WordPress のログイン画面ファイルは wp-login.php です。
URL はドメイン名+ログインページで”http://example.com/wp-login.php”のようになります。
また、管理画面のルート URL となる wp-admin へのアクセスでも、ログイン画面にリダイレクトされます。
つまり、オープンソースの CMS である WordPress の場合は誰でもログインページそのものにはたどり着くことができるのです。
WordPress でのブルートフォースアタック対策の切り札
WordPress の管理画面の乗っ取りを目的としたブルートフォースアタックではこのログインページから、ユーザー名とパスワード解析することにより突破を図ります。
「管理画面の IP 制限」と並ぶ有効なブルートフォースアタック対策がログインページ URL を変更してしまうことです。
Login rebuilder
Login rebuilder はログインページの URL を簡単に変更できるプラグインです。
wp-login.php や wp-admin ではログインページにアクセスできなくなります。
プラグインのインストール
WordPress プラグインディレクトリに登録されていますので、管理画面の新規追加より、検索・追加することが可能です。
Login rebuilder の設定
基本的には「新しいログインファイル」で新しいログインページファイル(ログイン URL)を生成して、稼働中に設定するだけで動きます。
「無効なリクエスト時の応答」は wp-login.php でアクセスしてきた場合の挙動ですので、お好みのものを選択ください。
パーミッションの関係(501 など)で新規ファイルの作成が許可されていないと「新しいログインファイル」の項目で書き込み不可と表示されます。
この場合は項目の下に表示されているソースを新しいログインファイルとして作成(UTF-8/BOM なし)して手動で wp-login.php と同じ階層へアップロードします。
補足
ログインファイルを変更しても、 wp-login.php から設定自体は読み込みますので、オリジナルは削除してはいけません。
また、一度設定したログインページファイルは消去しないかぎり残ってしまいます。また、ログインもできてしまいますので、あらたに変更、もしくはプラグインを無効化した後は必ず古いログインページを削除してください。
基本的にこの機能はプラグインを使わずとも実装することもできます。
Login rebuilder も脆弱性の問題が生じたことがあったように思います。
プラグインの紹介をしておいてなんですが、本来はセキュリティという部分においては公開されているプラグインは極力使わない方がよいのかもしれませんね。
