WordPressのログインページのURLを変更する方法

はじめに

WordPressのログインページは、一般的には下記のようなものになります。

https://xxxxx.jp/wp-admin/

もしくは、

https://xxxxx.jp/wp-login.php

これでも通常は特に問題はないのですが。。。

細かい話をすると、WordPressの永遠の脆弱性として、

ログインIDとパスワードさえわかれば、見知らぬ第三者に管理用ページに入られてしまうという問題があります。

ログインURLをカスタマイズすると問題解決

そこで、対策として、上記の誰でもわかりきったURLをカスタマイズするという方法があります。

例）https://xxxxx.jp/wp-login.php?asdfghjk

今回の方法で変更する場合、普通のURLでアクセスした際にはログイン不可となります。

方法

ルートフォルダ直下には必ず、「.htaccess」というファイルが存在します。

そのファイルを、下記のように上書きし、アップロードします。

※必ずバックアップを取ってから作業しましょう。
※他のプラグインが.htaccessの内容に絡んでいそうな場合、無理して触らずに後述のプラグインを使用しましょう。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^enter/?$ /wp-login.php?asdfghjkl [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?asdfghjkl&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?asdfghjkl [R,L]
RewriteRule ^register/?$ /wp-login.php?asdfghjkl&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/enter
RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/register
RewriteCond %{QUERY_STRING} !^asdfghjkl
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?asdfghjkl [R,L]
</IfModule>

RewriteEngine On

RewriteRule ^enter/?$ /wp-login.php?asdfghjkl [R,L]

RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$

RewriteRule ^dashboard/?$ /wp-login.php?asdfghjkl&redirect_to=/wp-admin/ [R,L]

RewriteRule ^dashboard/?$ /wp-admin/?asdfghjkl [R,L]

RewriteRule ^register/?$ /wp-login.php?asdfghjkl&action=register [R,L]

RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php

RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/wp-admin

RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/wp-login\.php

RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/enter

RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/dashboard

RewriteCond %{HTTP_REFERER} !^(.*)xxxxx.jp/register

RewriteCond %{QUERY_STRING} !^asdfghjkl

RewriteCond %{QUERY_STRING} !^action=logout

RewriteCond %{QUERY_STRING} !^action=rp

RewriteCond %{QUERY_STRING} !^action=register

RewriteCond %{QUERY_STRING} !^action=postpass

RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$

RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]

RewriteCond %{QUERY_STRING} ^loggedout=true

RewriteRule ^.*$ /wp-login.php?asdfghjkl [R,L]

</IfModule>

URLカスタマイズ入力：

例）asdfghjkl（3、5、6、7、14、22行目）

ドメイン入力：

例）xxxxx.jp（9,10,11,12,13行目）

以上の操作により、ログイン用URLは

https://xxxxx.jp/wp-login.php?asdfghjkl

となります。

その他の方法

ほかにも、ログイン画面のURLを変更するプラグインがあります。

代表的なものとしては、『SiteGuard WP Plugin』などが挙げられます。

1つ目の方法で.htaccessを触りたくない場合は重宝しますね。

この使い方はまた後日レビューしたいと思います。

まとめ

実は最近、私の同業者のサーバーがハッキングに遭い、中に入っているWordPressを使用した複数のサイトが改竄されるという事態が発生しました。

現在も対処中なのですが、再度このような問題が発生しないようにするにはどうすれば良いか、という事を突き詰めていくと、その対策のひとつとして、今回のログイン画面のURL変更というものが挙げられます。

ほかにも、セキュリティで施しておいた方が良いことはいくつかあります。それもまた後日紹介していきますね。（現在も検証中なので^^;）

公開日：2018年1月14日
　　最終更新日：2018年1月14日

WordPress

ウィジェットのカテゴリーをWPテンプレートタグで呼び出した時、不要なタイトルを非表示にする方法 WordPress引越し後、他のページにアクセスできない場合

WordPress初心者の方も、愛用者の方も、
楽しく学べるフォローサイト！