WordPressのログインURLを守る方法【不正アクセス対策】
こんにちは!Aoneko( @blue_cats03)です。
今回は、WordPressで作ったサイトのセキュリティを強化する記事です。
ブログやアフィリエイトなどを運営している私の周りのコミュニティでは、不正アクセスやWeb改ざんなどをされた方が何人かいます。
統計データから言えば、日本の場合、10秒に1人の割合でサイバー攻撃の被害を受けている人がいます。
予想していた以上にサイバー攻撃の被害者は多いですね。。
また、WordPressの市場シェアは全ウェブサイトの35%を占めているため、ハッカーはWordPressのサイトのみを狙って不正アクセスを試みる場合が多いようです。
出典:当サイト作成
WordPressの市場シェア
この状況を知った筆者は至急、当サイト(Aoneko Lab)のセキュリティを強化することにしました。
まずはSiteGuard(ワードプレス プラグイン)を導入すること
WordPressのセキュリティプラグインの中には、ログインURLを変更できるプラグインがあります。それが、「SiteGuard」です。
「SiteGuard」は、セキュリティ機能も付いていて、日本語に対応しているプラグインなので、非常に使いやすいです。
SiteGuardのインストール方法
WordPressのプラグイン設定画面から新規追加をクリックします。
次に、画面右上の検索枠に「SiteGuard」と入力します。
そうすると、候補のプラグインが表示されるので、「SiteGuard WP Plugin(下図の赤枠)」の「今すぐインストール」をクリックします。
※当サイトは既にインストール済みだったため、下図は「有効」になっています。
出典:当サイト作成
SiteGuardのインストール手順
「今すぐインストール」をクリックすると、インストール中と表示されるので完了するまで待ちます。
インストールが完了すると「インストール中」から「有効化」にボタンが変わるので、「有効化」ボタンをクリックします。
有効化が完了すると下図のようにプラグイン一覧画面に、「SiteGuard WP Plugin(下図の赤枠)」が反映されます。
出典:当サイト作成
プラグイン一覧画面
SiteGuardでサイトURLを変更する
「SiteGuard WP Plugin」は有効化した時点でサイトのログインURLが変更します。
有効化した後に表示されるメッセージの新しいログインページURLをクリックしてブックマークしておきましょう。
初期設定では、「login_10736」のような、「login_」にランダムの5桁の数字を追加したものになります。
なお、このURLは後で変更することができます。
ログインURLの変更方法
有効化完了後、WordPress管理画面の左メニューのSiteGuardをクリックすると設定状況が確認できます。
出典:当サイト作成
SiteGuardのダッシュボード
ログインURLを変更したい場合は、SiteGuardのダッシュボードの「ログインページ変更」をクリックします。
お好きなログインURLを入力して変更を保存すると、お好みのURLに変更できます。
その際、なるべくセキュリティの高いログインURLを使用するようにしましょう。
・できる限り多くの文字を使用する
・数字や記号を組み合わせる
・名前や誕生日のような個人情報は使わない
・地名や辞書にある単語は使わない
別途、「安全で強いパスワードの設定方法」という記事も書いておりますので、よかったらこちらも併せて読んでみてください。
出典:当サイト作成
SiteGuard:URLの変更
SiteGuardで管理ページアクセスを制限する
上記で解説したとおり、お好きなログインURLに変更できましたか?
「SiteGuard WP Plugin」では、ログインURLを変更した後に1つだけ気を付けてほしい点があります。
このプラグイン「SiteGuard」では、WordPressの仕様により、「https://【当該URL】/wp-admin」にアクセスしようとすると、ログインURLに自動的にリダイレクトしてしまうようになっています。
すなわち、せっかく新たにご設定していただいたURLなのに、そこに飛ばされてしまうのです。それではログインURLを変えた意味がないですよね。
この状態のままだとハッキングされてしまうリスクがまだまだ高いので、「SiteGuard WP Plugin」上で追加の設定をすることが必要です。
では、その追加の設定はどのように行うのか?
さっそくそのやり方を説明します。
「SiteGuard WP Plugin」ダッシュボードの「管理ページアクセス制限」をクリックします。
出典:当サイト作成
SiteGuardのダッシュボード
出典:当サイト作成
SiteGuardの管理ページアクセス制限
初期設定の場合、ON/OFFのボタンがOFFになっていますので、ONをクリックして「変更の保存」を押します。
そうすることにより、24時間以内にログインしたことのない接続元IPアドレスからはログインURLへのリダイレクトが行われなくなります。
試しに、違うIPアドレスの端末から、当サイトにアクセスしてみました。すると下図のようなエラー画面が表示されました。
出典:当サイト作成
エラー画面の様子
これなら安心ですね!
なお、違うIPアドレスで動作を確認するためには、VPNを使ったり、別の場所に移動して確認することもできますが、スマートフォンのWifiをオフにして、携帯電話回線経由で確認することもできます。チェックをする際、このやり方が簡単なのでオススメです。
「SiteGuard WP Plugin」は、ログインページURL変更機能以外にも、色々なセキュリティ機能があります。
初期設定でONになっているものは、デフォルトのとおり、そのまま有効にしておくのが良いと思います。
WordPressセキュリティ大全が役立った
今回、当サイトのセキュリティを強化する際に「WordPressセキュリティ大全」の本を参照しました。
「パスワードの管理」、「データベースの守り方」、「SSL」、「パスワードの二段階認証」などを具体的に実行するためのやり方がくわしく書かれています。「WordPressセキュリティ大全」のおかげで、サクサクと作業をすることができました。
ユーザーの反響もいい感じです。
本日の業務の締めは「WordPressセキュリティ大全」。主にプラグインの紹介だったけど、基本のセキュリティ対策がまとまっていて一冊あるとありがたい。
これから家に帰って自分のサイトのセキュリティ対策をしよう。
本日もお疲れ様でした! pic.twitter.com/kUB4fJyHMJ— なごみ@Web制作 753DESIGN (@nagomixxxx) December 5, 2019
【電子書籍】Kindle、楽天koboのご購入はコチラから。
Kindle unlimited(30日無料)で『WordPressセキュリティ大全』を読む
お手持ちのスマホ、タブレット、パソコンでいつでも読むことができる、デジタルな本、Kindle Unlimitedは「30日間の無料体験」が利用できます。
Amazonの電子書籍(Kindle Unlimited)
通常月額980円が新規登録なら30日無料で試せます!漫画や雑誌、ビジネス書などもありますし、対象の書籍なら読み放題。
家で退屈しそうなら、電子書籍がおすすめ!#お家で過ごそう
登録はこちらリンクより⇒https://t.co/lXjX5bm2ZG pic.twitter.com/lHbOhu3q3J— Aoneko Lab (@blue_cats03) April 10, 2020
今回紹介した『WordPressセキュリティ大全』もKindle にて読むことができます。
本当に無料なの?解約できるの?
はい、大丈夫です。
Kindle Unlimitedの公式HPにはっきり「30日間無料」と記載されています。追加料金は一切かかりません。無料体験できる方の条件としては、これまでにKindle Unlimitedをご利用いただいたことがない方になります。
これまでにKindle Unlimitedをご利用いただいたことがない方は、無料でお試しいただけます。無料体験期間が終了すると、自動的に月額料金プランの料金が請求されます。
(引用:Amazon公式サイト, Kindle Unlimitedについて)
30日以内に解約すれば料金はかかりません。
