【WordPressセキュリティ対策】wp-login.php/wp-adminでログインページを表示させない

ログインページ非表示WordPress
この記事は約3分で読めます。

スポンサードサーチ

WordPressサイトを作ってる会社がセキュリティ対策できていない恥ずかしさ

以前Twitterでこんなツイートを見かけました。

「Webエンジニアを目指す諸君。この業界はTwitterが言うほど未経験も活躍できる社会ではないが、君たちへの風当たりが強いわけでもない 安心して挑んできてほしい だが、会社のURLに/wp-admin.phpとつけて403にならずWordpressのログイン画面が見えるIT企業はやめておけ。

私が現在いる会社ではWordPressの案件が大半を占めているのですが、お恥ずかしながらこれを聞いたときに何が問題なのか分かりませんでした…。(;^ω^)

そのあと調べて勉強しました。

結論をいうと「ログイン画面を表示できなくすればログインを試すことすらできないから、セキュリティ対策になるよね」ってことみたいです。

ちなみに現在いる会社の自社サイトもWordPressで作られているので試してみたところ、wp-admin/wp-login.phpで普通にログイン画面が表示されてしまい、恥ずかしくなりました…。

いつも病気をしているお医者さんに診てもらいたいですか?
虫歯だらけの歯医者さんに治療されたいですか?
めちゃくちゃ髪が傷んでいる美容師さんにトリートメントしてもらいたいですか?

そういうところ、大事だと思います。

ログイン画面を表示させなくする方法

具体的に何をすればよいのか、今回は一番手っ取り早いプラグインを使った方法をご紹介します。

プラグイン「SiteGuard  WP Plugin」

「SiteGuard WP Plugin」をインストール、有効化します。

②ダッシュボードに追加されたメニューの中の「ログインページ変更」をクリック

③ログインURLを変更します。

デフォルトでは変更後のURL入力欄に「login_〇〇〇〇〇(5桁の乱数)」が入力されていますが、これでは心もとないので変更します。

セキュリティ対策するのであればパスワードみたいに最低でも8文字以上(大文字・小文字・英数字・ハイフン/アンダーバー入り)にしましょう。

生成できたらそれを先ほどのURL入力欄にコピペして保存します。

オプションにある「管理者ページからログインページへリダイレクトしない」にもチェックを入れましょう。

通常はURLの末尾にwp-admin(管理者ページ)をつけるとwp-lodgin.php(ログインページ)に飛ばされますが、これにチェックをいれることでそれを避けられます。

URLを変更したら新しいログイン画面でブックマークしなおしましょう。

会社など複数人でWordPressを管理している場合は、新しいログインURLの共有を忘れないようにしましょう。

デフォルトでは3回間違えると1分間ログインできなくなります。

スポンサードサーチ

WordPressで作られている有名サイトをチェックしてみた

WordPressで作られている有名サイトでは、ログインページのセキュリティ対策をしているのか試してみました。

  • 東京国立美術館
  • STAR WARS
  • サルワカ
  • LIG(おそらく2段階認証)
  • manablog

結論:してあるところもあればしていないところもある。

ログインページを守ればセキュリティが完璧!というわけではありませんが、やらないよりやっておいた方が損はないと思います。

ただプラグインを入れると少なからず重くなりますので、プラグインが嫌な方は手動で設定する方法をおすすめします。(各自でお調べください)

最後までお読みいただきありがとうございました。

コメント

タイトルとURLをコピーしました