目次
WordPress管理画面のURLを変更した方が良い理由
ブルートフォースアタックによるセキュリティー破りから防護するためです。
管理画面にログインされてしまうと、情報をいじられたりサイトを乗っ取られたりしてしまいます。
ブルートフォースアタックとは、総当たり攻撃によるパスワード破りの方法です。パスワードに使われていると推測される文字列を1つづつ変えながら、正解するまで片っ端から試し続けて探し当てます。
管理画面のURLを変更することで、ブルートフォースアタックによる被害の確率を下げることができます。
サイト管理画面へのリンク非表示ではダメか?
WordPress をインストールした直後の管理画面(ダッシュボード)URLは、 wp-login.php と決まっています。
例えば、
http://○○○○.com/
というURLのサイトであれば、
http://○○○○.com/wp-login.php
と入力すれば、誰でも管理画面のIDとパスワードを入力する画面が表示されるようになります。
サイドバーに表示されるメタ情報を非表示にして、サイト管理へのリンクを非表示にしても無意味なのです。
では、どの様な形にするかというと、
http://○○○○.com/wp-login.php?abc12345678
この様なURLにアクセスしないと、管理画面が出ない様にします。
管理画面ログインURLの変更方法
手順①:WordPress 直下の.htaccessをダウンロード
FTPなどを用いて、Wordpressディレクトリ直下にある.htaccessをダウンロードします。
手順②:以下の内容を.htaccessにコピーして、部分的に変更する
テキストエディターなどを用いて、ダウンロードした.htaccessを開き、以下のコードをコピーします。
赤字の部分(6カ所)は、希望のパスワードに変更する部分です。
ピンク字の部分(5カ所)は、自分のサイトURLに変更します。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^enter/?$ /wp-login.php?abc12345678 [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?abc12345678&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?abc12345678 [R,L]
RewriteRule ^register/?$ /wp-login.php?abc12345678&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/enter
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/register
RewriteCond %{QUERY_STRING} !^abc12345678
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?abc12345678 [R,L]
</IfModule>
RewriteEngine On
RewriteRule ^enter/?$ /wp-login.php?abc12345678 [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?abc12345678&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?abc12345678 [R,L]
RewriteRule ^register/?$ /wp-login.php?abc12345678&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/enter
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)http://○○○○.com/register
RewriteCond %{QUERY_STRING} !^abc12345678
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?abc12345678 [R,L]
</IfModule>
手順③:.htaccessを元の場所にアップロードする
変更が完了したら、.htaccessを元の場所にアップロードします。
確認
http://○○○○.com/wp-login.php?abc12345678
にアクセスして管理画面が表示されれば、カスタマイズ完了です。
