WordPress セキュリティ - 管理者パス（wp-admin）を隠す

WordPressは使いやすさのために、多くのユーザーが使用するのに対し、セキュリティの懸念もあります。 特に、外部プラグインを自由に設置することができるみると、不本意プラグインにより、セキュリティが脆弱になる場合があります。 今年初めに Slider Revolutionが深刻なセキュリティの脆弱性にさらされて、複数の新聞社の インターネットの記事まで出てきたことがあるくらいですからね。

これだけでなく WordPressは、スパムロボットによって絶えず攻撃を受けます。 WordPress サイトを運営してみると、しばらく経って様々なスパムコメントが走っていることがわかります。 個人的には、いくつかのスパム対策プラグインの中では、Akismetが強力です。 私は コメントブラックリスト機能を使用してスパムコメントをブロックしています。

[この記事は2022年5月19日に最終更新されました。 ]

WordPress セキュリティ - 管理者パス（wp-admin）を隠す

スパムロボット/ハッカーがしようとする WordPress 管理者のログイン情報

また、IP Blacklist Cloudというプラグインもあります。 このプラグインは、プラグイン名が示すように、スパムIPブラックリストを介してアクセスをブロックします。 （たぶん私も知らないうちに私のIPがここに登録されているかもしれません…）IP Blacklist Cloudには、ログインに失敗したIPのリストも表示されます。 リストを確認することで、疑わしいIPをブラックリストとして報告できます。

上の図は、IP BlacklistプラグインによってブロックされたIPのリスト（IPは、上記の図に表示しない）と、彼らは試みたログイン情報を表示します。 主Admin、admin、administratorと同じID（ユーザー名）にログインしようとします。 上では珍しくdemo1というユーザー名でも試してみてね。 したがって 管理者ユーザー名にAdmin、admin、administratorなどは避けた方が 最も効果的であることです。

管理者のパス（wp-admin）を変更

プラグインの使用

必要に応じて、管理者のパスである/ wp-admin /を変更することもできます。 これの効果があるかは分かりません。 いくつかの文を見れば、いくら隠しても、ハッカーは、検出するので、無益であるとしたことを見たんです。 どうやら、管理者パスのURLを変更すると、管理者ログイン試行が減るかと思います。

iTheme■ Security セキュリティプラグインを使用している場合は、プラグインで管理者ページパスを変更するオプションを提供します。 」iThemesのHide Backend機能を使って WordPress ログインページを非表示に「を参考にしてください。

これに関連するプラグインで、インターネットユーザー ステルスログインページ プラグインがたくさんおすすめですね。 （更新：このプラグインは WordPress ストアから削除されました。）

このプラグインは、 .htaccess ファイルを変更せずにダッシュボードを保護してくれて、セキュリティコードを入力していない訪問者をカスタマイズ可能なURLにリダイレクトさせます。

また、他のプラグインで あなたの管理者を守るというプラグインがあります。

このプラグインは、比較的最近に更新されましたね。 いくつかのプラグインは、更新がうまくいかないされて、最終的には、使用しないようにされている場合に発生します。 だからプラグインを選択するときには、まずレートと一緒にアップデートがいつされた表示されます。 そして、様々な機能を提供していますね：

• ユーザー定義のwp-admin url（例えばhttp://yourdomain.com/myadmin）指定
• ログインページで、ユーザー定義のログを指定するか、デフォルトのロゴを変更
• ログインページのbody背景色を指定
• SEOに有利な「登録」ページURL
• その他

他の方法

事実 WordPressプラグインを多く設置してみるとサイトの速度に影響を与え、場合によっては不要なプラグイン間やプラグインとテーマの間の衝突が発生したりします。 また、プラグインにより、セキュリティ上の問題が生じたりして。 したがって、なるべくプラグインのインストールを最小化することが望まれます。 プラグインをインストールせずに、次のような方法で管理URLを変更することができます。 （アップデート： コードを使用したこの方法は、以前はよくなったが、今はもう動作していないことが確認された。）

1. wp-config.phpファイルに変数を追加します。

define('WP_ADMIN_DIR', 'secret-folder'); define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

2.関数ファイル（functions.php）に次のフィルタを追加します。

add_filter（ 'site_url'、 'wpadmin_filter'、10、3）; function wpadmin_filter( $url, $path, $orig_scheme ) { $old = array( "/(wp-admin)/"); $admin_dir = WP_ADMIN_DIR; $new = array($admin_dir); return preg_replace( $old, $new, $url, 1); }

3.次の行を.htaccessファイルに追加します。

RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L] // ソース: stackoverflowの

Hide My WPプラグイン

私のWPを隠します プラグインは、 wp-admin パスだけでなく、ほぼすべての固有のアドレスを変更して、サイトが WordPressで製作されたことをユーザーが知らないよう、セキュリティを強化してくれるプラグインです。 詳細については、 この記事を参考にしてみてください。

最後に、

WordPress サイトを更新せずに放置したり、パスワードの管理をおろそかにしてから、たまにハッキングされ、管理者アカウントが削除されたり、管理者のパスワードが変更され、管理者ページにアクセスしていないと訴えている場合を見たことあります。 この場合、 この記事を参考にし、管理者パスワードの回復を試みるか、やや複雑ですが、 この記事で説明する方法で新しい管理者アカウントを追加することができます。 以上で WordPressで、セキュリティ強化のために、管理者のURLを変更する方法を説明しました。

2017_1226更新： 初期のセキュリティプラグインには、 WordPress ログインページ/管理者ログインページを隠す機能が含まれていたこのような「不明であることを通じたセキュリティ（Security through Obscurity、隠遁セキュリティ）」方式は、実質的な保護を提供せず、むしろシステムを不安定にしてテーマが割れることがあるとします。

• WordPress ログインページを隠すことが、セキュリティに効果があるか？

したがって、ログインページを非表示にする方法は、あまりお勧めしません。 セキュリティプラグインをインストールして WordPress와 WordPress テーマとプラグインを常に最新バージョンに更新し、バックアップを生活化することがセキュリティに役立ちます（」WordPress セキュリティ強化のための基本的な3つの方法"参照）。

参照

• WordPress 管理ページメニュー項目を削除する方法