WordPressを使ってブログを運営している人も増えてきている今日この頃で、使ってる方も多いと思います。
当ブログもWordpressで運用しております。
WordPressを使ったブログでお金を得て(広告やアフィリエイト収入)生活している人もいるので、ある意味自分の財産の位置づけになっているわけです。(お金だけでなくて、発信内容自体も価値があるので財産という言葉は言い過ぎではないでしょう。)
そんな身近なWordpressですが、管理は自分で行う必要がありセキュリティ対策も然りです。
セキュリティを疎かにするとどうなるか?
- せっかく書いた記事が消されたり改変されたりしてしまう
- 収入源だったブログが一瞬にして価値がないもの(0:ゼロ)になってしまう
- 読者へ悪影響を与えてしまうことになりかねない
想像したら恐ろしいことですよね。
だから、Wordpressは自分で守る必要が出てくるのです。
この記事はWordpressのセキュリティ、管理画面のカスタマイズ(ログイン画面のURLを変更する)について述べていきます。
WordPressを設定するには管理画面にログインする必要がある
WordPressを使ってる方はご存知ですが、記事を書いたりデザインを変えたりなどの設定はすべて「管理画面」から実施する必要があります。
当たり前だけど。
何故敢えて管理画面のことを強調するのか?ですが、セキュリティを考えるときに重要だからです。
自分が加害者の立場と思って考えてみて下さい。
ある人のブログを壊したいと思ったらどうしますか?
物理的にサーバーがある場所は分かるはずがないので、ある人のブログの管理画面へ行ってログインを試みようとするでしょう。
WordPressは管理画面でほぼすべてのことが出来るので、管理画面が不正に使われてしまうと乗っ取られたも同然となります。
よって、Wordpressの管理画面を加害者から守れば良いという発想になります。
念のため言っておきますが、管理画面を守る=100%のセキュリティが保たれるわけではありません。
あくまでセキュリティホール(セキュリティの弱点)を埋める1つの手段に過ぎなく、他の部分は他の方法で守る必要があるし、加害者も日々進化してますから、新たなセキュリティホールは残念ながら生まれてしまいます。
しかし、管理画面に対する対策は実施すると乗っ取られる確率が減りますので必ずやった方が良いと思います。
WordPress管理画面ログインURLは予め決まっている
WordPressの管理画面ログインですが、何も設定を変えなければURLは固定となっています。
http://myblogdomain/wp-login.php
myblogdomain部分は自分のブログのドメイン名を入れて下さい。
管理画面のURLはデフォルト(初期設定)のままの人も多いと思います。
管理画面ログインのURLが固定なのを知ってる人は、他人のWordpressブログのログイン画面まではいとも簡単にたどり着けてしまいます。
この状態を例えるとするならば、自分の家の住所(例:東京都◎◎区▲▲町5-4-8 ■■マンション808号室)が知られていて、オートロックがないマンションで家の前の玄関まで誰でもたどり着けるのと一緒です。
あとは鍵を開ければ本人に遭遇できたり、家の中の物を盗んだりやりたい放題出来ますよね。
って考えたら恐ろしくないですか?
※ どうしてもURLを変えるのが怖い・出来ない方もいると思いますが、別の発想でセキュリティを安全に保つ手段もありますからそちらを使いましょう。
.htaccessファイルを変更しログイン画面URLを変更する方法(プラグインを使わない)
ログイン画面URLを変更するには2つの方法がありますが、まずは1つめ。
プラグインを導入することなく変更出来る方法なので、上手く設定出来ればこちらが一番安全です。
後述しますがプラグインを使っても変更が可能ですが、プラグインに不具合があった場合に最悪はブログが表示されないなどの障害も発生する可能性があります。
プラグインによる弊害を防ぎつつログイン画面URLを変更する方法です。
但し設定を間違えるとブログが表示されないなどリスクも高めなので、コード変更に自信がない人はプラグインによる変更が良いかと思われます。
.htaccessファイルを変更する
以下コードを.htaccessファイルに貼り付けます。(ファイルの場所はWordpressをインストールした直下のディレクトリにあると思います。)
もしすでに記載してあるコードがあれば、最後に貼り付けるようにしましょう。
コピーする前に.htaccessファイル自身のバックアップは必ず行って下さい。
.htaccessへのアクセス方法は、FTPもしくは、各サーバーの管理画面(コントロールパネルなど)など自分のお好みの方法で行って下さい。
<IfModule mod_rewrite.c> RewriteEngine On RewriteRule ^enter/?$ /wp-login.php?fireballhucker [R,L] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^dashboard/?$ /wp-login.php?fireballhucker&redirect_to=/wp-admin/ [R,L] RewriteRule ^dashboard/?$ /wp-admin/?fireballhucker [R,L] RewriteRule ^register/?$ /wp-login.php?fireballhucker&action=register [R,L] RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/wp-admin RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/wp-login\.php RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/enter RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/dashboard RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/register RewriteCond %{QUERY_STRING} !^fireballhucker RewriteCond %{QUERY_STRING} !^action=logout RewriteCond %{QUERY_STRING} !^action=rp RewriteCond %{QUERY_STRING} !^action=register RewriteCond %{QUERY_STRING} !^action=postpass RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L] RewriteCond %{QUERY_STRING} ^loggedout=true RewriteRule ^.*$ /wp-login.php?fireballhucker [R,L] </IfModule>
yoursitedomain となっている部分全てを自分のブログのURL(例:https://ossan-teck.work)に変えてください。5箇所あります。
fireballhucker 部分全てをお好きな半角の文字列(例:bjo45218awx)に全て変えてください。6箇所あります。
変えた後に.htaccess ファイルを保存して下さい。
この変更でログインURLが
https://ossan-teck.work/wp-login.php?bjo45218awx
と変わりますので、アクセスしてログイン画面が出ることを確認しましょう。(そしてブックマークもお忘れずに。)
これで、ログインURLがデフォルトから変わって他人からアクセスしにくくなりました。(このURLを教えたらもちろんダメですよ。)
言うなれば、自分の部屋のドアは見えずにマンションの前までしかたどり着けなくなり、セキュリティが上がったと言えるでしょう。
プラグイン(WPS Hide Login)使ってログインURLを変更する
プラグインを使ってログインURLを変更するのは実に簡単。
.htaccessの編集に自信がなければこちらで対応して下さい。
WPS Hide Loginをインストールし有効化した後、設定→一般 と進んで画面の一番下を見て下さい。
このLogin url部分でお好きなURLに変更することが出来ます。
実に簡単!
おまけ!プロブロガーさんのログインURLチェック!
僕はこの記事を書いた理由の1つでもあるのですが、プロブロガーさんはブログのプロですから、ログインURL自体を変えてセキュリティを保ってると思っていたのですが調べてみると驚く事実がわかりました。
いくつかのブログをチェックしてみました!
ログインは当然ですが出来ないし試してもないのでご安心を。ドアの前を通った程度ですよ。
ノマド的節約術さん
数百万PVというバケモノブログである、節約ブログ「ノマド的節約術」さんはさぞかしセキュリティには気を遣ってるんだろうな〜と思っていました。
大変驚きました。
ログインURLはデフォルト!!
しかも、画像認証や2段階認証も実装していない。
ユーザーID・PASSの組み合わせで突破されちゃう可能性がありますね。
意図的(環境により出来ないとか)な可能性もありますが、ちょっと危ないなと感じました。
乗っ取られたら年間数千万(もしかして1億円単位かも)の損害になりますよね・・・
ちなみに、サーバーはAWSを使っていました。
ヨッセンス
あえて解説はしませんが、このブログも超人気でプロブロガーさんが運営されています。
ログインURL調べましたが、デフォルトから変更されておりアクセス出来ない(しにくく)なっておりました。
セキュリティをきちんと考えられて運営されていました。さすが!
まじまじぱーてぃー
20代女性プロブロガーが運営されている人気ブログ。
こちらはログインURLこそデフォルトですが、Google認証を実装(プラグインでできる)しておりユーザーID+パスワード+ワンタイムパスワードとセキュリティを高めていました。
ログインURLがデフォルトでもこのようにワンタイムパスワードや画像認証を加えてもセキュリティが高まるのでオススメです。
この運用はありです!
セキュリティはいつでも意識して損はありません
いかがだったでしょうか。
WordPressの入り口であるログイン画面(ログインURL)を変更するだけでも、ハッキング等の脅威から守ることが出来ます。
今一度皆様の設定を見直していただき、安全なブログ運営をされることを願ってやみません。