WordPressを用いてサイト運営をしている人にとって、やはりサイトのセキュリティは気になるところです。ウイルスに感染したり、ハッキングされたりすることによって、大切なサイトが機能しなくなってしまうことは避けなければなりません。そのためにも、サイトのセキュリティを高める必要があるのですが、その手段の1つが管理画面のURLの変更です。この記事では、なぜ管理画面のURLを変更した方が良いのか、また、実際に変更するためにはどのようにしたら良いのかについて紹介します。
目次
WordPressの脆弱性
WordPressは、現在世界中で多くのユーザーが使用している大規模なシステムです。オープンソースであり使い勝手がよく、多くのサイトがWordPressを使用しています。しかし、そのユーザー数の多さゆえに不正アタックの対象になりやすい、という面があるのです。また、オープンソースであるからこその脆弱性も無視することはできません。
また、WordPressの脆弱性も幾度となく発見されています。そのような脆弱性を狙い、ハッキングを行うといった例も少なくありません。そのような危険を防ぐためには、WordPressの最新版が示されるたびに自身が使用するサイトを更新する必要があります。このように、WordPress側が対応してくれるようなセキュリティの問題もありますが、WordPressのセキュリティ問題はそれだけでは全てを解決することはできません。自分で設定を変更したり、公式のプラグインを導入したりすることで解決を試みなければならない問題もいくつか存在しています。
そうした問題に対しては、自身の手によってその脅威を遠ざける必要があります。具体的には、ウイルス対策をしたり、ハッキング対策をしたりとさまざまな手段を講じることが必要です。こうした対策の中でも、管理画面のURL変更は効果が高いことで知られているのです。たとえば、不正ログインによく使用される方法として「総当たり攻撃(ブルートフォースアタック)」というものがあります。これは、プログラムを用いて条件を満たすパスワードを全て列挙し、それらを手当たり次第にパスワードとして入力しセキュリティを突破しようとする方法です。この方法を使用された場合、デフォルトの管理画面のログインURLの場合、自身で設定したログインURLに比べて不正に侵入されやすいということがあるのです。このような危険性からサイトを守るためにも、管理画面のログインURLの変更は非常に重要となるのです。
【おすすめプラグイン】1.Limit Login Attempts
そのままデフォルトの管理画面を使用することなく、より安全性の高い管理画面を使用する方法として、プラグインを導入する手段が挙げられます。さまざまなプラグインが用意されていますが、公式のものを選んで使用するようにしましょう。この記事では、管理画面をより強固なものにできるおすすめのプラグインを2つ紹介します。
1つ目は、Limit Login Attemptsというプラグインです。これは、管理画面において規定回数以上ログイン認証に失敗した場合、ログイン処理をロックすることができるプラグインとなっています。これを用いることにより、パスワードを突破するためによく用いられる「総当たり攻撃(ブルートフォースアタック)」を防ぐことが可能です。
WordPressの管理画面からLimit Login Attemptsをインストールすれば、Limit Login Attemptsはすぐに使い始めることができます。また、プラグインの管理画面にて、何回ログインに失敗すればロックするのか、また、ロックする時間はどれくらいかということも、自身で設定することが可能です。加えて、ログインに複数回失敗したユーザーの接続元情報や、ロック回数についても情報を取得することができます。Limit Login Attemptsがしっかりと機能しているかどうかは、ログイン画面にて誤ったパスワードを入力したときのエラーメッセージを確認することで調べることが可能です。Limit Login Attemptsを導入するとエラーメッセージがそれまでとは変わりますので、Limit Login Attempts導入後に一度確認してみましょう。
【おすすめプラグイン】2.Login rebuilder
次に紹介するプラグインは、Login rebuilderです。Login rebuilderでは、不正ログインのためのアタック対象となるログイン画面の存在自体を隠してしまうことができます。ログイン画面は「wp-login.php」というファイルにて管理されており、そのファイル名がそのままログイン画面のURLとなっています。そのファイルを隠してしまえば、そもそも不正ログインするための画面にすらたどり着くことができなくなるということです。
また、Login rebuilderを用いれば、ログイン画面のファイル名も自身で変更することができます。ログイン画面のファイル名を推測不可能なものに変更してしまえば、より一層ハッカーから発見される危険性が低くなります。そうすることで、不正アタックを未然に防ぐことができるのです。
Login rebuilderを使用するためには、プラグインの専用ページからLogin rebuilderをダウンロードする必要があります。そして、ダウンロードできたファイルを解凍し、WordPressのプラグインにアップロードします。その後、WordPressの管理画面にある「プラグイン」からLogin rebuilderを有効化すれば準備完了です。その後、Login rebuilderの設定を変更するなどいくつかの作業をこなせば、実際に使い始めることができます。
管理者のアカウントadminを変更する
不正アタックからサイトを守るためには、プラグインを導入し、より強固なセキュリティ体制を整える必要があります。しかし、安全性を高める方法はプラグインだけではありません。たとえば、管理者のアカウント名を「admin」から変更するという方法も挙げられます。
adminとは、WordPressをダウンロードし、使用し始めたときに、デフォルトで設定されているユーザー名です。WordPressにログインする際には「ユーザー名」と「パスワード」の2つが必要となるのですが、ユーザー名をデフォルトのままadminにしていると、これらのセキュリティを突破されやすくなってしまいます。ユーザー名がadminであれば、ハッキングする側はパスワードだけを探索すれば良いことになるので、アタックにかかる時間も一気に短くなってしまうのです。そのため、adminから推測されにくい名前に変更しておく必要があります。
また、この作業を行う際には、あらかじめサイトのバックアップをとっておくようにしましょう。サイトは、大きく分けるとファイルとデータベースのデータに分けられます。そのことに注意し、それらをもれなくバックアップするようにしましょう。今回のように管理者アカウントを変更したりする作業には、どうしても作業ミスなどの危険が伴います。作業ミスによってデータがなくなってしまったり、一からサイトを作り直さなければならなくなったりすることにならないよう、事前に万が一の事態に備える必要があります。公式に発表されているシステムの中では、バックアップをとることに特化したプラグインなどもありますので、安全性を高めるためにもそれらの導入を検討してみるのが良いでしょう。
管理画面のログインurlを変更する
WordPressを使用したサイトのセキュリティを強固にする方法として、最も重要なのは管理画面のURLを変更することです。実は、デフォルトのままだとWordPressのログイン画面は簡単に見つけられてしまうのです。もちろん、ログイン画面を発見されてしまっただけでは何も起こらず、ユーザー名とパスワードを特定されなければ問題はありません。しかし、簡単にログイン画面までたどり着かれてしまうこと事態、大きなリスクであることはいうまでもありません。
サイトのURL名はファイルにて管理されています。そのため、まずはログインするURLとなるファイルを作成する必要があります。このとき、ファイル名、つまり、ログイン画面のURLはできる限り推測されにくいものにするようにしましょう。そして、ファイルができた後は、そのファイルにログイン画面として必要なコードを記述していきます。サンプルコードやデフォルトの管理画面ファイルを参考にし、間違いのないよう入力しましょう。
その後、「functions.php」というファイルを編集します。ここにて、新しいログイン画面が生成されたことを示す必要があります。そこまでできたら、新しく作成したWordPressの管理画面のログインURLにアクセスし、ログインできることを確認しましょう。また、ログアウトしたときにも、ちゃんと新しいログインURLに遷移するかどうかを確認しておきましょう。このように、ファイルを書き換えたり、新たにファイルを生成したりしたときには、しっかりと動作確認をする必要があります。
ファイルにBasic認証を設定
サイトの閲覧者や管理者を制限したいときには、Basic認証を取り入れることが有効です。たとえば、まだサイトが製作中であり、関係者以外にはまだ公開したくないときなどが挙げられます。また、サイト内の特定のページのみ、閲覧者の制限をかける場合にもBasic認証を利用することが可能です。Basic認証を導入すれば、サイトを開いたときにログインすることが要求されるようになり、ユーザー名とパスワードを知っている人のみが内容を閲覧できるようになります。
Basic認証を設定するためには、まずサーバー上に「.htaccess」がないかどうか確認する必要があります。「.htaccess」がある場合には、次の作業に入る前に万が一に備えバックアップをとっておきましょう。また、このファイルが存在しない場合には、パソコン上で「htaccess.txt」を作成し、FTPソフトなどを使用しファイル名を変更します。そして、「.htaccess」に必要な記述を追記していきます。
その後、同様にして「htpasswd.txt」を作成し、FTPソフトにてファイル名を「.htpasswd」に変更します。また、その後にIDとパスワードを記載する必要が出てくるのですが、パスワードは暗号化されたものを使用するようにしましょう。そのようにして作成された「.htaccess」と「.htpasswd」をアップロードし、準備完了です。ブラウザでアクセスしたとき、ユーザー名とパスワードの入力を促す認証画面が表示されたら、しっかりとBasic認証が導入されている証拠です。
ただし、このとき注意しておきたいこととして、Basic認証を導入したとしても何らかの方法でユーザー名とパスワードが流出してしまった場合、外部からもアクセス可能な状態になってしまいます。ユーザー名とパスワードを複数人で共有するため、どこかから流出するリスクは1人で管理していたときよりも高まってしまいます。そのため、複数人でBasic認証を利用する場合、ログインに必要な情報は、より適正に管理しなければなりません。
Defenderを利用する方法
あまり手間をかけず、できるだけ簡単に管理画面のログインURLを変更したいときには、Defenderというプラグインを使用することがおすすめです。Defenderというプラグインは、ウイルス対策を進めるのに非常に有効なものになっています。Defenderを使用すると、セキュリティキーの調整を数分で追加することが可能です。また、あらゆるレベルにおいてハッカーをブロックし、トラックバックとピングバックを無効にすることもできます。これらは、簡単に相互リンクを行える仕組みのことです。
具体的には、トラックバックは他のブログ記事を参照し、それに関連する記事を自分が書いたとき参考にしたブログの作者に対して関連した記事を書いたことを通知することです。このとき、相手の記事にも関連した記事が書かれたブログがあることを自動で表示させることができます。また、ピングバックは、トラックバックが情報を送信する相手を後から指定できたのに対し、ピングバックは記事の本文中に記載されたリンク先に対して自動的に情報を送信することができます。それらを無効にすることで、不必要なリンクを防ぐことができます。より強固なセキュリティでサイトを守るためには、必要不可欠なプラグインとなっています。
まとめ
WordPressは非常に便利であり、世界中で使われています。オープンソースであるため、簡単にサイトを始められることなどメリットも数多くあるので、ここまで多くのユーザーを獲得できたのでしょう。しかし、だからこそ国内外を問わず不正アタックの対象になりやすいという面もあるのです。そのため、自身のサイトを守るためにも、プラグインを利用したり、ユーザー名やパスワード、ログイン画面のURLを工夫したりすることを通して、少しでも危険性を減らす努力が必要です。
また、セキュリティを強化するためにプラグインを利用する場合、それらは英語にしか対応していないことがほとんどです。さまざまな作業で大変であるのに加え、語学的な障壁もあると作業がさらに困難なものになってしまいます。その点、弊社のサービスは英語を日本語化することができており、さまざまな機能を日本語で理解したうえで、使用することができるというメリットがあります。自身のサイトを守るためにも、さまざまなサービスを利用しつつ、よりセキュリティを強化していくようにしましょう。
コメントを残す