WordPressのセキュリティ対策、ログイン画面のURLを簡単に変える方法

WordPressのセキュリティ

 

WordPressのログイン画面は初期設定？

 

WordPressでブログを書くのは、このブログが最初

使っているのはエックスサーバーの自動インストールで。、DBも自動作成

最初だから何も考えずに、そのまま手順どおりにWordPressをインストールしたのですが

そうなると問題が出てくるのが、管理画面へのログインURL

 

WordPressの管理画面へのログインURL

http://ドメイン/wp-login.php

になっていませんか？

 

WordPressに慣れていたら

最初からディレクトリ名も変更したりと、対応したかもしれませんが

何しろ右も左も分からない状態で始めたWordPressだったので、そのままでした

 

WordPressの管理画面へのログインURLが公開されているようなものなので、ちょっと不安

その気になればブルートフォースアタック（総当たりでパスワード突破）される可能性もある

 

そこでWordPressのログイン画面に対して、少しだけセキュリティをアップしてみました

少なくとも初期状態よりはいいかなぁ、という程度ですが

特に手間はかかりません

 

WordPressの乗っ取り

 

WordPressのセキュリティが気になったきっかけは

ロリポップで開設しているWordPressの、乗っ取り事件

 

調べてみるとWAF（攻撃を防いでくれるようなシステム）も原因の1つっぽいです

ロリポップのサーバーでもワードプレスを試した事があるのですが

WAFが結構邪魔してくれる

色々な攻撃から防いでくれるのは有り難いですが

正常な動作も防いでくれるというおまけ付き

（悪意があるかどうかの判断や定義は簡単じゃないのでこれは仕方がないけど）

そうなると中にはWAFをオフにする人も出てきちゃいます

 

まぁ結局は攻撃されるマルウェアを仕込まれるなり、原因があったのでしょうが・・・

 

WordPressの管理は自己責任

 

WordPressはドメインも取得して、サーバーも契約して借りているわけでから

管理は自分自身で行う事が前提です、でも何故か危機意識は低い気もする

攻撃を実際に経験しないと分からないのだと思います、私もそうでしたし

 

• WordPress自体の更新もしっかり行い
• 怪しいプラグインは使わない
• 信用できない接続は行わない

これだけやっていれば、レンタルサーバーなのでそこまで心配は必要ないかもしれませんが

もし、何か起こってもそれは自己責任、やれる事はやっておきましょう

 

無料ブログみたいに放置しているWordPressも結構見かけるので・・・

 

WordPressのログインURLを変更

 

ここが一番迷った所

サーバーからデータをダウンロードして、wp-adminのディレクトリ名を変更

その上でデータだけアップロードして、はい完了

これはあまりやりたくない・・・

何が起きるか分からないし、正直そこまでしてやる事でも無い

 

通常のサイトであれば、私はベーシック認証使ってました

.htaccessだけでできる、強力でお手軽という便利なセキュリティ

 

でもWordPressにはプラグインと言う便利なものがあるので、使ってみましょう

 

Login rebuilderでWordPressのログイン画面変更

 

Login rebuilderのプラグイン

 

Login rebuilderは、wp-adminをそのまま使いつつ、アクセス制限を掛けてくれるプラグイン

これで管理画面のログインURLを変える為だけに

WordPressを再インストールという面倒な事をする手間が省けました

 

使い方もシンプルで、設定も1画面しかありません

実際にどうなるかは、以下にアクセスしてもらうのが一番早いと思います

 

http://money-weblog.com/wp-login.php

※403を返すように設定してます

 

Login rebuilderをインストール

 

ここはいつもと同じ、プラグインでLogin rebuilderを探してインストールをするだけ

Login rebuilderのインストールが完了したら、そのまま有効化して下さい

 

Login rebuilderの設定

 

管理画面の「設定」→「ログインページ」で設定が行えます

 

実際に設定するのは3項目くらいしかないので

インストールから設定完了まで5分か10分あれば十分だと思います

 

 

旧管理画面へアクセスした対処

 

旧管理画面へのログインURLが使えなくなった時にどうするのか？を決める設定項目

http://ドメイン/wp-login.php

へアクセスしたユーザーがいるときに、どうしましょう？という事ですね

 

403はアクセス制限

http://money-weblog.com/wp-login.php

が403の設定になってます

 

404はページが見つからないエラー、404は有名なので知っている人も多いと思います

リダイレクトは、旧ログイン画面にアクセスすると強制的にブログTOPページに飛ばされます

 

個人的にリダイレクトは良い思い出が無いので使ってません

エンドレスリダイレクトでサーバーが高負荷を掛けた苦い思い出が。。。

 

新しいログインURLの設定

 

ログインファイルキーワードは無視してかまいません、そのままで大丈夫です

 

重要なのが新しいログインファイル名

※設定内容を公開してしまうと意味がないので、設定部分は黒塗りで隠してます

 

ここに入力した文字が、新しい管理画面のURLとなります

ここのフォームに[aaaaa.php」と入力をしたのなら、管理画面へのログインURLは

http://ドメイン/aaaaa.php

になると言った具合

 

設定時に「ファイルあり、書き込み可能」の文字があるかどうかも確認して下さい

これがもし別の状態にあっていたのであれば、作者さんのページの対応方法で対処しましょう

 

ログは保存した方が無難

 

 

準備中になっていたら、稼働中に変更して下さい。ログの保存設定は、お好みでどうぞ

怪しいアクセスがあった時は怪しいログが増えるので

狙われているかどうかの判断材料になります

 

そもそも、公開していない管理画面へのログインURLにアクセスがあれば

その時点で警戒します

 

サイトのセキュリティは経験しない分からない

 

経験して初めて怖さが分かる

 

サイトのセキュリティ関係は経験しないと分かりません

実際に体験するまでは

「また大げさな、大丈夫でしょ」

と思っていましたが、一瞬で全て奪われます

奪われるばかりか悪用される恐れもあります

 

そんなに遭遇する事ではないんですけどね

事故や入院みたいなものです

発生する確率は低いけど、可能性は0%では無く、発生した時のリスクが高い

 

今回のも少しはリスクは下がるかもしれませんが、ほんの少しだけです

管理画面へのログインURLを変えただけですもん

自転車で鍵を2つ以上付けてると盗難リスクが激減するのと同じ考えですかね

 

でもやらないよりはマシだと思ってます