WordPressの管理画面ログインURLの変更方法解説

2014/08/04 2014/12/07

WordPressの管理画面のセキュリティ対策

WordPressを使うことのリスクって？

　
WordPressは、全世界で多くのユーザが利用しているシステムですので、不正アタックの対象になりがちです。
特に、デフォルトのままでは管理画面のログイン URLは決まっていますし、IDも adminになっていることをみんなが知っていますので、そのまま利用している場合は非常に危険です。
　
総当たり攻撃と呼ばれるブルートフォースアタックで不正にログインする場合は、まず管理画面のログイン画面 URLが分からなといけないわけですが、WordPressの場合はデフォルトの管理画面のログイン URLは誰でも知っているわけですから、デフォルトのままでは最初のカギを開けてしまっているようなものです。
さらには、IDを adminのままにしているということは、関門としてある管理画面のログイン URL、ID、PASSの 3つあるカギのうち、最初の 2つのカギを掛けていないことと同じことですので、後はパスワードさえわかってしまえば、不正アクセスされてしまうことになってしまいます。
　
　
そうならないためにやるべきことは下記の 3点です。

管理者のアカウント adminを変更する
管理画面のログイン URLを変更する
WordPressの管理画面ログインURLファイルにBasic認証を設定

管理者のアカウント adminを変更する

　
最初の管理者のアカウント adminを変更するという点ですが、これによって、3つあるカギのうち一つのカギをかけることができます。
　
これは誰でも簡単に設定できるものですので、別ページ「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」を参考にしていただきながら是非とも対応してください。
　
　

管理画面のログイン URLを変更する必要性

　
WordPressの管理画面のデフォルトの URLは、以下のいずれかです。
　http://{WordPressが入っているURL}/wp-admin
　http://{WordPressが入っているURL}/wp-login.php
　
上記のいずれの URLでもログインできます。
「wp-admin」は管理画面の処理が入っているフォルダがこの名称ですので、分かりやすい URLともいえますが、実際のログイン処理をしているファイルという意味では「wp-login.php」になりますので、こちらのログイン URLの方がいいかもしれません。
　
また、「wp-admin」の管理画面のログイン URLではトラブルが発生してうまくログインできない場合が起こる場合もありますが、「wp-login.php」では問題なくログインできる場合もありますので、「wp-login.php」の方がよりトラブルに強いともいえるでしょう。
　
実際に利用する場合はどちらでも問題ありません。
　
　
上記の通り、WordPressは、デフォルトのままでは管理画面ログイン URLがどのサイトも同じになっていますので、そのサイトが WordPressを利用している、ということが分かれば管理画面のログイン URLも分かってしまうということになります。
そうすると、そのログイン画面に対してブルートフォースアタックを行うチャンスを与えてしまうことになります。
　
そうしないためには、WordPressの管理画面のログイン URLを変更してしまえばいいわけです。
　
　

管理画面のログイン URLを変更する具体的な手順

　
それでは、実際に WordPressの管理画面のログイン URLを変更する具体的な手順を解説していきます。
　
　
まず最初に、ログインする URLになるファイルを作成します。
　
　http://{WordPressが入っているURL}/wp-login-change.php
例えば、管理画面のログイン URLを上記のようにしたい場合は、「wp-login-change.php」のファイルを作成します。このファイル名がそのまま URLになりますので、好きなファイル名を付けていただいて問題ありません。ただ、パスワードと同じくあまり短くない方が好ましいでしょう。
　
ファイルを作成する場所は、WordPressがインストールされているルートフォルダです。
本来のログインファイルである「wp-login.php」と同じ場所に作成します。
　
また、ファイルには下記のコードを記述します。
　
————————-

<?php
define( 'LOGIN_CHANGE', sha1( 'keyword' ) );
require_once './wp-login.php';
?>

<?php

define( 'LOGIN_CHANGE', sha1( 'keyword' ) );

require_once './wp-login.php';

————————-
　
2行目の「keyword」の部分はこのプログラム上のキーワードになる部分ですので、好きなものに変更をしてください。
　
　
次は、WordPressの要となる「functions.php」を編集します。
　
「functions.php」は下記の場所にあります。
/{WordPressがインストールされている場所}/wp-content/themes/{テーマ名}/functions.php
　
「WordPressの functions.phpがある場所」に詳しく書いていますのでそちらも参考にしてください。
　
　
もしくは、テーマの編集画面（「外観」－「テーマ編集」から移動する画面）から編集することも出来ます。
テーマの編集に関しては「WordPressのテーマ管理方法とテーマのHTML編集のポイント解説」に記事を書いていますので、そちらを参考にしてください。
　
　
編集するソースコードは、下記のものです。
「functions.php」のどこに書いても問題ありませんが、分かりやすく一番最後に追加しておきましょう。
　
————————–

// WordPressの管理画面ログインURLを変更する
define( 'LOGIN_CHANGE_PAGE', 'wp-login-change.php' );
add_action( 'login_init', 'login_change_init' );
add_filter( 'site_url', 'login_change_site_url', 10, 4 );
add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );
// 指定以外のログインURLは403エラーにする
if ( ! function_exists( 'login_change_init' ) ) {
  function login_change_init() {
    if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {
      status_header( 403 );
      exit;
    }
  }
}
// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える
if ( ! function_exists( 'login_change_site_url' ) ) {
  function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {
    if ( $path == 'wp-login.php' &&
      ( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )
      $url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );
    return $url;
  }
}
// ログアウト時のリダイレクト先の設定
if ( ! function_exists( 'login_change_wp_redirect' ) ) {
  function login_change_wp_redirect( $location, $status ) {
    if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )
      $location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );
    return $location;
  }
}

// WordPressの管理画面ログインURLを変更する

define( 'LOGIN_CHANGE_PAGE', 'wp-login-change.php' );

add_action( 'login_init', 'login_change_init' );

add_filter( 'site_url', 'login_change_site_url', 10, 4 );

add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );

// 指定以外のログインURLは403エラーにする

if ( ! function_exists( 'login_change_init' ) ) {

function login_change_init() {

if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {

status_header( 403 );

exit;

}

// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える

if ( ! function_exists( 'login_change_site_url' ) ) {

function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {

if ( $path == 'wp-login.php' &&

( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )

$url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );

return $url;

}

// ログアウト時のリダイレクト先の設定

if ( ! function_exists( 'login_change_wp_redirect' ) ) {

function login_change_wp_redirect( $location, $status ) {

if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )

$location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );

return $location;

}

————————-
　
ここで追加したソースの中で、各々のサイトで変更する必要がある点がありますので、その説明をします。
　
まず、2行目。
「wp-login-change.php」の部分が管理画面のログイン URLとなるファイル名ですが、最初に作成したファイル名に変更をしましょう。
　
続けて、9行目。
「keyword」の部分は、最初に作成したファイルにも「keyword」の部分があり、そこで設定した文字列と同じものを編集します。
　
　
これで設定は終了です。

新しくなった WordPressの管理画面のログイン URLにアクセスし、ログインできることとログアウトしたら新しいログイン URLに遷移するかどうかを確認出来れば設定完了です。
　
　

プラグインを使わず管理画面のログイン URLを変更する意図

　
WordPressの管理画面のログイン URLを変更するにはプラグインを用いる方法もありますが、プラグインでは処理がブラックボックスになりがちのため、こちらの方法がいいと感じています。
　
　
処理の意味が分かっていれば、何か不具合があった時にも対処方法についての手がより早く見つけることが出来るでしょう。
　
　

管理画面のログイン URLに Basic認証を設定する方法

　
さらなるセキュリティを高めるために、下記のように WordPressの管理画面のログイン URLに Basic認証によるアクセス制限を設定する場合、この方法でログインファイルが明確になっている方が便利である点もこの方法をオススメする理由です。
　
WordPressの管理画面のログインURLに Basic認証を設定する方法については「WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説」に詳細を書いていますので、続けて参照してください。

- WordPressの基本設定

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです！

Message コメントをキャンセル

※入力いただいたコメントは管理者の承認後に掲載されます。

: FC2からWordPressに引越でcanonicalとmeta refreshで転送設定

FC2からWordPressに引越する際の転送設定はcanonicalとmeta refreshの設定でユーザへもGoogle検索エンジンにも引越し情報を伝えられます。

: BackWPupでバックアップ・エラー発生の具体的対処方法事例6

BackWPupその6。エラーが起こったときの対処方法の具体例紹介です。

: WordPressで使うおススメ FTP、テキストエディタ、圧縮解凍ソフト

WordPressサイトを構築、運用するために必要となるFTPソフト、テキストエディタ、圧縮解凍ソフトのオススメソフトを紹介。

: BackWPupでバックアップ・設定したJobの実行、ファイル一覧

BackWPupその4。バックアップ設定した Jobを実行する方法、ログの一覧、保存されたファイル一覧の解説です。

: Meta ManagerでWordPressのキーワード、ディスクリプションを編集

WordPressの基本機能にないキーワード、ディスクリプションを編集するプラグインMeta Managerの解説です。

: XAMPP環境で WP-DBMANAGERでの復元でDBが壊れる

XAMPP環境で WordPressの WP-DBMANAGERを利用して DBの復元をしたら DBが壊れた。

: WordPress　データベースを管理するための強い味方のプラグイン WP-DBMANAGER

データベースを管理するための強い見方のプラグイン「WP-DBMANAGER」の使い方の説明です。

: WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説

管理画面のログインURLにBasic認証を追加することでさらなる極めて高いセキュリティ向上の方法を解説します。

: WordPressのおすすめプラグイン記事のまとめ一覧

WordPressプラグインのまとめ。WordPressのプラグイン紹介記事も多くなってきたため紹介コメント付のプラグインまとめ記事を作成しました。

: BackWPupでWordPressのDBもファイルもバックアップ

BackWPupその1。BackWPupとWordPressのバックアップについての解説。

PREV: WordPress初心者向け講座・詳細解説データベースとは何か？
NEXT: WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説

日	月	火	水	木	金	土
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

WordPressの管理画面ログインURLの変更方法解説

WordPressの管理画面のセキュリティ対策

WordPressを使うことのリスクって？

管理者のアカウント adminを変更する

管理画面のログイン URLを変更する必要性

管理画面のログイン URLを変更する具体的な手順

プラグインを使わず管理画面のログイン URLを変更する意図

管理画面のログイン URLに Basic認証を設定する方法

GoogleAdwords

GoogleAdwords

Message コメントをキャンセル

関連記事

FC2からWordPressに引越でcanonicalとmeta refreshで転送設定

BackWPupでバックアップ・エラー発生の具体的対処方法事例6

WordPressで使うおススメ FTP、テキストエディタ、圧縮解凍ソフト

BackWPupでバックアップ・設定したJobの実行、ファイル一覧

Meta ManagerでWordPressのキーワード、ディスクリプションを編集

XAMPP環境で WP-DBMANAGERでの復元でDBが壊れる

WordPress　データベースを管理するための強い味方のプラグイン WP-DBMANAGER

WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説

WordPressのおすすめプラグイン記事のまとめ一覧

BackWPupでWordPressのDBもファイルもバックアップ

カスタムフィールド決定版！Advanced Custom Fields全項目完全解説・管理画面編

Advanced Custom Fieldsの全項目解説・公開側表示編集編

WordPressプラグイン開発・ショートコード内でincludeするときにはob_start、ob_get_contents

超簡単！Custom Field Templateでカスタムフィールドをフル活用

BackWPupでバックアップ・リストア（復元）の具体的手順