WordPressのログイン画面のURLをwp-loginから変更する
サイトを運営していると、WordPressアタックと呼ばれる不正アクセスに遭遇します。今回はWordPressアタックを防ぐためにログインURLを変更してみました。
更新日: 2019.12.11公開日: 2017.8.16
WordPressアタック(攻撃)とは?
WordPressアタック(攻撃)は、WordPressのサイト管理機能を狙った攻撃です。「wp-login」や「wp-admin」といったWordPressの管理画面ページにアタックを仕掛けてサイト管理機能を乗っ取ろうとします。
WordPressの場合、「ドメイン名=ユーザー名」というケースが多いため、こうしたアタックが成功しやく、サイトがWordPressだとわかると、海外のボットなどが頻繁にサイトに攻撃を仕掛けてきます。
万が一、攻撃が成功してしまうと(パスワードが単純な数字とかだと総当たりで突破されやすい)、サイトを乗っ取られてスパム行為の踏み台などにされてしまうため、ログインURLの変更をするだけでも、最低限の防御として機能します。
プラグイン「SiteGuard WP Plugin」でログインURLをサクッと変更
phpをいじるのもいいんですが、フックで使うのはWordPressのログイン機構を学習するコストがかかりますし、穴があっては困るので、今回はWordPress用のプラグイン「SiteGuard WP Plugin」を使いました。
WordPressの管理画面から「SiteGuard WP Plugin」で検索すると出てきす。
インストールが完了して、有効化が済むと、左カラムのメニューに「SiteGuard」という項目が出てきるので、そこから「ログインページ変更」をクリック。ログインURLが変更可能になります。
推奨設定では、「login_5桁の数字」なんですが、ログインのURLを直接叩く人なんてそうそういないですし、むしろログインさせたいなら、グローバルメニューからしっかりと導線を引くべきなので、今回は「login_20桁の乱数」に設定しました。
乱数生成は、こちらのサイトを利用させていただきました。
これで、wp-loginなどのlogin URLに設定していないページがリクエストされると404が返るようになりました。
SiteGuardには、ログイン試行回数でログインをロックしたり、有用な機能が満載なので、他の機能も使っていこうと思います。