WordPressは世界中で広く利用されているCMS(コンテンツ管理システム)ですが、その人気ゆえに悪意のある攻撃者の標的になりやすいという課題があります。特に、WordPressのデフォルトのログインページ(/wp-login.phpや/wp-admin)はよく知られており、不正アクセスを試みる攻撃者に狙われやすいポイントの一つです。
この問題への対策の一つとして「ログインURLを隠す」方法があります。これは「セキュリティ・バイ・オブスキュリティ(隠蔽によるセキュリティ)」の考え方に基づいた施策で、単独での完全なセキュリティ対策にはなりませんが、他の対策と組み合わせることでサイトの防御力を高めることができます。
WordPressのセキュリティ対策
ログインURLを隠す意義
WordPressのログインURL(/wp-login.phpや/wp-admin)を隠すことで、次のようなメリットがあります。
-
ブルートフォース攻撃の防止
ログインページのURLが分からなければ、不正ログインを試みる総当たり攻撃が困難になります。 -
ゼロデイ脆弱性攻撃からの保護
WordPressのログインページが特定されにくくなることで、特定の脆弱性を狙った攻撃を回避しやすくなります。 -
自動スキャナーによる攻撃の回避
ハッカーはツールを使ってWordPressのログインページを探し出し、自動的に攻撃を仕掛けることがあります。ログインURLを変更することで、これらのツールからの標的になりにくくなります。
また、ハッカーは手間のかかるターゲットよりも、簡単に攻撃できるサイトを狙う傾向があります。そのため、ログインURLを隠すことは、攻撃者のターゲットリストから外れる可能性を高める効果も期待できます。
ログインURLを隠す方法
セキュリティプラグインを使用する
最も簡単な方法は、専用のプラグインを利用することです。例えば、「WPS Hide Login」というプラグインを使えば、簡単にログインURLを変更できます。
WPS Hide Loginの設定方法
- WordPressの管理画面から「プラグイン」→「新規追加」を選択
- 「WPS Hide Login」を検索し、インストール・有効化する
- 「設定」→「WPS Hide Login」に移動し、新しいログインURLを設定
- 「Redirection URL」で、旧URL(wp-login.php)にアクセスされた際のリダイレクト先を指定
- 設定を保存
※上記画像はログインURLを「himitsunologin」にした事例です
※他の方から容易に推測できるものは避けてください
その他のおすすめプラグインは以下のとおりです
- iThemes Security(「Hide Backend」機能を提供)
- All In One WP Security & Firewall
- LoginPress Hide Login アドオン
- Easy Hide Login
補足:より強固なセキュリティ対策のために
「WPS Hide Login」だけでは、十分なセキュリティ強化とは言い切れません。そのため、パフォーマンスとセキュリティのバランスを考慮すると、「Limit Login Attempts Reloaded」との併用をおすすめします。
Limit Login Attempts Reloadedのメリット
- 一定回数のログイン試行を制限し、不正なログイン試行を防ぐ
- 多くのサイトで利用されており、基本的なセキュリティ対策として認識されている
- リソースへの負担が比較的軽いため、WPS Hide Loginと組み合わせてもパフォーマンスへの影響が少ない
このプラグインを導入することで、ブルートフォース攻撃に対する防御力をさらに高めることができます。
強力なパスワードと認証対策を併用
ログインURLを変更するだけではなく、以下の対策も組み合わせることで、より安全な環境を構築できます。
- デフォルトの「admin」ユーザー名を変更する
- 推測されにくい強力なパスワードを設定し、定期的に変更する
- 管理者アカウントのIDを変更する
- 「Password Policies for WordPress」プラグインを活用し、強力なパスワードポリシーを導入する
二要素認証(2FA)を導入する
ログイン時にパスワードだけでなく、スマートフォンアプリなどを用いた2段階認証を追加することで、不正アクセスのリスクを大幅に軽減できます。
「.htaccess」による高度な保護
技術的な知識がある場合は、.htaccessファイルを活用してログインページへのアクセス制限を追加することも可能です。
たとえば、特定のIPアドレス以外からのアクセスをブロックする設定を行うことで、管理者以外の不正アクセスを防ぐことができます。
セキュリティには「これで万全」ということはありません
ログインURLを隠すことは、WordPressのセキュリティ対策の一環として有効な手段ですが、単独でサイトを完全に守れるわけではありません。
強力なパスワードの設定や二要素認証、セキュリティプラグインの活用など、複数の対策を組み合わせることで、より安全なWordPressサイトを運営することができます。
また、WPS Hide Login だけでなく、Limit Login Attempts Reloaded などのブルートフォース攻撃対策プラグインを併用することで、より効果的にセキュリティを強化できます。リソースに余裕がある場合は、これらを併用して、総合的な防御策を講じることをおすすめします。
セキュリティ対策は常に進化するサイバー攻撃に対応するために継続的な見直しが重要です。定期的にセキュリティチェックを行い、安全なサイト運営を心がけましょう。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はスクエアの「寄付」というシステムに変更しています(2025年1月6日)
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
