ログインページのURLを変えてない人が結構います。 長年WordPressを使ってるという人でもそういう人が意外といるんですよね。

今日はログインページのURLを変えることのメリットを紹介したいと思います。

ログインページを変えるだけで、侵入リスクは大幅減

ログインページが分からなければブルートフォースアタックのような、ログインパスワードに対しての総当り攻撃はできません。

ログインページを変えるということは、表面的には侵入するための手間が1つ増えるだけのように見えますが、実は侵入成功するまでの時間が大幅に増えることにつながるので、侵入する側にとってはかなり面倒くさいサイトに仕上げることができます。

攻撃する側にメリットがあるような有名なサイトだったり、誰かに個人的な恨みを持たれてない限り、どうしても侵入しようとするハッカーはあまりいないと思うので、面倒くさいということはそれだけでセキュリティアップにつながります。

世の中にはずさんなサイトがゴロゴロ転がってると言うくらいですから、たった1つの工夫で他のサイトより侵入されにくいサイトになりますよ。

ログインページURL変更にはWPS Hide Loginがオススメ

ログインページのURL変更にはWPS Hide Loginというプラグインが便利です。 .htaccessやfunctions.phpを直接編集してやる方法もありますが、このプラグインは軽量&ほとんどデメリットがないので、僕はこれを推奨しています。

方法はプラグインのインストール&有効化後、「設定」ページへ移動します。 同ページの一番下の部分に「WPS Hide Login」の設定欄が追加されているので、そこに自分の好きなログインページのためのアドレスを設定して保存して完了です。 アドレスとなるワードは固有名詞とかでも良いですが、パスワードのようにランダムな英数字にしたほうがセキュリティレベルが上がるのでおすすめです。

あとは、変更後のログインページをお気に入り等に登録しておくと便利ですよ。

二段階認証などと併用すればより強固に!

僕は基本的に「iThemes Securities」の導入をすすめていますが、そもそもの侵入対策の基本として次の4つの方法を併用しています。

  • パスワードのセキュリティ強度を上げる
  • WordPressのユーザー名を隠蔽化
  • ログインページの隠蔽化
  • 二段階認証

この設定でハッカーが侵入に成功するには、まずログインページを探し出す必要が有ります。それに成功すれば、次にユーザー名とパスワードの組み合わせを探索し、そして最後に2段階認証を突破しなければなりません。

WordPressやプラグイン側のセキュリティホールが見つかったり、直接僕のパソコンが狙われない限り、通常ルートでの侵入リスクはかなり低くなります。