WordPressは無償で使えるオープンソースで
専門知識がなくてもWebサイトを構築でき便利な反面
セキュリティの脆弱性が常につきまといます。
セキュリティ対策は色々ありますが
ログインページのURLを変更はかなり有効な対策になります。
なぜログインページのURL変更が必要か
WordPressの管理画面へのログインは
初期設定では下記のどちらかになっています。
http://自分のWebサイトのドメイン/wp-admin
http://自分のWebサイトのドメイン/wp-login.php
何も対策をしていない場合、誰でも簡単に
ログイン画面にアクセス出来てしまいます。
ログインページのURLを特定されてしまったら
ブルートフォースアタック(総当たり攻撃)などのサイバー攻撃を受け
不正ログインを許してしまう可能性があります。
プラグインで簡単に変更可能ですので
WordPressをインストールしたらすぐにでも変更しましょう。
WordPressのログインページのURLを変更する
WordPress管理画面メニューの[プラグイン]→[新規追加]をクリック
Login rebuilderを検索しインストールします。
今すぐインストール→有効化をクリックします。
これでインストールは完了です。
インストールが完了すると
WordPress管理画面メニューの設定の中に
ログインページという項目が出現しますのでクリックします。
無効なリクエスト時の応答
デフォルトのURL(wp-admin もしくは wp-login.php)にアクセスしたりされた時
表示されるページをここで選択できます。
403ステータス、404ステータスでも問題はありませんが
「サイトトップへリダイレクト」を選択します。
ログインファイル キーワード
編集不要です、デフォルトのままにしておきます。
新しいログインファイル
今回の設定の要、ここでログインURLを変更できます。
デフォルトでは「your-login.php」となっていますが
第三者にわかりにくい文字列にします。
末尾に拡張子「.php」をつけましょう。
自分で分からなくなると困るので
ログインページをブックマークしておきましょう。
第2ログインファイル
権限ごとにアクセス可能なログイン画面を変更できます。
管理者用のログイン画面を使いたくない場合などに使います。
会員制サイトなどで使われる方もいるかもしれませんが
必要ない場合はスルーして下さい。
使用する場合は第1ログイン設定時と同様にURLを自由に入力して
権限グループにチェックを入れて下さい。
ステータス
稼働中にチェックを入れて下さい。
ログ保存
ログイン履歴を保存するかどうか選択できます。
特に必要ない場合はデフォルト(しない)でも構いません。
個人的に無効なリクエスト時のみがおすすめです。
oEmbed
レスポンスデータの投稿者名とURLを隠す。をチェックします。
その他
お好みで設定してください。
参考までにこのサイトでは以下のように設定しました。
全て終わったら[変更を保存]をクリックしてください。
まとめ
デフォルトのままで使い続けているという方けっこういます。
セキュリティ的に問題ありです。
この設定だけでもセキュリティをかなり向上させることが出来ます。
記事を参考にすぐにでも導入してみてください。
