WordPressのログインページのURLを変更するWordPressプラグイン「WPS Hide Login」を紹介します。
公式サイト:WPS Hide Login – WordPress プラグイン
WordPressの危険性
WordPressで作られているブログやサイトはデフォルトではURLの末尾に「wp-login.php」や「wp-admin」とつけてアクセスすると、管理画面へのログインページが表示されてしまいます。
例
- example.com/wp-admin
- example.com/wp-login.php
このままだと誰でもカンタンにログイン画面を表示できてしまいます。
そのため、悪意のある人間やロボットに勝手にアクセスされ、管理画面にログインされてしまう可能性があります。
もちろん、カンタンにログインされないようにパスワード等を強化しておくのは当然ですが、最初から第三者にはログイン画面がわからないようにしておけば(ログイン画面のURLを初期のものから変えておけば)、攻撃される可能性を減らすことができます。
有名な例では、米国の大統領が執務を行う官邸「ホワイトハウス」のウェブサイト(whitehouse.gov)がWordPressで作られているのですが、このウェブサイトはログイン画面のURLが隠されています(通常のURLにアクセスすると403エラーが表示されます)。
WordPressで一般的に使われている管理画面などのURLへのアクセスを試した結果、すべてアクセス不可だったとのことです。
ログイン画面のURLを変更する事は、とてもシンプルで地味な方法ですが、セキュリティとしてとても効果的です。
WordPressではログイン画面のURLをプラグインを使用することで、カンタンに変更することができます。
WPS Hide Loginとは
「WPS Hide Login」は無料で使えるWordPressプラグインです。
このプラグインを使うと、WordPressのログイン画面のURLを任意のURLに変更することができます。
WordPressの公式プラグインディレクトリに掲載されているので、信頼性もある程度担保されています。
公式サイト:WPS Hide Login – WordPress プラグイン
WPS Hide Loginの使い方、設定
「WPS Hide Login」を使う方法はカンタンです。
通常のプラグインと同じように、WordPressにプラグインを新規追加し(WordPressの管理画面から検索できます)、有効化します。
「WPS Hide Login」を有効化したら、WordPressの管理画面から「設定」→「WPS Hide Login」へと移動し、「Login URL」と「Redirection URL」を設定しましょう。
「Login URL」はこれまでの「wp-login.php」に変わって、ログインページを表示するURLになるものです。
「Redirection URL」は「wp-login.php」など本来の管理画面のURLにアクセスした場合に、ログインページに代わって表示する(リダイレクトする)URLになります。
デフォルトでは「Login URL」は「login」、「Redirection URL」は「404」となっています。
この場合、ログインページのURLは「example.com/login/」になります。
もし今まで通り、「example.com/wp-login.php」にアクセスすると、「example.com/404/」にリダイレクトされます。
まとめ
WordPressのログイン画面に誰でもカンタンにアクセスできる状況はセキュリティの観点から非常に好ましくありません。
「WPS Hide Login」を使えば、「wp-login.php」や「wp-admin」にアクセスしてもログイン画面が表示されないのでセキュリティが向上します。
難しい設定は不要でカンタンに導入できるので、ぜひ「WPS Hide Login」を利用してWordPressのセキュリティを向上させましょう!
公式サイト:WPS Hide Login – WordPress プラグイン