WordPressのAdminのログインURLは必ず変える

WordPress
WordPress
0

この記事ではWordPressのセキュリティ対策の1つであるAdminのログインURLを変える方法についてメモする。

スポンサーリンク

なぜ変える必要があるのか

WordPressのログインURLはデフォルトではexample.com/adminとかexample.com/loginとかになっている。
また、これらのログインURLを変えてもexample.com/wp-login.phpを検索することで自動的にログインURLにリダイレクトされてしまうので厄介である。
このログインURLは全てのWordPressアカウントに対して同じなので、悪意のある人がログインを試みることをしてくる。
実際にAll In One WP Security & Firewallでログイン試行の履歴を見てみると、

このように誰か分からない人がひっきりなしにログインを試みていることが分かる。1日に100件を超えていることも。。。

幸いにもパスワードはかなり強固なものを使っているし、ログインの試行回数をAll In One WP Security & Firewallで制限しているのでまだログインは成功されていなかった。
パスワードが簡単なものだといつかログインされてしまいかねない。

スポンサーリンク

ログインURLの変更の仕方

最も簡単にできるのはプラグインを導入することである。
All In One WP Security & FirewallはログインURLを変えるだけではなくCaptche (画像の数字を入力や、私はロボットではありませんなど)の設定もできる。

ログインURLはプラグイン設定の総当り攻撃のところから変更できる。(下画像)

その他にしたこと

ログインURLを変更する以外にもCaptcheの設定をした。
CaptcheはGoogleのreCaptcheを設定した。100万リクエスト/月まで無料であるのでログインだけならほとんど無料である。
ここから始めることができる。
ドメインを入力すると、サイトキーとシークレットキーが発行されるので、All In One WP Security & Firewallの総当り攻撃のCaptcheのところに入力すればOKである。

また、ユーザー名が「h-memo」になっていてサイドバーのプロフィールに表示されていたので、管理者アカウントを新規作成してユーザー名を変更した。

変更してどうなったか

上の画像はログインURLを変更した次の日の失敗したログインの記録である。
残念ながら多少は減ったとはいえ無くなってはいない。しかし、ユーザー名に「h-memo」を入力している回数が明らかに減った。

なぜログインURLがバレてしまうのだろうか???
できればログイン試行を限りなく0にしたい。。。

スポンサーリンク
H-MEMO

コメント