WordPress セキュリティ:管理者ページ/ログインページアドレスを隠す

Last Updated: 2024 年 05 月 30 日 6のコメント

WordPressは使いやすさのために多くのユーザーが使用しているが、セキュリティの懸念もあります。特に外部プラグインを自由にインストールできるため、本意ではなくプラグインによりセキュリティが脆弱になる場合があります。ずっと前 Slider Revolutionが深刻なセキュリティの脆弱性にさらされて、複数の新聞社の インターネットの記事まで出たことがあるほどです。

だけでなく、 WordPressは、スパムロボットによって絶えず攻撃を受けます。 WordPress サイトを運営してみると、しばらく経って様々なスパムコメントが走っていることがわかります。 個人的には、いくつかのスパム対策プラグインの中では、Akismetが強力です。 私は コメントブラックリスト機能を使用してスパムコメントをブロックしています。

WordPress セキュリティ:管理者ページ/ログインページアドレスを隠す

WordPress セキュリティ:管理者ページ/ログインページアドレスを隠す方法

下の図は、IP BlacklistというプラグインによってブロックされたIPのリスト(IPは上記の図には示されていません)と、彼らが試したログイン情報を示しています。

ボットは主にAdmin、admin、administratorなどのID(ユーザー名)でログインしようとします。珍しくdemo1というユーザー名でも試していますね。したがって、 管理者ユーザー名として Admin、admin、administrator などは避けるのが安全するようです。

IP Blacklist  -  WordPress スパムIPブラックリスト

プラグインを使用して管理者ページアドレス/ログインページアドレスを変更する

必要に応じて管理者ページへのパス / WP-管理とログインページへのパス /wp-login.phpを変更できます。セキュリティ専門家によると、この方法はそれほど効果がないと言います。しかし、多くのサイトでプラグインを使用してログインページを変更しています。以下のプラグインを使用すると、 /wp-login.php 또는 / WP-管理でログインしようとしているボットをブロックするのに効果があります。

Solid Securityセキュリティプラグインの機能を使用する

Solid Security(旧名称「iThemes Security") セキュリティプラグインを使用している場合は、プラグインで管理者ページのパスを変更するオプションを提供します。"iThemesのHide Backend機能を使って WordPress ログインページを非表示に「を参考にしてください。

WPS Hide Loginプラグイン

ログインページを隠す機能を持つプラグインの中でよく使われるプラグインとして WPS非ログインがあります。このプラグインは2024年5月現在、100万を超えるサイトにインストールされ使用されています。

WPS Hide Loginプラグイン

このプラグインは、ログインフォームを提供する次のプラグインと互換性があります。

  • バディ
  • bbPress
  • Jetpack(ジェットパック)
  • WPS Limit Login
  • ユーザーの切り替え

しかし、wp-login.phpをハードコーディングしたプラグインやテーマとは互換性がないという。

WPS Hide Loginはサブドメインおよびサブディレクトリ方式のマルチサイトと互換性があり、(WP Rocketを除く)キャッシュプラグインの場合は、新しいログインURLがキャッシュされないように設定する必要があります。

Protect Your Adminプラグイン

また、他のプラグインで あなたの管理者を守るというプラグインがあります。

Protect Your Admin  -  WordPress 管理者のセキュリティ・プラグイン

このプラグインは、比較的最近に更新されましたね。 いくつかのプラグインは、更新がうまくいかないされて、最終的には、使用しないようにされている場合に発生します。 だからプラグインを選択するときには、まずレートと一緒にアップデートがいつされた表示されます。 そして、様々な機能を提供していますね:

  • ユーザー定義のwp-admin url(例えばhttp://yourdomain.com/myadmin)指定
  • ログインページで、ユーザー定義のログを指定するか、デフォルトのロゴを変更
  • ログインページのbody背景色を指定
  • SEOに有利な「登録」ページURL
  • その他

Hide My WPプラグイン(有料)

Hide My WP - Amazing Security Plugin for WordPress

私のWPを隠します プラグインは、 wp-admin パスだけでなく、ほぼすべての固有のアドレスを変更して、サイトが WordPressで製作されたことをユーザーが知らないよう、セキュリティを強化してくれるプラグインです。 詳細については、 この記事を参考にしてみてください。

その他の方法 - コードを使用して管理者ページのアドレスを変更する

事実 WordPressでプラグインをたくさんインストールしてみるとサイトの速度に影響を与え、時には望ましくないプラグイン間やプラグインとテーマ間の衝突が発生することもあります。また、プラグインによってセキュリティ問題が発生することもあります。したがって、可能な限りプラグインのインストールを最小限に抑えることが望ましいです。プラグインをインストールせずに、次の方法で管理者URLを変更できます。

アップデート: コードを使用したこの方法は以前はうまくいきましたが、今はもう機能しないことが確認されました。

1. wp-config.phpファイルに変数を追加します。

define('WP_ADMIN_DIR', 'secret-folder'); define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

2.関数ファイル(functions.php)に次のフィルタを追加します。

add_filter( 'site_url'、 'wpadmin_filter'、10、3); function wpadmin_filter( $url, $path, $orig_scheme ) { $old = array( "/(wp-admin)/"); $admin_dir = WP_ADMIN_DIR; $new = array($admin_dir); return preg_replace( $old, $new, $url, 1); }

3.次の行を.htaccessファイルに追加します。

RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L] // ソース: stackoverflowの

変更したログインアドレスを忘れた場合

プラグインを使用して管理者ページのアドレスまたはログインページのアドレスを変更した後、変更されたログインURLが記憶されず、ログインできないことがあります。この場合、FTPを介してWebサーバーに接続してプラグインを削除すると、問題が解決します。

プラグインは、 / WP-コンテンツ/plugins/ フォルダの下にあります。

管理者ページ/ログインページURLを回復するのが難しい場合 ここでサービス(有料)をご依頼することができます。

最後に、

WordPress サイトを更新せずに放置したり、パスワードの管理をおろそかにしてから、たまにハッキングされ、管理者アカウントが削除されたり、管理者のパスワードが変更され、管理者ページにアクセスしていないと訴えている場合を見たことあります。 この場合、 この記事を参考にし、管理者パスワードの回復を試みるか、やや複雑ですが、 この記事で説明する方法で新しい管理者アカウントを追加することができます。 以上で WordPressで、セキュリティ強化のために、管理者のURLを変更する方法を説明しました。

2017年12月更新: 初期のセキュリティプラグインには、 WordPress ログインページ/管理者ログインページを隠す機能が含まれていたこのような「不明であることを通じたセキュリティ(Security through Obscurity、隠遁セキュリティ)」方式は、実質的な保護を提供せず、むしろシステムを不安定にしてテーマが割れることがあるとします。

したがって、ログインページを非表示にする方法は、あまりお勧めしません。 セキュリティプラグインをインストールして WordPress와 WordPress テーマとプラグインを常に最新バージョンに更新し、バックアップを生活化することがセキュリティに役立ちます(」WordPress セキュリティ強化のための基本的な3つの方法"参照)。

参照


6のコメント

コメント

  1. プラグインのインストールせずに、管理者のurlを変更する方法でファイルを修正したところ。 すべてのページがInternal Server Errorが表示されます。

    応答
    • こんにちは?
      テストをしてみたよInternal Server Errorが表示されませんが、もはや機能しませんね。
      この記事を書く時には、よくなった今、上記のコードではされず、プラグインを使用する必要がありすることがあります。

      WordPressが継続的に更新されるので、以前にうまくいった方法この更新プログラムがされない場合があります。 お知らせいただきありがとうございます。

      応答