セキュリティUP！Wordpress管理画面ログインURLをカスタマイズすべし！

WordPressを使ってブログを運営している人も増えてきている今日この頃で、使ってる方も多いと思います。

当ブログもWordpressで運用しております。

WordPressを使ったブログでお金を得て（広告やアフィリエイト収入）生活している人もいるので、ある意味自分の財産の位置づけになっているわけです。（お金だけでなくて、発信内容自体も価値があるので財産という言葉は言い過ぎではないでしょう。）

そんな身近なWordpressですが、管理は自分で行う必要がありセキュリティ対策も然りです。

セキュリティを疎かにするとどうなるか？

せっかく書いた記事が消されたり改変されたりしてしまう
収入源だったブログが一瞬にして価値がないもの（0：ゼロ）になってしまう
読者へ悪影響を与えてしまうことになりかねない

想像したら恐ろしいことですよね。

だから、Wordpressは自分で守る必要が出てくるのです。

この記事はWordpressのセキュリティ、管理画面のカスタマイズ（ログイン画面のURLを変更する）について述べていきます。

WordPressを設定するには管理画面にログインする必要がある

WordPressを使ってる方はご存知ですが、記事を書いたりデザインを変えたりなどの設定はすべて「管理画面」から実施する必要があります。

当たり前だけど。

何故敢えて管理画面のことを強調するのか？ですが、セキュリティを考えるときに重要だからです。

破壊

自分が加害者の立場と思って考えてみて下さい。

ある人のブログを壊したいと思ったらどうしますか？

物理的にサーバーがある場所は分かるはずがないので、ある人のブログの管理画面へ行ってログインを試みようとするでしょう。

WordPressは管理画面でほぼすべてのことが出来るので、管理画面が不正に使われてしまうと乗っ取られたも同然となります。

よって、Wordpressの管理画面を加害者から守れば良いという発想になります。

念のため言っておきますが、管理画面を守る＝100%のセキュリティが保たれるわけではありません。

あくまでセキュリティホール（セキュリティの弱点）を埋める1つの手段に過ぎなく、他の部分は他の方法で守る必要があるし、加害者も日々進化してますから、新たなセキュリティホールは残念ながら生まれてしまいます。

しかし、管理画面に対する対策は実施すると乗っ取られる確率が減りますので必ずやった方が良いと思います。

スポンサードリンク

WordPress管理画面ログインURLは予め決まっている

WordPressの管理画面ログインですが、何も設定を変えなければURLは固定となっています。

http://myblogdomain/wp-login.php

myblogdomain部分は自分のブログのドメイン名を入れて下さい。

管理画面のURLはデフォルト（初期設定）のままの人も多いと思います。

管理画面ログインのURLが固定なのを知ってる人は、他人のWordpressブログのログイン画面まではいとも簡単にたどり着けてしまいます。

ドアの前に居る状態

この状態を例えるとするならば、自分の家の住所（例：東京都◎◎区▲▲町5-4-8 ■■マンション808号室）が知られていて、オートロックがないマンションで家の前の玄関まで誰でもたどり着けるのと一緒です。

あとは鍵を開ければ本人に遭遇できたり、家の中の物を盗んだりやりたい放題出来ますよね。

って考えたら恐ろしくないですか？

※　どうしてもURLを変えるのが怖い・出来ない方もいると思いますが、別の発想でセキュリティを安全に保つ手段もありますからそちらを使いましょう。

スポンサードリンク

.htaccessファイルを変更しログイン画面URLを変更する方法（プラグインを使わない）

ログイン画面URLを変更するには2つの方法がありますが、まずは1つめ。

プラグインを導入することなく変更出来る方法なので、上手く設定出来ればこちらが一番安全です。

後述しますがプラグインを使っても変更が可能ですが、プラグインに不具合があった場合に最悪はブログが表示されないなどの障害も発生する可能性があります。

プラグインによる弊害を防ぎつつログイン画面URLを変更する方法です。

但し設定を間違えるとブログが表示されないなどリスクも高めなので、コード変更に自信がない人はプラグインによる変更が良いかと思われます。

.htaccessファイルを変更する

以下コードを.htaccessファイルに貼り付けます。（ファイルの場所はWordpressをインストールした直下のディレクトリにあると思います。）

もしすでに記載してあるコードがあれば、最後に貼り付けるようにしましょう。

コピーする前に.htaccessファイル自身のバックアップは必ず行って下さい。

.htaccessへのアクセス方法は、FTPもしくは、各サーバーの管理画面（コントロールパネルなど）など自分のお好みの方法で行って下さい。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^enter/?$ /wp-login.php?fireballhucker [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?fireballhucker&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?fireballhucker [R,L]
RewriteRule ^register/?$ /wp-login.php?fireballhucker&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/enter
RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)yoursitedomain/register
RewriteCond %{QUERY_STRING} !^fireballhucker
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?fireballhucker [R,L]
</IfModule>

yoursitedomain　となっている部分全てを自分のブログのURL（例：https://ossan-teck.work）に変えてください。５箇所あります。

fireballhucker　部分全てをお好きな半角の文字列（例：bjo45218awx）に全て変えてください。６箇所あります。

変えた後に.htaccess ファイルを保存して下さい。

この変更でログインURLが

https://ossan-teck.work/wp-login.php?bjo45218awx

と変わりますので、アクセスしてログイン画面が出ることを確認しましょう。（そしてブックマークもお忘れずに。）

これで、ログインURLがデフォルトから変わって他人からアクセスしにくくなりました。（このURLを教えたらもちろんダメですよ。）

言うなれば、自分の部屋のドアは見えずにマンションの前までしかたどり着けなくなり、セキュリティが上がったと言えるでしょう。