【WordPress】管理画面のログインURLはバレバレ、変更して安心しよう

アイキャッチブログ運営

WordPressで作業するためには管理画面へログインする必要があります。第三者に管理画面へ不正アクセスされて万が一ログインされてしまったら最悪な事態が考えられます。

  • 記事を改ざんされる
  • 記事を削除されてしまう
  • 管理者のパスワードを変更されてしまう などなど

一応、WordPressにはデフォルトで不正アクセス対策のプラグイン「Limit Login Attempts Reloaded」が入っています。このプラグインによって、連続で管理画面へのログインが失敗すると、一定期間ログインを受け付けなくすることでブルートフォース攻撃(IDやパスワードを変えまくってログインを試みる不正アクセス方法)を防ぐことができます。

ログイン失敗画面
一応デフォルトプラグイン「Limit Login Attempts Reloaded」によって守られている

そもそもログイン画面にアクセスされなければ、不正アクセスされることも無いわけですが、何とWordPressをインストールしたデフォルトのままだと、管理画面のURLは共通なので誰にでもバレバレなんです。

試しに適当にWordPressのブログを見つけて、https://ブログドメイン/wp-admin/にしてアクセスしてみてください。デフォルトのままであればwp-adminで管理画面のログイン画面が表示されます。

かなり多くのWordPressブログがデフォルトのまま運用されているようです。

詳しい知識があればカスタマイズして管理画面のログインURLを変更できますが、専用のプラグインを使えば誰でも簡単にログインURLを変更することができます。

セキュリティ系のプラグインには、ログインURLを変える以外にも二段階認証などでセキュリティを強化できる多機能なものなどは多数リリースされていますが、私が利用しているプラグインを紹介します。

スポンサーリンク

管理画面のログインURLを変更するプラグイン「WPS Hide Login」

「WPS Hide Login」は管理画面のログインURLを変える機能だけのシンプルなプラグインなので使い方も簡単なのでおススメです。さっそくプラグインのインストールから使い方まで見ていきましょう。

プラグイン「WPS Hide Login」のインストール

1.プラグインの新規インストール画面で「hide」と検索してみてください。一番上に見つかると思いますので今すぐインストールをクリックします。

プラグイン検索

2.インストールが終わると続けて有効化をクリックします。

プラグイン有効化

「WP Hide Login」のインストールはこれで終了です。

プラグイン「WP Hide Login」の使い方

1.メニューの設定>WP Hide Loginが追加されているので選択します。

設定メニュー

2.WPS Hide Loginの設定項目のうち、Login urlに変更後に使いたいURLを入力します。実際に存在するページではないので好きに決めてOKです。Redirection urlはデフォルトのログインURLであるwp-adminにアクセスした場合に表示させたい記事やページがあれば指定します。特に無ければページが見つからないことを意味する404のままでOKです。最後に変更を保存してください。

設定画面

WPS Hide Loginの設定はこれで終了です。

WPS Hide Loginの動作確認をする

それでは管理画面のログインURLが正しく変更できているか動作確認をしてみましょう。いったん管理画面からログアウトしてから試してください。

デフォルトのログインURLでアクセスしてみる

管理画面のデフォルトのURLである、https://ブログドメイン/ws-admin/でアクセスしてみます。正しく設定できていれば、https://ブログドメイン/404/にリダイレクトされ、ログインページが見つからなくなっています。

404 not found

変更後のログインURLでアクセスしてみる

今回の例ではhttps://ブログドメイン/new-login-page/が変更後のログインURLにしてます。想定通りログインページが表示されるはずです。

変更後URL

まとめ

プラグイン「WPS Hide Login」を使うことで簡単に管理画面のログインURLをカスタマイズすることができましたね。

私のブログではログインURLを変更する前は、海外から不正アクセスと思われるwp-adminへのアクセスが多数ありましたが、ログインURLを変更してからはあやしいアクセスは無くなりました。

IDとパスワードが偶然一致して不正にログインされることは滅多にないとは思いますが、ログインURLにアクセスできなければより一層安心ですね。