WordPressのログインURLを変更して404エラーで返す【サイトセキュリティ強化】

WordPressを使っているサイトのログイン画面は、基本的に末尾に「wp-login.php」もしくは「wp-admin」を付ければ誰でもアクセスすることができます。

https://ドメイン/wp-login.php
https://ドメイン/wp-admin

また、ユーザー名は末尾に「?author=1」を付ければ表示されます。

https://ドメイン/?author=1

よって、何の対策もしていない人は、あとはブルートフォースアタックによりパスワードを特定されれば、簡単にアクセスされることになります。

.htaccessでログインURLを変更

ログインURLを変更することにより、アクセスされても「404 not found」で返して侵入を防ぎます。

https://ドメイン/wp-login.php/任意の文字列

まずは任意の文字列を考えます。ランダムな英数字、もしくは、ググってみて検索に引っかからない文字が良いかと。

コードを.htaccessファイルに追記します。WordPressの場合は「public_html」の中に入っています。

◆【FTPソフト】FileZillaのインストール&接続方法

.htaccessファイルをテキストエディタで編集します。

◆サクラエディタのインストール方法

次のコードをコピペで追記し、文字を置き換えます。

  • 「サイトURL」5か所
  • 「文字列」4か所
# Login URL
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^enter/?$ /wp-login.php?文字列 [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /not_found [R,L]
RewriteRule ^dashboard/?$ /not_found [R,L]
RewriteRule ^register/?$ /wp-login.php?文字列&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)サイトURL/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)サイトURL/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)サイトURL/enter
RewriteCond %{HTTP_REFERER} !^(.*)サイトURL/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)サイトURL/register
RewriteCond %{QUERY_STRING} !^文字列
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?文字列 [R,L]
</IfModule>

エディタの置換機能を使うと間違いが少なくて済みます。

上書き保存をしたら、FTPなどでファイルを上書きします。

正しく反映されると「https://zbnr-hp.com/wp-login.php」にアクセスされた場合「404 Not Found」エラーとなります。

尚、固定IPの場合は次のコードを記載すると良いです。「IPアドレス」の部分にIPを入れます。

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from IPアドレス
</Files>

Google Authenticatorと併用するとセキュリティの強度は更に増すので、ぜひ設定しておきたいですね。

◆プラグインGoogle Authenticatorでセキュリティを強化【WordPress二段階認証】

タイトルとURLをコピーしました