【WordPress】ログイン画面のURLを変更するプラグインLogin rebuilderでセキュリティを高める

当サイトでも使用しているプラグインLogin rebuilder、
WordPressのログイン画面を、初期設定と異なるURLに変更することができるプラグインです。

初期設定は、「http://サイトのURL/WordPressのディレクトリ/wp-login.php」なわけですが、
こんな事はWordPressを知っていれば誰でも想像できるわけで、
つまり攻撃者からすれば入り口までは簡単に行けてしまう、ということになります。

そこで、そもそも入り口のアドレスを変えてしまおうというセキュリティ対策が可能になります。

インストール後、管理画面の「設定」から設定画面へ

インストール後は、管理画面のメニュー「設定→ログインページ」で設定画面を開くことができます。

設定画面で、新しいログインページの設定を実施

1.無効なリクエスト時の反応

ログインページに対して、無効なリクエストがあった場合にどう反応するかを設定します。

• 403ステータス(Forbidden、アクセス拒否)表示にする
• 404ステータス(Not Found、ファイル未検出)表示にする
• サイトトップへリダイレクト(トップページに飛ばす)

どれにするかは管理者の判断で決めれば良いと思いますが、私はトップページに戻す設定です。
こうしておけば「拒否されたのか」「ファイルが無いのか」さえも分からないですからね。

2.新しいログインファイル

「http://サイトのURL/WordPressのディレクトリ/wp-login.php」に代わる、新しいログインページを指定します。
私は、特定しにくくするためにアルファベット、数字、記号を組み合わせた名前にしています。
ここは管理面と相談しながら決める必要がありますね。

3.PathとURL

2.で入力した文字列により、新しいログインページのファイルパスとURLが決まります。
設定完了後はこのURLでアクセスすることになります。

4.稼働中に設定しておく

新しいログインページを有効にするために、この機能を稼働中に変更しておきましょう。
初期設定は「準備中」です。

設定内容を確認し、保存する

設定内容を確認し、新しいログインページのURLをメモして変更を保存しておきます。
保存後は、新しいログインページからのログインを行う事が出来ます。

動作確認を必ず行いましょう

新しいログインページのURLにアクセスしてみましょう。
ログインページが表示されれば、設定の完了です。

また、デフォルトである「http://サイトのURL/WordPressのディレクトリ/wp-login.php」にアクセスし、
3.で実行した反応が返ってくるかを確認します。

さいごに

入り口の場所を変えてしまう、というのはセキュリティ強化の効果が期待できますので、オススメの対策です。
ただ、これだけで十分とは言えないので、私はログインページに画像認証を組み込む方法を組み合わせています。
画像認証については、別の記事にまとめたいと思っています。

画像認証導入については、以下の記事で紹介しています。

【WordPress】SiteGuard WP Pluginで画像認証とXMLRPC無効化を行う

＜スポンサードリンク＞