WordPress(WP)は最も人気のあるコンテンツ管理システム(CMS)であり、市場シェアのholding 60.8%
ただし、その最も重大な弱点の1つは、非常に多くのWordPressハッカーがWPWebサイトの正面玄関に入る方法を知っていることです。
デフォルトでは、メインのWordPressログインURLはyourdomain.com/wp-admin.phpです。同じデフォルトのログインページにリダイレクトするために使用できる他の2つのURLがあります。(URL)
- yourdomain.com/admin
- yourdomain.com/login
潜在的なハッカーがあなたのログインページを見つけるのをもっと難しくしてみませんか?この記事では、 WordPress(WordPress)管理者のログインURLを変更する方法と理由を説明します。
WordPressのログインURLを変更する理由(Why Change Your WordPress Login URL?)
デフォルトのWordPressログインURL(default WordPress login URL)を使用すると、サイトへのアクセス方法を簡単に覚えることができますが、ハッカーにとっては簡単すぎます。
ログインURLを見つけにくいものに変更することで、少なくともハッカーの速度を落とすことができます。悪意のある攻撃者がWPサイトをハッキングするために使用するさまざまな手法があり、ブルートフォース攻撃が最も一般的です。
ブルートフォース攻撃(brute force attack)とは、ハッカーがユーザー名とパスワードのさまざまな組み合わせを、適切なものが見つかるまで継続的に試行して、サイトにアクセスしようとすることです。
常に成功するとは限りませんが、これらの試みは、アクセス権を取得した場合にサイトに大混乱をもたらす可能性があります。簡単な予防策の1つは、「 12345(12345)」や「abcde 」などの推測しやすいパスワードを使用しないことです。また、ユーザー名にadminを使用しないでください。
毎日1分あたり90,000回以上のハッキングが試みられ(90,000 hack attempts)ていることをご存知ですか?あなたのウェブサイトが小さいか大きいかにかかわらず、あなたのサイトへのハッキングの試みは差し迫っており、避けられません。
ブルート(Brute)フォース攻撃は、HTTPリクエストを連続して繰り返し行うことにより、ホスティングサーバーのメモリを過負荷にします。ハッカーがアクセスできない場合でも、要求の数が非常に多いため、Webサーバーが容量を超えてプッシュされ、サイトがクラッシュする可能性があります。
成功すると、ハッカーは管理者としてWordPress(WordPress)ダッシュボードにアクセスできるようになります。これらすべての問題を防ぐための最も推奨される解決策は、デフォルトのWordPressログインURLを新しいものに変更することです。
WordPressのログインURLを手動で変更する必要がありますか?(Should You Change Your WordPress Login URL Manually?)
ログインページのURLを手動で変更したい場合は、変更しないことを強くお勧めします。FTPまたはその他の方法でWebサイトのファイルに直接アクセスできますが、次の理由からお勧めできません。
- WordPressが更新されるたびに、ログインページファイルが再作成されるため、 URLを再度変更する必要があります。
- ログアウト画面のエラーなど、サイトの機能に誤って問題が発生する可能性があります。
- サイトのコアファイルを変更すると、特に変更する必要がない場合に、意図しない悪影響が生じることがよくあります。
WPS HideLoginPluginを使用する (Use WPS Hide Login Plugin )
WPS Hide Loginは、 (WPS Hide Login)WordPressログインページのURLを安全かつ効率的に変更するための軽量のWordPressプラグインです。(WordPress)
これは、ログインフォームページのURL(URL)を安全かつ簡単に変更できる軽量のプラグインです。書き換えルールを追加したり、ファイルを変更したり、コアファイルの名前を変更したりすることはありません。
代わりに、WPS Hide Loginはページ要求をインターセプトし、wp-login.phpページにアクセスできなくなります。後でアクセスできるように、新しいログインページを書き留めるかブックマークしてください。
WPSHideLoginのインストール方法(How to Install WPS Hide Login)
プラグイン( download the plugin)をダウンロードするか、 WordPressのバックエンドから検索してアップロードできます。[プラグイン](Plugins) >[新規追加(Add New)]に移動します。WordPressプラグインリポジトリ(WordPress Plugin Repository)からWPSHideLoginを検索します。
[今すぐインストール]を(Install Now)クリックして、プラグインをアクティブ化します。(Activate)
プラグインを設定する方法(How to Configure the Plugin)
プラグイン設定にアクセスするには、 [プラグイン](Plugins) >[インストール済みプラグ(Installed Plugins)イン]に移動します。WPSHideLoginプラグインの下の[設定](Settings )をクリックします。
WPSHideLoginセクションまでスクロールダウンします。
上のスクリーンショットでわかるように、2つの決定を行う必要があります。
- 新しいログインURL
- デフォルトのWordPress(WordPress)ページにアクセスしようとするユーザーのリダイレクトURL
新しいログインURLを選択するときは、文字と数字の一意でランダムな組み合わせを使用してください。推測しやすいものを使用すると、WordPressのログインURLを変更するという目的が果たせなくなります。
次の選択肢は、リダイレクトページのURLです。(URL)まだ持っていない場合は、404エラーページを作成することをお勧めします。
404エラーページ(404-error page)がない場合は、そのためのプラグインがあります。
または、ホームページへのリダイレクトを設定できます。完了したら、[変更を保存(Save Changes)]をクリックして新しいURLを有効にします。
新しいWordPressログインURLをテストする(Test Your New WordPress Login URL)
デフォルトのURLを検索バーに入力してみてください。
Yourdomain.com/wp-login
設定が正しければ、下の画像のようなものが表示されます。
何らかの理由でデフォルトのWordPressログインに戻したい場合は、 WPSHideLoginプラグインを無効にしてください。
Is Your Website 100% Safe Now?
誤った安心感を得ないでください。WPS Hide Loginプラグインの使用に加えて、他の予防策を講じてください。
ハッカーは執拗です。彼らは常にウェブサイトを混乱させる新しい方法を探しています。WordPressのログインURLを変更することに加えて、WordPressの基本的なセキュリティのヒントに従う必要があります。
- WordPressのバージョン、プラグイン、テーマを最新の状態に保ちます
- Malcareなどのセキュリティプラグインを使用して、悪意のあるボットや悪意のあるIPアドレスをプロアクティブにブロックします
- SSL証明書をインストールする
- ログイン試行回数の制限プラグインを使用して、ログイン試行回数を制限します(the Limit Login Attempts Reloaded)
- BlogVaultなどのプラグインを使用してファイルをバックアップします
- 一意で安全なパスワードとユーザー名を選択してください
- Google Authenticator – WordPress二(Google Authenticator – WordPress Two) 要素認証(Factor Authentication)(2FA)などの二要素認証プラグインを実装する
ハッカーがあなたのサイトにアクセスするのを防ぐための絶対確実な方法はありません。しかし、それはあなたが彼らのためにそれをより簡単にするべきであるという意味ではありません。
ご覧のとおり、デフォルトのWordPressログインURLを変更するのは簡単で、そうする必要があります。なぜハッカーに玄関の鍵を渡すのですか?
How to Change Your WordPress Login URL for Better Security
WordPress (WP) is the most popular content management system (CMS), holding 60.8% of the market share.
However, one of its most significant weaknesses is that so many WordPress hackers know how to get in the front door of WP websites.
By default, the main WordPress login URL is yourdomain.com/wp-admin.php. There are two other URLs you can use that will redirect to the same default login page:
- yourdomain.com/admin
- yourdomain.com/login
Why not make it more difficult for potential hackers to find your login page? This article will show you how and why to change your WordPress admin login URL.
Why Change Your WordPress Login URL?
Although using the default WordPress login URL is an easy way to remember how to access your site, it also makes it too easy for hackers.
You can at least slow down hackers by changing your login URL to something that’s harder for them to find. There are various techniques malicious actors use to hack a WP site, with brute force attacks being the most common.
A brute force attack is when the hacker tries to get access to your site by continuously trying various combinations of usernames and passwords until they find the right one.
Although they aren’t always successful, these attempts can wreak havoc on your site should they gain access. One simple precaution is not to use passwords that are easy to guess such as “12345” or “abcde”. Also, don’t use admin for your username.
Did you know that there are over 90,000 hack attempts per minute every day? Whether your website is small or large, attempts to hack into your site are imminent and unavoidable.
Brute force attacks overload your hosting server’s memory by repeatedly making HTTP requests in rapid succession. Even if the hacker is not able to gain access, the sheer number of requests is enough to push the web server beyond capacity and can crash your site.
If successful, the hacker will have access to your WordPress dashboard as an admin. The most recommended solution to prevent all of these issues is to change your default WordPress login URL to a new one.
Should You Change Your WordPress Login URL Manually?
If you’re tempted to try to change your login page URL manually, we highly recommend you don’t. Although you can access your website files directly with FTP or other methods, it’s not a good idea for the following reasons:
- Each time WordPress updates, it will recreate the login page file, making it necessary for you to change the URL again.
- You may inadvertently create issues with your site’s functionality, including errors with the logout screen.
- There are often unintended negative consequences when you alter your site’s core files, especially when you don’t have to.
Use WPS Hide Login Plugin
WPS Hide Login is a light WordPress plugin to safely and efficiently change the URL of your WordPress login page.
It’s a light plugin that lets you safely and easily change the login form page URL. It does not add rewrite rules, modify files, or rename core files.
Instead, WPS Hide Login intercepts page requests and renders your wp-login.php page inaccessible. Make sure you write down or bookmark your new login page so you can access it later.
How to Install WPS Hide Login
You can download the plugin or upload it from the backend of WordPress by searching for it. Go to Plugins > Add New. Search for WPS Hide Login from the WordPress Plugin Repository.
Click on Install Now and then Activate the plugin.
How to Configure the Plugin
To access the plugin settings, go to Plugins > Installed Plugins. Click on Settings under the WPS Hide Login plugin.
Scroll down to the WPS Hide Login section.
As you can see in the screenshot above, there are two decisions you must make.
- Your new login URL
- The redirect URL for people who try to go to your default WordPress page
When choosing your new login URL, use a unique and random combination of letters and numbers. If you use something easy to guess, you will be defeating the purpose of changing your WordPress login URL.
Your next choice is the URL of the redirection page. One suggestion is to create a 404-error page if you don’t already have one.
If you don’t have a 404-error page, there’s a plugin for that.
Or, you can set the redirection to your home page. When done, click Save Changes for the new URL to take effect.
Test Your New WordPress Login URL
Try typing your default URL into a search bar:
Yourdomain.com/wp-login
If your settings are correct, you should see something like the image below.
If you want to return to the default WordPress login for any reason, deactivate the WPS Hide Login plugin.
Is Your Website 100% Safe Now?
Don’t get a false sense of security. Take other precautions in addition to using the WPS Hide Login plugin.
Hackers are relentless. They are always looking for new ways to disrupt websites. In addition to changing your WordPress login URL, you should follow basic WordPress security tips.
- Keep your WordPress version, plugins, and themes up to date
- Use a Security Plugin such as Malcare to block bad bots and malicious IP addresses proactively
- Install an SSL Certificate
- Use the Limit Login Attempts Reloaded plugin to limit login attempts
- Back up your files with a plugin such as BlogVault
- Choose a unique and secure password and username
- Implement a two-factor authentication plugin such as Google Authenticator – WordPress Two Factor Authentication (2FA)
There’s no foolproof way to prevent hackers from accessing your site. However, that doesn’t mean you should make it easier for them.
As you can see, changing the default WordPress login URL is simple to do and you should. Why give hackers the key to your front door?
