WordPress │ 管理画面のログインURLを変更する

WordPress │ 管理画面のログインURLを変更する

みなさんはWordPressのダッシュボード(管理画面)のURL、変更していますか?

WordPressのダッシュボード(管理画面)へのログインURLは、初期値では

http://ドメイン名/wp-admin/

となっています。このサイトの場合は、

https://moretemasen.com/wp-admin/

ですね。

当記事では、このログインURLを変更した方が良い理由と、その方法を解説します。

ログインURLを変更した方が良い理由

ログインURLを初期値のまま使い続けると、どうなるでしょうか?

管理画面(ダッシュボード)の入り口が、誰でも分かる状態のままになります。そうすると、例えば悪意を持つ攻撃者から、IDとパスワードの組み合わせを何度も試すなどのアタックを受ける可能性が出てきて、セキュリティ上、ヒジョーに好ましくありません。

そこで、このURLのwp-adminの部分をプラグイン一発で変更する方法を紹介します。

ダッシュボードの入り口を変えることにより、少なくとも攻撃される可能性を減らすことができます。

ログインURLをプラグインで変更する

それではログインURLを変更する手順を解説していきます。

プラグインWPS Hide Loginを導入する

[プラグイン][新規追加]で、「login」でプラグインを検索すると「WPS Hide Login」というプラグインがヒットします。

Hide Loginという名前から、間違いなくログインを隠してくれるプラグインだと分かります。評価も高いので、これをインストールすることにします。

プラグインWPS Hide Loginを設定する

[設定][WPS Hide Login]というメニューが追加されているので、これを選択します。

設定項目は下記の2つです。

  • Login url
  • Redirection url

Redirection urlは、誰かが/wp-adminにアクセスした場合に、リダイレクトする先のURLなので、特に変更する必要はありません。初期値は404なので「そのページは存在しません」(404 not found)エラー画面にリダイレクトするようになっています。

Login urlに好きなログインURLを入れます。

例えば、初期値のloginとして[変更を保存]し、ログアウトすると、

  • /wp-adminにアクセスすると/404にリダイレクトされる
  • /loginにアクセスするとログイン画面にリダイレクトされる
    • ログインに成功すると/wp-adminにリダイレクトされる

という動作になります。

以上で、設定は終了です。

注意点

上の動作の最後に記載した

  • ログインに成功すると/wp-adminにリダイレクトされる

が、ちょっと分かりにくいかもしれません。

つまり、ダッシュボードのログイン時、ログインURLは/loginであり、/wp-adminにアクセスすると/404にリダイレクトされます。ダッシュボードへのログイン後は、/loginから、今まで通りのログインURLである/wp-adminにリダイレクトされます。

ログインセッションが切れていない場合は(つまり、あなたがログインしている間は)、相変わらず/wp-adminがログインURLです。なので、例えばログインしている状態のブラウザを攻撃者が触れる場合、/wp-adminでログインできてしまい、攻撃を許してしまいます。

攻撃者とPCを共用しない限り、このような状況は発生しないと思いますが、共用PCで作業するような場合は注意が必要ですね。

(実験)WPS Hide Loginを無効化するとどうなるのか

ここからはただの興味なのですが、「WPS Hide Login」プラグインを無効化したらどうなるのか、試してみました。

結論としては、「元に戻る」でした。プラグイン導入前の動作に戻り、/wp-adminでダッシュボードにアクセスできるようになります。

まぁ、期待通りの動作なのですが、もし、設定したURLでも、/wp-adminでもアクセスできなくなるとかなり悲惨なので、ちょっとビビリながら試しましたよね。

まとめ

当記事では、下記について解説してきました。

  • WordPressのログインURLを変更した方が良い理由
  • WPS Hide Loginというプラグインを使用してログインURLを変更する方法

大事なサイトのセキュリティレベルを少しでも上げるため、ログインURLの変更をおすすめします。