出典:写真AC

WordPressを使ったことのある人なら分かると思いますが、デフォルトの管理画面のURLは、[http(またはhttps)://ドメイン名/wp-admin]となります。

https化していない人も山ほどいますが、WordPressの管理画面も未だにデフォルトのままの人が多いです。
テキトウにWordPressを使っている人のサイトで上記のURLにアクセスすると簡単に管理画面にアクセスできます。
そこで今回は、管理画面を隠蔽しないとどうなるのかについて記載したいと思います。

管理画面を隠蔽しないとどうなるのか

httpsしていないのはもっての外ですが、管理画面を隠蔽しないと簡単にアクセスできてしまいます。
ブルートフォース攻撃(いわゆる総当たり攻撃)という手あたりパスワードを次第入力してログイン情報を解読する手法を用いられれば時間はかかるでしょうがいずれ解読されてしまいます。

一度解読されてしまったらせっかく作り上げたWebサイトも乗っ取られてしまい、データの改ざんやデータ破壊などの被害に遭う可能性があります。
このような被害に遭わないためにはデフォルトの管理画面のURLを変更するのが有効です。

何もしなければ誰でも玄関にたどり着いてしまいますが、デフォルトのURLを変更しておけば簡単には管理画面のURLを見つけることができなくなり、セキュリティを向上させることができます。

『WPS Hide Login』を使用する

「WPS Hide Login」は、インストールすると設定画面からデフォルトの管理画面を隠蔽することができます。
使用者が任意で決めた文字列が管理画面のURLになるので悪意を持った人間から自分のWebサイトを守ることができます。

設定方法

[プラグイン] > [新規追加]をクリックします。

プラグイン 新規追加

キーワードに「WPS Hide Login」と入力し、「今すぐインストール」をクリックします。

WPS Hide Login

[有効化]をクリックします。

WPS Hide Login_2

[Settings]をクリックします。

WPS Hide Login_3

赤枠の部分に任意の文字列を入力します。
デフォルトは[login]となります。
ここで入力した文字列が管理画面の新しいURLとなります。

入力したら[変更を保存]をクリックします。

WPS Hide Login_4

URLをメモしておき、一度管理画面からログアウトします。
新しいURLで管理画面にアクセスできることを確認し完了となります。

Basic認証で対処する

プラグインを増やしたくないという人は、Basic(ベーシック)認証を設けることでも対処できます。
Basic認証は、特定のページにアクセスした際、アクセスしたユーザに対して[ユーザ名]と[パスワード]を入力させることができる認証方式となります。

Basic認証

管理画面の場所が知られていても容易にアクセスされることを防げます。
エックスサーバであれば、画面上での操作だけで簡単にBasic認証を設定することが出来ますが、これから紹介する手順は汎用的な使い方となります。
そのため操作が複雑で難しくなります。

.htaccessを編集する

エックスサーバであれば、[.htaccess編集]から.htaccessの編集画面にアクセスできます。

htaccess

他のレンタルサーバであれば、そのサーバのやり方で.htaccessにアクセスしてください。
独自でサーバを構成している場合は、ドキュメントルートに.htaccessを作成してください。(ファイル名の先頭に「ドット」が入っていることに注意)

以下をコピーして貼り付けます。
そして、[AuthUserFile]にドキュメントルートを記述します。

Satisfy Any
AuthType Basic
AuthName "Input your ID and Password."
AuthUserFile /[ドキュメントルート]/.htpasswd
require valid-user

SetEnvIf Request_URI "/wp-admin" dir_auth
Order Allow,Deny
Allow from all
Deny from env=dir_auth

.htpasswdを作成する

先程は、.htaccessでしたが今回は.htpasswdを作成します。
似ていますが、異なるものです。

以下のサイトにアクセスします。

https://www.luft.co.jp/cgi/htpasswd.php

IDにBasic認証のユーザ名を、PasswordにBasic認証のパスワードを入力します。
そして生成ボタンをクリックします。

Basic認証_生成

「.htpasswd:」に出てきた文字列をコピーします。

以下のサイトから[Teraterm]というツールをインストールしてください。
基本全てデフォルトで良いので「OK」や「次へ」をクリックしていきましょう。
https://forest.watch.impress.co.jp/library/software/utf8teraterm/

エックスサーバを使用している場合は、以下の手順に従ってSSH設定を行いましょう。
SSH接続機能について

SSH設定が終わったらSSHでアクセスします。
SSHソフトの設定(Tera Term)

以下のコマンドでドキュメントルートにアクセスします。

  • エックスサーバを使用している場合
cd /[アカウント名]/[独自ドメイン名]/public_html/

 

  • 独自でサーバを構成している場合
cd /[ドキュメントルート]

 

.htpasswdを作成します。

  • 共通のコマンド
vi .htpasswd

 

キーボードの「Insert」キーを押し、先程のサイトでコピーした文字列を右クリックで貼り付けます。
ファイルを保存します。

  • 共通のコマンド
:wq

 

試しに管理画面へアクセスしてみましょう。
このようなポップアップが表示され、設定したユーザIDとパスワードを入力し、管理画面が開ければ正しく設定が行われています。
Basic認証

設定に誤りがあると何も起こらなかったり、通常のページにBasic認証が掛かってしまったりするので注意が必要です。

スポンサーリンク

おすすめの記事