WordPressの初期設定では、ログインページURLが全て共通です。トップページの後ろに「/wp-login.php」を付けるとアクセス可能です。ログインページに容易にアクセスできることは、不正ログインのリスクが生じます。つまり、セキュリティ上の懸念があります。
ログインページにアクセスできることの危険性と、対策方法を解説します。
この記事は、こんな疑問に答えています
・WordPressの初期のログインURLは?
・不正ログインの危険性は?
・ログインページを変更するには?
この記事はWordPress初心者向けです
・WordPressの運営者
・セキュリティが気になる方
・不正アクセス対策をしたい方
この記事を読むのにかかる時間:約 9 分
目次
WordPressのログインページURLとは?
WordPressのログインページは、トップページのURLの後ろに「/wp-login.php」を付けます。初期設定では全てのWordPressで共通です。また、「/admin」や「/login」を付けるとログインページに転送されます。
おそらく、初期設定のままで使用しているWordPressが大半です。この場合、ログインページには誰でも簡単にアクセスが可能です。
ちなみに、日本のウェブサイトの82.3%がWordPressを使用しています。つまり、多くの人がWordpressのログインページURLを知っています。
第三者がログインページにアクセスできる危険性
第三者がログインページURLにアクセスできることは、セキュリティ上のリスクです。つまり、不正ログインで第三者が管理画面に侵入する危険性が高まります。なぜなら、入り口が分かると侵入される危険性があります。一方、入り口が分からなければ侵入されるリスクは減ります。
企業が公式ウェブサイトで利用している場合には、ブランドに悪影響を及ぼす投稿がされる可能性があります。また、これまで積み重ねてきた記事系コンテンツが削除される危険もあります。
もちろん、ログインページにアクセスしても、多くの人はログインできません。しかし、ハッカーによる総当たり攻撃や、辞書攻撃、リスト攻撃によって不正ログインされる可能性はゼロではありません。
ハッカーによる攻撃の仕組み
ハッカーは、ユーザー名やパスワードを知らないサイトへの侵入を試みます。不正ログインのための攻撃方法はさまざまです。その代表的な方法は「総当たり攻撃」、またの名を「ブルートフォースアタック」と言います。ここでは総当たり攻撃の仕組みを解説します。
3桁や4桁のダイヤル式の南京錠の番号が分からなくなった経験はないでしょうか。どうしても外したい場合には、3桁であれば「000」から「999」までを順番に試します。
これがいわゆる総当たり攻撃の仕組みです。もちろん、パスワードの場合には桁数が多いのでパターンは膨大です。しかし、ハッカーはこれを攻撃用のプログラムを使用して不正ログインを試みます。
一度に何兆もの組み合わせ処理
パスワード管理ツールの大手KEEPERのウェブサイトには、次のような記述があります。
攻撃者は、高性能のコンピュータを使用して、文字、数字、記号のあらゆる組み合わせを試します。これは非効率的に見えるかもしれませんが、コンピュータの中には一度に何兆もの組み合わせを処理できるものもあります。
KEEPER「ブルートフォース攻撃とは?」
つまり、私たちがダイヤル式南京錠で1000パターンを試す前に、ハッカーは何兆ものパターンでの不正ログインを試みます。この対策として、ログインページURLの変更が有効です。
ログインページURLを変更するセキュリティ対策
このため、ログインページのURLを変更することが好ましいです。ユーザー名やパスワードの入力欄が第三者に見えないことが重要です。これによって、多くのハッキング攻撃を未然に防ぐことができます。
また、ログインURLの変更と合わせて行いたい施策があります。例えば、画像認証(CAPTCHA)の導入や、ログイン失敗時のロックなどです。これらの対策があることで、さらにセキュリティ面での不安が取り除けます。
まずはログインページにアクセスさせないことが重要です。そして、不正な操作を行わせないこともまた重要です。
ログインページURLを変更する方法
WordPressのログインページURL変更で最も簡単なのは、プラグインを使用することです。
セキュリティ対策のためにログインページURLが変更できるプラグインは数多くあります。しかし、プラグインそのものが怪しい場合があります。つまり、プラグイン選びを間違うと、プラグインを通じてハッキング行為が行われる可能性があります。
SEOポータルでは、WordPressのセキュリティ対策プラグインとして「SiteGuard WP Plugin」を推奨しています。日本企業により作成された国産プラグインで安心感があります。プラグインをインストールして有効化するだけで、ログインページURLが変更されます。
ログインページURLの変更まとめ
WordPressのログインページURLは全て共通です。このため、第三者でも容易にアクセスが可能です。ログイン画面が表示されると、ハッキングされるリスクが高まります。
セキュリティ対策プラグインを導入することで、ログインページURLの変更が可能です。インストールと有効かだけの簡単な作業ですので、是非試してみてください。
最後まで読んでいただいて、ありがとうございました。
投稿者プロフィール
- コンテンツSEOライター
- 大学在学時よりライターとしてアルバイトを始め、現在はプロのライターとしてSEOを意識した記事系コンテンツを執筆しています。
最新の投稿
WordPress2024年3月5日Yoast SEOプラグインで検索エンジン最適化
コンテンツSEO2024年3月5日孤立したコンテンツへの対応
サービス案内2024年3月5日大阪の記事執筆代行ならSEOポータル
コンテンツSEO2024年3月4日LPデザイン集12選!国内&海外のランディングページ集
