WordPress のセキュリティ強化のためにログインページ URL を変更する
WordPress を何も考えずに設定すると初期のログインページは “https://example.com/wp-login.php" になります。ここからログインして記事を書いたりするわけですが、当然ながらデフォルト設定なので、バンバン不正アクセスの対象となることが予想されます。
いくら強固なパスワードを設定しても、Brute Force Attack (総当たり攻撃, BFA 攻撃)を受ければ突破される可能性があります。そこでまずはログインページの URL を変更することによってそもそも BFA 攻撃を受けにくい状態にすることにします。
ログインページの URL を変更するには
ログインページの URL 変更するため、ここでは WordPress プラグインを使います。使うプラグインは “Login rebuilder" というものです。WordPress 管理画面の「プラグイン」>「新規追加」で検索してインストールし、有効化します。
Login rebuilder の設定方法
続いて、Login rebuilder の設定画面に入り、最初の方で諸々設定します。
基本的には「新しいログインファイル」のところに任意のログインページ名を設定するだけでよいと思います。
どんな名前を設定するか
ここで「新しいログインファイル名」として “original-login.php" のような如何にもログインページのような名前を設定することはオススメしません。ここではセキュリティを高めることが目的なので、推測されにくい名前を設定するべきです。
私の場合は(ちょっとダサいのですが)日本語ローマ字のような文字列にしています。英語そのままの表現ではやはり攻撃者にとって推測しやすいものとなってしまうので、それを避けるために日本語っぽい文字列にしています。ダサいけど。
例えば
・tamago-oishii.php
・iriguchidesuyo.php
・kannrininsan-irassyai.php
などがいいと思っています(ここで例示してしまったので、これらの例と同じものを使うべきではありません!)。自分が打ち込みやすくて、かつ推測されにくいものを設定するとよいでしょう。
ページ中頃にある「ステータス」の「稼働中」にもチェックを入れるようにします。
これで最後の「変更を保存」ボタンを押すことで適用されます。これによって今まで使っていたログインページ “https://example.com/wp-login.php" の URL が使用できなくなるので注意しましょう。先ほど自分で設定した「任意のログインページ名」を使う必要があります。
一度管理画面からログアウトして、"https://example.com/任意のログインページ名.php" にアクセスし、ログインできることを確認してください。これで多少は WordPress のセキュリティをあげることができたはずです。
「任意のログインページ名」を忘れてしまった場合
WordPress を稼働させているサーバにログインして、ルートディレクトリにある「任意のログインページ名」のファイルを探してください。前述のように日本語を取り入れたクソダサいファイル名を設定していれば、他のファイルに紛れずに見つけることができるでしょう。