2019年3月3日

 WordPress 導入

【WordPress導入編】Step 03 WPS Hide Loginをインストールする

WordPressは世界中の官公庁、数々の企業やグループ、個人の方が使用しています。これだけ沢山のユーザーがいると、一部の悪意のあるユーザーはウェブサイトやウェブサイトを公開しているディレクトリ、データベースに対してクラッキングを試みます。

ひとつ前のステップまででは、管理画面のURLは以下のままです。

https or http://あなたのドメイン/wp-admin.php
https or http://あなたのドメイン/wp-login.php

WordPressのインストール直後は管理画面がすべて上記になっているので、デフォルトのまま運用してしまうと、悪意のあるユーザーはこの設定を利用し、ブルートフォースアタックなどを仕掛けて強行突破される可能性があります。

つまり、セキュリティ対策としてサイトを運用する人以外の方に、デフォルトの管理画面ログインページのURLアクセスで、ログイン画面が表示されてしまう設定を変更する必要があるというわけです。

プラグインにも、もちろん脆弱性はありますし、プラグインを利用しなくても同じような処理はできますが、この段階では簡単に対策できるプラグインで進めていきます。

1 プラグイン「WPS Hide Login」

「WPS Hide Login」というプラグインは、ログインページのURLを新しく設定し、デフォルトの管理画面ログインページへのアクセスを無効化します。

このプラグインを活用することで、デフォルトの管理画面へのアクセスを防御し、新しいURLから管理画面へのログインを行います。

2 管理画面からプラグインメニューを開く

管理者権限で、ダッシュボードにログインし、左のメニューバーから、「プラグイン」→「新規追加」をクリックしてください。

3 WPS Hide Loginを検索・インストール

プラグインを追加の画面の、上部右側にある、検索窓に「WPS hide login」を入力します。大文字と小文字はどちらでも構いません。

入力が完了すると、WPS Hide Loginというプラグインが検索結果に表示されますので、「今すぐインストール」をクリックします。

4 WPS Hide Loginの有効化

プラグインは、インストールしただけではアクティブな状態になっていません。インストールは、ご自身のサーバー上のWordPressのプラグインフォルダにダウンロードされただけなのです。

機能を使用するには、有効化する必要があります。
インストールが完了したプラグインは、「今すぐインストール」ボタンが、「有効化」というボタンに変わり、カラーも青になります。

早速、「有効化」をクリックしてください。

「有効化」をクリックすると、下のように一覧画面に切り替わり、メッセージが表示されます。

では早速、WPS Hide Loginの設定に進みましょう。

5 WPS Hide Login の設定をする

有効化すると、ダッシュボードの左メニューバーの設定に、「WPS Hide Login」という項目が追加されています。クリックし先に進んでください。

「WPS Hide Login」をクリックすると、「設定メニュー」の「一般」に画面が移動します。この画面の下の方に、WPS Hide Loginの設定欄ができているので、ここに設定内容を入力します。

5-1 Login URL

「Login URL」は、新しい管理画面のURLです。
ドメイン以下をフォームに入力します。

5-2 Redirection URL

「Redirection URL」は、( /wp-admin.php ) や、( /wp-login.php )にアクセスした場合、どの画面を表示するかという設定です。ここは、空欄でも404でもどちらでも構いません。

5-3 新しいURLを確認・保存する

5-1、5-2のステップが完了したら、下の青いボタン「変更を保存」をクリックして保存してください。保存すると、下の画面が表示されます。

管理画面への新しいURLが表示されるので、忘れないようにしっかりメモ帳などに保存します。このURLを紛失してしまうと修正が面倒ですので、 なくさないようにして下さい。

6 新しいURLのテストする

WPS Hide Loginの設定が完了したら、動作を確認する2つのURLがあります。
5の手順で設定した情報に誤りが無いか確認して、一度ログアウトしてください。

6-1 デフォルトのURLの処理が正しいか確認する

WordPressの管理画面ログインのデフォルトのURLは、以下です。

(wp-login)
https://あなたのドメイン/wp-login.php
http://あなたのドメイン/wp-login.php
(wp-admin)
https://あなたのドメイン/wp-admin.php
http://あなたのドメイン/wp-admin.php

このアドレスをブラウザのURLバーに入力し、リダイレクト表示が正しいかを確認します。

それぞれ、404の表示が出れば、リダイレクトの設定は成功です。

/wp-login.php

6-2 ログインURLが正しく表示されるか確認する

次に、新しく設定したURLで管理画面ログインの表示がされるか確認します。ブラウザのアドレスバーに、設定したURLを入力しアクセスしてみてください。

上の図のような画面が表示されたら、管理者のユーザー情報を入力し、ログインしてください。

ログインが正しく処理されていれば、ログインURLの設定は成功です。

6-1、6-2の設定が正しく処理されていれば、設定は完了です。お疲れ様でした。

7 プラグインの状態は定期的に確認する

プラグインは簡単に設定でき、初めての人でもやりたいことが簡単な操作でできるようになっています。

ですが、冒頭の方で述べた通りプラグインもプログラムで構成されているので欠陥や脆弱性が発見されることがあります。

ウェブサイトを適正に、堅牢に運用するためにも、更新情報は定期的にチェックする事をおすすめします。

NOTICE
このページは2019年3月3日に作成されています。閲覧時期によっては情報が古い可能性があります。免責事項をご確認ください。

関連記事

このページのTopへ