当ブログの独自ドメイン「sou-hei.com」は、取得してからかれこれ4年ほど経っています。
「Life Buffering Media」とタイトルを付けネットビジネスの情報発信ブログとして本格運用し始めたのは、まだ2年も経っていませんが、ワードプレスを使い始めたのはドメイン取得と同時期。
当時は使いこなせていなかったとはいえ、もう4年もワードプレスにログインして、記事の編集やらブログデザインのカスタマイズなどの作業を行ってきたんですよね。
で、最近ふと気になることがありまして。
だけど、ブロックされていたとしても不正アクセスを試行されている可能性はあるわけで、じゃあどのくらい試行されているもんなんだと。
気になって調べてみたところ、思ってた以上に不正アクセスが試行されていまして…。
正直ビビりました。
なので、今後は不正アクセスの試行も確実になくすために、ワードプレスのログインURLを変更してみましたよ。
本記事では、不正アクセス試行のチェックから、その対策としてログインURLを変更するところまで、全てプラグインを使って実現する方法を解説していきます。
そもそもなぜ不正アクセスが多発するのか?
そもそも、なぜ不正アクセスが何度も試行されるかと言うと、一番大きな原因はワードプレスへのログインURLがフォーマット化されているからです。
独自ドメインを取得し、ワードプレスをインストールしたら、初期状態で以下のようにワードプレスへのログインURLが決定されます。
初期設定のログインURL
- http://ドメイン名/wp-admin
ドメイン名の後ろに「/wp-admin」を付けるだけで、ワードプレスのログインURLとなるわけですね。
ドメイン名まではブログのURLそのものですから、ブログのトップページを表示させて、そのURL欄の末尾に「/wp-admin」と付けるだけで簡単にログインURLを開くことができちゃうぞと。
(ちなみに、「/wp-admin」以外にも、「/wp-login」などでもログインURLを開くことが可能です。)
例えば、こちらが当Life Buffering Mediaのトップページです。
黄色マーカーで示すブログのURLの語尾に「/wp-admin」と入力します。
あとはクリックを押すだけで、簡単にワードプレスのログイン画面を表示させることが出来ちゃうんですよ。
ドメインがワードプレスで運用されているのであれば、いつでもどこでも誰でも簡単にログイン画面を開けてしまうという、とても機密性の低い初期設定仕様となっているわけですね。
後述しますが、すでにこのブログのログインURLは変更済みですので、語尾に「/wp-admin」を付けてもブログトップページに飛ぶだけです。
これでは、実際にログインできるかどうかはともかくとして、ログインを試行すること自体は簡単に出来てしまうんです。
特に、ブログで使用しているハンドルネームとワードプレスのログインユーザー名を統一している方なんて最悪ですよね。
ログインに必要な情報はパスワードだけですから、繰り返し不正アクセスを試行されていつしか本当にログインされてしまう恐れもあるんですよ。
そんなわけで、初期状態のログインURLをそのまま使い続けていると、不正アクセスにあう可能性が十分あると思ってください。
プラグイン『Crazy Bone』でログイン履歴を残してみる
そんな注意喚起をしている僕自身も、つい最近まで初期設定のままのURLでワードプレスにログインしていました。
不正アクセスなんてあまり意識してなかったんですけど、「ブログURLの後ろにwp-admin付けるだけって誰でもマネできちゃうよな」なんてふと考えが湧いて不安になったんですよ。
ということで、実際に自分以外のログイン試行があるか否かを確認してみることに。
調べてみると、『Crazy Bone』というプラグインで過去のログイン履歴情報を残してくれるようです。
参考 Crazy Boneワードプレスプラグインそこでさっそく『Crazy Bone』をインストールして有効化しました。
ワードプレスの管理画面から、「プラグイン」の「新規追加」へと進んで、『Crazy Bone』でキーワード検索をします。
そして、表示された該当プラグインの「今すぐインストール」をクリックし、インストール後に表示される「有効化」をクリック。
これにて『Crazy Bone』を使用する準備が整いました。
続けて、管理画面の「ユーザー」から「ログイン履歴」を選択しましょう。
今後は、ここにログイン・ログアウトの履歴が残っていきます。
IPアドレスとユーザーエージェントの項目を確認すれば、自分のログインか否か一目瞭然です。
上画像は『Crazy Bone』を有効化してすぐなので、ログイン・ログアウト履歴が3回分しか表示されていません。
全て同一のIPアドレスと同一のPCなので、これは僕自身のログイン・ログアウトであることがわかります。
ステータスの欄を見れば、「login」「logout」の表示がありますが、仮にログインに失敗した場合はここに「login error」と表示されます。
要するに、不正アクセス試行は、ステータスが「login error」でIPアドレスなども普段自分が使うものとは別ものであるため、履歴をチェックすればすぐに不正アクセスが試行されているか否かを確認することが可能です。
で、しばらくこのままワードプレスを運用してみたんですが…
とはいえ、それが分かれば対策のしようもあるので、ここで不正アクセスの多さが分かってよかったなと。
プラグイン『Login rebuilder』でログインURLを変更してセキュリティ対策
上述したとおり、不正アクセスの主な原因はワードプレスのログインURLにあると思われます。
初期設定のままだと、ログインURLは簡単に検討がついてしまうので、それが不正アクセスの原因になっているということですね。
ワードプレスのログインURLを変更するには、通常はサーバーのFTPにアクセスしてPHPファイルをいじる必要があり、難しくて面倒な作業をしないといけないなぁと思っていたんですが…。
調べてみると、最近は簡単にログインURLを変更することができる便利なプラグインがあるようでして。
それが、『Login rebuilder』です。
参考 Login rebuilderワードプレスプラグインこれもさくっとインストールして有効化しましょう。
「プラグイン」の「新規追加」を開いて、「Login rebuilder」でキーワード検索。
出てきた対象プラグインの「今すぐインストール」をクリックして、インストールが完了したら「有効化」をクリックします。
続いて、「設定」から「ログインページ」を選択してクリックしましょう。
すると、ログインURLの変更設定画面が表示されます。
まずは基本の設定を行いましょう。
Login rebuilder設定項目
- 無効なリクエスト時の応答
「サイトトップへリダイレクト」を選択しておきましょう。
これにより、不正アクセス目的でwp-adminのURLを開こうとしても、サイトのトップページが表示されるようになります。 - ログインファイルキーワード
デフォルトでランダム文字列が入力されているので、基本的にはそのままでOKです。 - 新しいログインファイル
ここで変更後のログインURLを指定しましょう。
青線で示した「.php」の前の部分には、最初はドメイン名が入力されていますが、ここを修正することにより黄線で示すログインURLに変更することができます。
せっかく修正するわけですから、ランダムに構成した長めの文字列を入力したり、英文字と数字を組み合わせた複雑な文字列を入力したりと、誰にも知られることのないログインURLにするといいですね。
「新しいログインファイル」の項目でログインURLを変更したら、変更後のURL(黄線の部分)をブックマークに入れておくなり、メモに残すなりしておきましょう。
今後はそのURLでワードプレスにログイン・ログアウトすることになりますので。
あとは、ステータスの項目で「稼働中」にチェックを入れて、「変更を保存」をクリックします。
これでログインURLの変更は完了です。
実際にログインURLが変わったかを確認するため、以下のとおり一旦ワードプレスからログアウトしましょう。
ログアウトを完了し、変更後のログインURLを開いてみました。
はい、このように新しいログインURLでワードプレスのログイン画面が表示されましたね。
ついでに、以前までのログインURLを開いてみました。
「https://sou-hei.com/wp-login」でブックマークしていたので、これをクリック。
すると、以下のようにブログのトップページが表示され、ワードプレスのログイン画面は表示されなくなっていました。
これにて、不正アクセスに対するセキュリティ対策をすることができました。
終わりに
実際に不正アクセスがなくなったかどうかは、今後も『Crazy Bone』でログイン履歴を取り続けて、いずれその報告をしようと思います。
まあ少なくとも、初期設定のログインURLのままにしているよりは確実に減るんじゃないかと。
ワードプレスはブログ初心者にも使いこなしやすくてとても便利なんですけど、それだけに勉強を怠りがちというか、ワードプレスに促されるがままに操作してしまうんですよね。
そうすると、今回のような問題にも気づきにくいので、ワードプレスがいくら便利だと言っても多少の知識は付けつつブログ運用を進めていくべきだと改めて考えさせられました。