管理画面へのログイン URLを変更する

ヘッダ画像

管理画面へのログイン URLを変更する

WordPressのログイン画面ファイルはwp-login.phpです。
URLはドメイン名+ログインページで”http://example.com/wp-login.php”のようになります。
また、管理画面のルートURLとなるwp-adminへのアクセスでも、ログイン画面にリダイレクトされます。

つまり、オープンソースのCMSであるWordPressの場合は誰でもログインページそのものにはたどり着くことができるのです。

WordPressでのブルートフォースアタック対策の切り札

WordPressの管理画面の乗っ取りを目的としたブルートフォースアタックではこのログインページから、ユーザー名とパスワード解析することにより突破を図ります。
「管理画面のIP制限」と並ぶ有効なブルートフォースアタック対策がログインページURLを変更してしまうことです。

Login rebuilder

Login rebuilderはログインページのURLを簡単に変更できるプラグインです。
wp-login.phpやwp-adminではログインページにアクセスできなくなります。

プラグインのインストール

WordPressプラグインディレクトリに登録されていますので、管理画面の新規追加より、検索・追加することが可能です。

Login rebuilderの設定

基本的には「新しいログインファイル」で新しいログインページファイル(ログインURL)を生成して、稼働中に設定するだけで動きます。
「無効なリクエスト時の応答」はwp-login.phpでアクセスしてきた場合の挙動ですので、お好みのものを選択ください。

Login rebuilderの設定画面

Login rebuilderの設定画面

パーミッションの関係(501など)で新規ファイルの作成が許可されていないと「新しいログインファイル」の項目で書き込み不可と表示されます。

書き込み許可がない場合

この場合は項目の下に表示されているソースを新しいログインファイルとして作成(UTF-8/BOMなし)して手動でwp-login.phpと同じ階層へアップロードします。

補足

ログインファイルを変更しても、wp-login.phpから設定自体は読み込みますので、オリジナルは削除してはいけません。

また、一度設定したログインページファイルは消去しないかぎり残ってしまいます。また、ログインもできてしまいますので、あらたに変更、もしくはプラグインを無効化した後は必ず古いログインページを削除してください。

qq

基本的にこの機能はプラグインを使わずとも実装することもできます。
Login rebuilderも脆弱性の問題が生じたことがあったように思います。
プラグインの紹介をしておいてなんですが、本来はセキュリティという部分においては公開されているプラグインは極力使わない方がよいのかもしれませんね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です



関連記事

WordPressのログインユーザー名は丸見え!? 知っていますか?WordPressのログインユーザー名はだだ漏れだという事実を...ダッシュボード乗っ取り防止のためのセ...

絶対に分かる!WordPressの子テーマ作成 WordPressでは子テーマという機能があります。既存のテーマを作成すれば、カスタマイズする際に変更したい部分だけを子...

WordPressのRSSフィード WordPressではコンテンツの更新情報を知らせるために標準でRSSを出力します。その出力方法は...http://e...

「トップに戻る」ボタンでスマホでのユーザビリティアップ! ウェブサイト上でコンテンツを下にスクロールさせると「トップに戻る」ボタンが出現して、クリックするとビューンとページの初め...