WordPressのログインURLを変更する方法!プラグインを使ってセキュリティ対策を
2020.12.25
- WordPressの使い方/カスタム
WordPressのログインURLを変更する方法について解説します。
WordPressは世界中でたくさんの人が利用しているCMSですが、そのぶん不正ログインなどのセキュリティ上の脅威につねに晒されているといえます。
今回はWordPressのログインURLに関する基礎知識やリスクを理解するとともに、初心者も簡単にできる「プラグインを使ってログインURLを変更する手順」を、画像を使ってていねいに紹介します。
目次
WordPressのログインURLは変更するべき?
そもそもなぜログインURLを変更するべきなのでしょうか?
答えは「ログインURLの変更が、もっとも手軽で効果的なセキュリティ対策」だからです。
本章ではWordPressのセキュリティ上のリスクなどの基礎知識について解説いたします。
初期設定のWordPressログインURLは?
URLを変更していない、初期設定のWordPressのログインURLは下記のとおりです。
https://あなたのサイトドメイン/wp-login.php
https://あなたのサイトドメイン/wp-admin
上がログイン画面のURL、下が管理画面(ダッシュボード)のURLです。
あなたのWordPressサイトのドメインの末尾に「/wp-login.php」「/wp-admin」を付ければ、ログイン画面にアクセスすることができます。
つまり、公開されているあなたのサイトのドメインを見れば、世界中の誰もが管理画面に辿り着けてしまうのです。
これはとても危険な状態ですよね。
初期設定のログインURLは危険!
前述のとおり、WordPress初期設定のログインURLのままでは、誰でも簡単に管理画面にアクセスできてしまいます。
ユーザー名・パスワードの総当たり攻撃(ブルートフォースアタック)による不正ログインの事例は、決して珍しいものではありません。
不正ログインをされてしまうと、あなたのWordPressサイトにどんな危険があるでしょうか?
- 記事の投稿・削除・書き換え
- 不正なリンクの挿入
- パスワードなどのログイン情報の変更
- URL・ドメインの変更
- データ消去・サイト自体の消去
- ウイルスなどのマルウェア埋め込み
- 個人情報の漏洩
…などなど。
管理画面をすべて自由にいじれるわけですから、まあなんでも自由自在にサイトの改ざんができてしまいますよね。
つまりWordPressのログインURLを初期設定のまま放置しておくということは、いつこれらの重大事故が起こりかねないとても危険な状態であるということです。
ログインURLを変更し不正ログインを防ぐ!
逆に考えると、管理画面に自由にアクセスできない状況を作れば、悪意ある攻撃のリスクを、大部分は防ぐことができるのです。
(プラグインやWordPress本体などの脆弱性をついた攻撃もあるので、もちろん100%防げるわけではありません。)
管理画面の不正ログインを防ぐ方法としては下記のようなものが考えられます。
- パスワードを複雑なものにする
- ログインに画像認証をつける
- ログインを2段階認証にする
- ログイン画面自体のURLを変更する
…などなど。
どれも有効な対策なのでぜひ取り入れてほしいですが、この中でももっとも効果的なのは「ログインURLを変更する」方法だと思います。
パスワードを破られる以前に、パスワードの入力画面自体に辿り着けなくしてしまうということですね。
プラグインを使ってログインURLを変更する
では、WordPressのログインURLを変更するためにはどんな方法があるでしょうか?
functions.phpを編集するなどの方法もありますが、これは初心者にはちょっと難しいので、今回はプラグインを使って簡単にログインURLを変更する方法をご紹介します。
ログインURLを変更できるプラグインはたくさんありますが、代表的なものとしては下記の3つです。
WPS Hide Login
| 有効インストール数 | 700,000+ | |
|---|---|---|
| 平均評価 | 5.0(1,756件) | |
| 最終更新日 | 1か月前 | |
| 検証済最新バージョン | 5.5.1 | |
「WPS Hide Login」はとても簡単にWordPressのログインURLを変更できるプラグインです。
高機能なプラグインは他にもありますが、単純にログインURLを変更するだけならWPS Hide Loginがおすすめです。
今回ご紹介する3つのプラグインの中でもっともインストール数が多く、評価の件数・点数も高いプラグインなので安心できますね。
SiteGuard WP Plugin
| 有効インストール数 | 300,000+ | |
|---|---|---|
| 平均評価 | 4.3(11件) | |
| 最終更新日 | 1か月前 | |
| 検証済最新バージョン | 5.5.1 | |
「SiteGuard WP Plugin」はWordPressの管理画面・ログイン画面を簡単に保護できるプラグインです。
単純にログインURLの変更だけではなく、下記のように複数のセキュリティをかけることができます。
- ログインロック(繰り返しログイン失敗すると一定時間ロック)
- フェールワンス(正しくログインしても1回はログイン失敗になる)
- ログインやコメントに画像認証
- ログイン通知(ログインされるとメールで通知)
…などなど。
より強固なセキュリティ対策をおこなうなら、SiteGuard WP Pluginはとてもおすすめです。
Login rebuilder
| 有効インストール数 | 20,000+ | |
|---|---|---|
| 平均評価 | 5.0(5件) | |
| 最終更新日 | 3週間前 | |
| 検証済最新バージョン | 5.5.1 | |
「Login rebuilder」はとってもお手軽・簡単にログインURLを変更することができるプラグインです。
管理者、スタッフ、ライターさんなど、権限ごとにログインページを変更できる点もメリットです。
WPS Hide Loginプラグインの導入方法
実際にプラグイン「WPS Hide Login」を使って、WordPressログイン画面のURLを変更してみましょう。
とても簡単なので、初心者でもすぐにログインURLを変更できますよ。
STEP1.プラグインをインストール
WordPress管理画面から、①「プラグイン」 → ②「新規追加」へと進みます。
③「WPS Hide Login」で検索し、表示されたら「今すぐインストール」をクリックします。
STEP2.プラグインを有効化
「有効化」をクリックし、プラグインを機能させます。
STEP3.設定画面を開く
WordPress管理画面から、①「設定」 → ②「WPS Hide Login」へ進み、設定画面を開きます。
STEP4.ログインURL
「WPS Hide Login」の「Login url」に、上記のように赤枠で囲った部分があるので、ここに変更したい文字列を入力します。
初期設定では「login」が記載されているので、これを上書きしてください。
STEP5.変更して保存
今回は「test0202test」と指定しました。
記入したら、忘れないように必ずメモをとっておきましょう。
最後に「変更を保存」をクリックします。
STEP6.変更完了
これでログインURLの変更が完了しました。
いったんログアウトすると、変更されたログイン画面に遷移します。
URLが変更されていることを確認できると思います。
URLを忘れてもいいように、念のためブックマークをしておきましょう。
WordPressのログインURL変更のまとめ
この記事では、WordPressログイン画面のURLを変更する方法について解説しました。
- WordPressのログインURLはセキュリティ面でとても重要
- ログインURLを変更することで不正ログインのリスクを大きく減らすことができる
- ログインURLを変更する方法はいろいろあるがプラグインなら手軽にできる
- 初心者におすすめのプラグインは「WPS Hide Login」
- 「WPS Hide Login」を導入する具体的な手順を解説
もちろんログインURLを変更したからといって、100%安全ではありません。
しかし、少なくとも自力でできる対策は積極的に導入し、WordPressをより安全な状態にしておきたいですよね。
今回の内容を参考に、ぜひセキュリティ対策に取り組んでください。