WordPressのログイン画面のURLをwp-loginから変更する

サイトを運営していると、WordPressアタックと呼ばれる不正アクセスに遭遇します。攻撃は「wp-login」や「wp-admin」といったWordPressによくあるページをアタックするもので、多くの場合が、ドメイン名とユーザー名が同じだったりするので、攻撃しやすいのかもしれません、SEOで上に上がっているとなおのこと攻撃対象になります。

今回は、ログインページを「wp-login」でないページに変更します。

プラグイン「SiteGuard WP Plugin」を導入

phpをいじるのもいいんですが、フックで使うのはWordPressのログイン機構を学習するコストがかかりますし、穴があっては困るので、今回はWordPress用のプラグイン「SiteGuard WP Plugin」を使いました。

WordPressの管理画面から「SiteGuard WP Plugin」で検索すると出てきます、

インストールが完了して、有効化が済むと、左カラムのメニューに「SiteGuard」という項目が出てきるので、そこから「ログインページ変更」をクリック。ログインURLが変更可能になります。

推奨設定では、「login_5桁の数字」なんですが、ログインのURLを直接叩く人なんてそうそういないですし、むしろログインさせたいなら、グローバルメニューからしっかりと導線を引くべきなので、今回は「login_20桁の乱数」に設定しました。

乱数生成は、こちらのサイトを利用させていただきました。

パスワード・乱数 自動生成

これで、wp-loginなどのlogin URLに設定していないページがリクエストされると404が返るようになりました。

SiteGuardには、ログイン試行回数でログインをロックしたり、有用な機能が満載なので、他の機能も使っていこうと思います。