WordPressのログインURLを変更する方法【セキュリティ対策】
このページでは、WordPress(ワードプレス)のログインURLの変更方法を紹介します。
WordPressのログインURLを変更することで、WordPressで作ったサイトを守るためのセキュリティ対策になります。
セキュリティ対策というと、難しい印象がありますが、紹介する方法は誰でもかんたんにできるものになっています。
そもそも、「なぜログインURLを変更しなければいけないのか?」という点もしっかり紹介していますので、WordPressで作った自社のホームページや、個人のWebサイトで、「まだログインURLを変更していない」という方はぜひご覧ください。
目次
WordPressのログインURLを変えるべき理由
なぜWordPressのログインURLを変えるべきなのか。
それは、WordPressを設置した際の初期の状態だと、WordPressのログインURLはシンプルすぎるからです。
WordPressのログインURLはシンプル
WordPressへログインするためのログインページは、サイトのURLに「wp-login.php」や「wp-admin」といった文字列を追加するだけで開けてしまいます。
https://◯◯◯/wp-login.php
※ログインページを開くためのURL
https://◯◯◯/wp-admin
※管理画面(ダッシュボード)を開くためのURLでログインしていないとログインページへリダイレクトされる
たったこれだけでログインページが開けてしまうので、「ログインページのURLがわからなくなってログインできなくなった!」ということはありませんね。
こういったシンプルな点は、WordPressを利用するユーザーからすれば、かなり親切で優しい設定なのかもしれません。
ですが、これがログインURLを変えたほうがよい理由に繋がります。
WordPressのログインページはかんたんにアクセスされる
上記で説明したように、ログインページはかんたんに割り出せてしまいます。
つまり、あなたの会社のホームページや、個人のWebサイトがWordPressで作られていた場合、それを第三者が知らなくても、適当にサイトのURLに「wp-login.php」や「wp-admin」といった文字列を追加するだけで、ログインページが開かれてしまうのです。
WordPressのログインページにアクセスされる危険性
第三者が容易にWordPressのログインページにアクセスできてしまうということは、あとはユーザーIDとパスワードがわかれば、不正アクセスできてしまうということです。
家で例えれば、玄関口まで泥棒がきている状態で、あとは鍵さえあれば家に入れるというところ。
ログインに必要な「ユーザー名」と「パスワード」さえバレなければ大丈夫でしょ?
と考えているかもしれませんが、実は、初期設定のままのWordPressであれば、ユーザーIDをかんたんに調べる方法もあるため、ログインページとユーザーIDは把握されている状態と考えてください。
もう不正アクセスまで王手をかけられている状態です……。
WordPressは便利で使いやすいが故に、多くの人に知られているCMSの一つで、シェア数も大半を占めています。
そのため、WordPressのサイトをターゲットにした、ブルートフォースアタック(総当たり攻撃)などで、強引にパスワードを割り出すような方法を取られる可能性も高いです。
ログインページと、ユーザーIDが割れているということは、パスワードの解読も時間の問題であることを理解いただければと思います。
昔、Windowsにはアンチウィルスソフトが必須と言われていた時代がありました。
その理由は、Macよりもシェア数が多いWindowsは、そのユーザーを狙おうとするハッカーなども多く、格好の的だったからです。
WordPressも同じで、便利だからこそシェア数が多いため、それを狙おうとしている人が確実に存在します。
ログインページが知られてしまうと、ユーザーIDも知られる可能性があり、ブルートフォースアタックの対象になってパスワードも特定されることを考えると、ログインURLを変更し、第三者にログインページを開かせないことが何よりのセキュリティ対策になることがわかっていただけたでしょうか?
あなた個人のWebサイトなら、「自分が被害を被るだけでおしまい」で済みますが、あなたが勤めている会社のホームページがその対象になってしまった場合、発生する被害や、あなたに降りかかる責任問題は非常に大きなものに発展し、個人でどうにかできるような話ではなくなります。
もし、まだログインURLがWordPressの初期状態のままであるならば、今すぐログインURLの変更を行いましょう。
ログインURLを変更する
ログインURLを変更する方法として、「プラグイン」を使用する方法と、「functions.php」を編集する方法がありますが、プラグインを使用する方法が一番かんたんだと思うので、それを紹介します。
今回はセキュリティ対策のプラグインとして有名な「SiteGuard WP Plugin」を用いて、ログインURLを変更してみましょう。
「SiteGuard WP Plugin」には、ログインURLを変更する以外にもセキュリティ対策となる機能がありますが、それは別の記事にて紹介しますので、ログインURLを変更後、さらに対策をしたいとお考えの方はそちらの記事もご覧ください。
プラグイン(SiteGuard WP Plugin)をWordPressにインストールする
まずは「SiteGuard WP Plugin」をWordPressにインストールしましょう。
WordPressの管理画面(ダッシュボード)から、「プラグイン」>「新規追加」の手順で、検索バーに、「SiteGuard WP Plugin」と入力します。
検索結果に出てきた「SiteGuard WP Plugin」の「今すぐインストール」をクリックします。
プラグイン(SiteGuard WP Plugin)を有効化する
インストール完了後、「有効化」をクリックして、プラグインを有効化させます。
プラグインを有効化させると、自動でログインURLが変更されます。
新しいログインURLを確認する場合、以下の2箇所で確認することができます。
管理者メールアドレス宛に届くメールに記載
一つは、WordPressに登録している管理者メールアドレス宛に、新しいログインURLが記載されたメールが届きます。
管理画面のプラグイン設定ページ内に記載
もう一つは、管理画面の中に追加された、「SiteGuard」の設定ページにある、「ログインページ変更」から確認することができるので、忘れてしまってログインページにアクセスできなくならないようにしましょう。
おまけ:変更したログインURLを忘れてしまったら
「SiteGuard WP Plugin」で変更したログインURLを忘れてしまった場合、管理画面にアクセスしている状態であれば、プラグインを停止することで初期のログインURLに戻すことができますが、おそらくログインURLを忘れている状態はログインできなくなってしまった状態だと思います。
その場合は、FTPソフトを使用して、プラグインを停止させる必要があるため、こちらの記事の「セキュリティ関連プラグイン(SiteGuard WP Plugin)を利用している場合」をご覧いただき、プラグインの停止を行ってください。
WordPressにログインできない場合の解決方法7選【決定版】
おまけ:ログインURLを任意のURLにする
「SiteGuard WP Plugin」を有効化すると、自動でログインURLを変更してくれますが、ご自身で任意のURLにしたい場合は、プラグインの設定画面から任意のものに変更することができます。
管理画面の中に追加された、「SiteGuard」の設定ページにある、「ログインページ変更」より、ご自身の任意の文字列を入力し、設定を行ってください。
まとめ
この記事では、セキュリティ対策のために、WordPressのログインURLを変更する方法をまとめてみました。
改めて、WordPressの初期状態のログインURLのままだと、第三者にかんたんにログインページが開かれてしまう危険があることをご理解いただき、早めに変更をするようにしましょう。
Wepotでは、こうしたWordPressのセキュリティ対策となる記事だけでなく、Webサイトの運営や管理に役立つ情報を発信しています。
ぜひ、Wepotをブックマークしていつでも活用できるサイトとしてご利用ください。
また、WordPressを利用したWebサイトの制作や、リニューアルを検討されている方は、ぜひWepotにご相談ください。
Web Site
