WordPressでサイト運営している方へ
WordPressのログインURLはそのままで大丈夫?
私自身も、ここ数年WordPressを使う機会が増えるにつれて、セキュリティ面を強く意識するようになりました。
実際にアクセスログを見てみると、
- 海外IPからのアクセス
- ログインページへの不審なリクエスト
- 意味不明なコメントスパム
ひどい時はアクセスが集中して、
サーバーが止まったこともしばしば…。
なぜWordPressは狙われやすいのか?
なんでWordPressが狙われやすいのかと言いますと
WordPressは世界シェア1位で利用者が圧倒的に多い
WordPressは、世界中のWebサイトの約4割以上で使われているCMSです。
利用者が多いということは、それだけ「攻撃が成功する確率が高い」ということでもあります。
情報量が圧倒的に多い
WordPressは利用者が多い分、トラブルや脆弱性に関する情報も大量に公開されています。
わからないことでもググったら大体出てきますしね。
これは利用者にとってはメリットですが、攻撃者側から見ても「攻撃手法を調べやすい環境」になります。
プラグインの脆弱性を突かれやすい
WordPressの大きな魅力である「プラグイン」ですが、一方でセキュリティリスクにもなります。
- 長期で更新が止まっているプラグイン
- 設計が甘いプラグイン
プラグインは楽ですが、なんでもかんでもインストールするものではありません。
こうした脆弱性を突かれると、簡単に仕込まれて大変な事態になります。
まず最初にやるべき対策が「ログインURLの変更」
WordPressのログインURLは
- /wp-login.php
- /wp-admin
と、誰でも知っているURLです。
今この記事を読んでいる方でこのログインURLを使用している場合、直ちにやめてください。
自動ボットによる総当たり攻撃を受けやすくなってしまいます。
そこで有効なのが、ログインURLを変更して隠す対策です。
おすすめのプラグインの紹介と、設定方法を説明していきます。
プログラム知識ゼロの人でもめちゃくちゃ簡単に設定できるので、ぜひこの機会に設定してみてください。
WPS Hide Loginとは?
WPS Hide Loginは、ログインURLを簡単に変更できる無料プラグインです。
公式URL以下です。
- 設定がシンプル
- 軽量で高速
- 初心者でも簡単に導入可能
「まず入れるべきセキュリティ対策」としておすすめです。
WPS Hide Loginの設定方法
① プラグインをインストール
WordPress管理画面の左メニュー プラグイン > プラグインの追加から
「WPS Hide Login」で検索し、インストール&有効化します。
② ログインURLを変更する
左メニューの「設定」> 「WPS Hide Login」を選択します。
わからない方は以下に画像を載せてるので、参考にしてください。
「WPS Hide Login」を選択すると、設定ページが表示されます。
一番下辺りにWPS Hide Loginの項目があるのでそちらが今回変更する箇所です。
下記画像の①②が変更する箇所となります。
①ログインURL:入力フィールドにログインページのURL名を入力してください。
デフォルトはwp-adminやwp-loginなので、それ以外で自身が覚えれるページ名に。
②リダイレクトURL:リダイレクトURLは基本的に404のままでOKです。
以上で設定は完了です!
めちゃくちゃ簡単です。
注意点
- ログインURLは必ずメモする
- 推測されにくい文字列にする
まとめ
- WordPressは非常に狙われやすいため、簡単にできる対策は必須
- ログインURL変更は最も簡単な対策
- WPS Hide Loginで誰でもすぐ導入可能
「とりあえず入れておくべきプラグイン」レベルです。
.webp)
コメント