WordPressの管理画面ログインURLの変更方法解説

2014/08/04 2014/12/07

WordPressの管理画面のセキュリティ対策

WordPressを使うことのリスクって？

　
WordPressは、全世界で多くのユーザが利用しているシステムですので、不正アタックの対象になりがちです。
特に、デフォルトのままでは管理画面のログイン URLは決まっていますし、IDも adminになっていることをみんなが知っていますので、そのまま利用している場合は非常に危険です。
　
総当たり攻撃と呼ばれるブルートフォースアタックで不正にログインする場合は、まず管理画面のログイン画面 URLが分からなといけないわけですが、WordPressの場合はデフォルトの管理画面のログイン URLは誰でも知っているわけですから、デフォルトのままでは最初のカギを開けてしまっているようなものです。
さらには、IDを adminのままにしているということは、関門としてある管理画面のログイン URL、ID、PASSの 3つあるカギのうち、最初の 2つのカギを掛けていないことと同じことですので、後はパスワードさえわかってしまえば、不正アクセスされてしまうことになってしまいます。
　
　
そうならないためにやるべきことは下記の 3点です。

管理者のアカウント adminを変更する
管理画面のログイン URLを変更する
WordPressの管理画面ログインURLファイルにBasic認証を設定

管理者のアカウント adminを変更する

　
最初の管理者のアカウント adminを変更するという点ですが、これによって、3つあるカギのうち一つのカギをかけることができます。
　
これは誰でも簡単に設定できるものですので、別ページ「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」を参考にしていただきながら是非とも対応してください。
　
　

管理画面のログイン URLを変更する必要性

　
WordPressの管理画面のデフォルトの URLは、以下のいずれかです。
　http://{WordPressが入っているURL}/wp-admin
　http://{WordPressが入っているURL}/wp-login.php
　
上記のいずれの URLでもログインできます。
「wp-admin」は管理画面の処理が入っているフォルダがこの名称ですので、分かりやすい URLともいえますが、実際のログイン処理をしているファイルという意味では「wp-login.php」になりますので、こちらのログイン URLの方がいいかもしれません。
　
また、「wp-admin」の管理画面のログイン URLではトラブルが発生してうまくログインできない場合が起こる場合もありますが、「wp-login.php」では問題なくログインできる場合もありますので、「wp-login.php」の方がよりトラブルに強いともいえるでしょう。
　
実際に利用する場合はどちらでも問題ありません。
　
　
上記の通り、WordPressは、デフォルトのままでは管理画面ログイン URLがどのサイトも同じになっていますので、そのサイトが WordPressを利用している、ということが分かれば管理画面のログイン URLも分かってしまうということになります。
そうすると、そのログイン画面に対してブルートフォースアタックを行うチャンスを与えてしまうことになります。
　
そうしないためには、WordPressの管理画面のログイン URLを変更してしまえばいいわけです。
　
　

管理画面のログイン URLを変更する具体的な手順

　
それでは、実際に WordPressの管理画面のログイン URLを変更する具体的な手順を解説していきます。
　
　
まず最初に、ログインする URLになるファイルを作成します。
　
　http://{WordPressが入っているURL}/wp-login-change.php
例えば、管理画面のログイン URLを上記のようにしたい場合は、「wp-login-change.php」のファイルを作成します。このファイル名がそのまま URLになりますので、好きなファイル名を付けていただいて問題ありません。ただ、パスワードと同じくあまり短くない方が好ましいでしょう。
　
ファイルを作成する場所は、WordPressがインストールされているルートフォルダです。
本来のログインファイルである「wp-login.php」と同じ場所に作成します。
　
また、ファイルには下記のコードを記述します。
　
————————-

<?php
define( 'LOGIN_CHANGE', sha1( 'keyword' ) );
require_once './wp-login.php';
?>

<?php

define( 'LOGIN_CHANGE', sha1( 'keyword' ) );

require_once './wp-login.php';

————————-
　
2行目の「keyword」の部分はこのプログラム上のキーワードになる部分ですので、好きなものに変更をしてください。
　
　
次は、WordPressの要となる「functions.php」を編集します。
　
「functions.php」は下記の場所にあります。
/{WordPressがインストールされている場所}/wp-content/themes/{テーマ名}/functions.php
　
「WordPressの functions.phpがある場所」に詳しく書いていますのでそちらも参考にしてください。
　
　
もしくは、テーマの編集画面（「外観」－「テーマ編集」から移動する画面）から編集することも出来ます。
テーマの編集に関しては「WordPressのテーマ管理方法とテーマのHTML編集のポイント解説」に記事を書いていますので、そちらを参考にしてください。
　
　
編集するソースコードは、下記のものです。
「functions.php」のどこに書いても問題ありませんが、分かりやすく一番最後に追加しておきましょう。
　
————————–

// WordPressの管理画面ログインURLを変更する
define( 'LOGIN_CHANGE_PAGE', 'wp-login-change.php' );
add_action( 'login_init', 'login_change_init' );
add_filter( 'site_url', 'login_change_site_url', 10, 4 );
add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );
// 指定以外のログインURLは403エラーにする
if ( ! function_exists( 'login_change_init' ) ) {
  function login_change_init() {
    if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {
      status_header( 403 );
      exit;
    }
  }
}
// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える
if ( ! function_exists( 'login_change_site_url' ) ) {
  function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {
    if ( $path == 'wp-login.php' &&
      ( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )
      $url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );
    return $url;
  }
}
// ログアウト時のリダイレクト先の設定
if ( ! function_exists( 'login_change_wp_redirect' ) ) {
  function login_change_wp_redirect( $location, $status ) {
    if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )
      $location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );
    return $location;
  }
}

// WordPressの管理画面ログインURLを変更する

define( 'LOGIN_CHANGE_PAGE', 'wp-login-change.php' );

add_action( 'login_init', 'login_change_init' );

add_filter( 'site_url', 'login_change_site_url', 10, 4 );

add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );

// 指定以外のログインURLは403エラーにする

if ( ! function_exists( 'login_change_init' ) ) {

function login_change_init() {

if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {

status_header( 403 );

exit;

}

// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える

if ( ! function_exists( 'login_change_site_url' ) ) {

function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {

if ( $path == 'wp-login.php' &&

( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )

$url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );

return $url;

}

// ログアウト時のリダイレクト先の設定

if ( ! function_exists( 'login_change_wp_redirect' ) ) {

function login_change_wp_redirect( $location, $status ) {

if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )

$location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );

return $location;

}

————————-
　
ここで追加したソースの中で、各々のサイトで変更する必要がある点がありますので、その説明をします。
　
まず、2行目。
「wp-login-change.php」の部分が管理画面のログイン URLとなるファイル名ですが、最初に作成したファイル名に変更をしましょう。
　
続けて、9行目。
「keyword」の部分は、最初に作成したファイルにも「keyword」の部分があり、そこで設定した文字列と同じものを編集します。
　
　
これで設定は終了です。

新しくなった WordPressの管理画面のログイン URLにアクセスし、ログインできることとログアウトしたら新しいログイン URLに遷移するかどうかを確認出来れば設定完了です。
　
　

プラグインを使わず管理画面のログイン URLを変更する意図

　
WordPressの管理画面のログイン URLを変更するにはプラグインを用いる方法もありますが、プラグインでは処理がブラックボックスになりがちのため、こちらの方法がいいと感じています。
　
　
処理の意味が分かっていれば、何か不具合があった時にも対処方法についての手がより早く見つけることが出来るでしょう。
　
　

管理画面のログイン URLに Basic認証を設定する方法

　
さらなるセキュリティを高めるために、下記のように WordPressの管理画面のログイン URLに Basic認証によるアクセス制限を設定する場合、この方法でログインファイルが明確になっている方が便利である点もこの方法をオススメする理由です。
　
WordPressの管理画面のログインURLに Basic認証を設定する方法については「WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説」に詳細を書いていますので、続けて参照してください。

- WordPressの基本設定

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです！

Message コメントをキャンセル

※入力いただいたコメントは管理者の承認後に掲載されます。

: WordPressのユーザ名を後から変更する方法。adminの使用は危険。

運用中のユーザ名を変更する方法を解説。かつてのデフォルト設定だった「admin」は誰もが使うIDのため非常に危険です。今からでも変更しましょう。

: WordPressのパーマリンク設定の考え方

基本設定の一つであるパーマリンクの設定について解説。パーマリンクはURLを決定づける重要な項目ですので、設定の意味を理解して希望するURLになるよう設定しましょう。

: 30分でWordPressを引越し・他のサーバに引越しや開発環境の構築手順

WordPressを他のサーバに引っ越しするとき、テスト環境を作るときなどの作業手順をまとめました。プラグインを使う方法もありますが手作業でも簡単です。

: WordPressの確認画面付フォーム MW WP Formの使い方詳細解説

WordPressの確認画面付お問い合わせフォームプラグイン「MW WP Form」の詳細解説をしています。

: FC2からWordPressに引越。インストールなど必要な全てを解説

FC2からWordPressへの引越し解説。内容は引越しメインではなくこれからWordPressでブログを構築する方向けのブログ構築の解説記事です。

: Smart Update PingerでWordPressのPing・更新情報サービスを拡張する

WordPressの Ping機能、更新情報サービスのプラグイン Smart Update Pingerの使い方と問題点。

: BackWPupでバックアップ・エラー発生の具体的対処方法事例6

BackWPupその6。エラーが起こったときの対処方法の具体例紹介です。

: WordPressのCrayon Syntax Highlighterの使い方

PHP、HTMLなどのソースコードを紹介する際に見やすく編集してくれる Crayon Syntax Highlighterの設定の方法、利用方法の解説です。

: WordPressのログイン画面 URLを変更する　管理画面に Basic認証を設定する

ログインURLは誰でも知っています。そのまま使うとリスクが高まりますのでログインURLを変更し Basic認証で二重チェックをする方法を解説。

: WordPressの Google XML Sitemapsで WebMaster Tools用の sitemap.xmlを生成

WordPressの Google XML Sitemapsで WebMaster Tools用の sitemap.xmlを生成する方法を説明しています。

PREV: WordPress初心者向け講座・詳細解説データベースとは何か？
NEXT: WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説

日	月	火	水	木	金	土
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

WordPressの管理画面ログインURLの変更方法解説

WordPressの管理画面のセキュリティ対策

WordPressを使うことのリスクって？

管理者のアカウント adminを変更する

管理画面のログイン URLを変更する必要性

管理画面のログイン URLを変更する具体的な手順

プラグインを使わず管理画面のログイン URLを変更する意図

管理画面のログイン URLに Basic認証を設定する方法

GoogleAdwords

GoogleAdwords

Message コメントをキャンセル

関連記事

WordPressのユーザ名を後から変更する方法。adminの使用は危険。

WordPressのパーマリンク設定の考え方

30分でWordPressを引越し・他のサーバに引越しや開発環境の構築手順

WordPressの確認画面付フォーム MW WP Formの使い方詳細解説

FC2からWordPressに引越。インストールなど必要な全てを解説

Smart Update PingerでWordPressのPing・更新情報サービスを拡張する

BackWPupでバックアップ・エラー発生の具体的対処方法事例6

WordPressのCrayon Syntax Highlighterの使い方

WordPressのログイン画面 URLを変更する　管理画面に Basic認証を設定する

WordPressの Google XML Sitemapsで WebMaster Tools用の sitemap.xmlを生成

カスタムフィールド決定版！Advanced Custom Fields全項目完全解説・管理画面編

Advanced Custom Fieldsの全項目解説・公開側表示編集編

WordPressプラグイン開発・ショートコード内でincludeするときにはob_start、ob_get_contents

超簡単！Custom Field Templateでカスタムフィールドをフル活用

BackWPupでバックアップ・リストア（復元）の具体的手順