捉え、セキュリティ対策をしっかり行っていきましょう。
三浦企画では、現在オンライン通話システム・ZOOMでのご相談を無料で承っております。
三浦企画・三浦猛のメールマガジンでは、個人事業主のビジネス活用についても配信しています。
