アドセンス審査に3回落ちたゲーム攻略ブログ運営者が気づいたこと|合格できた改善ポイントを解説
tora
TORA-WORK
【今すぐやれ】ワードプレスのログインURLを変更する方法3選|初心者でも5分でできるセキュリティ対策
tora
【PR】記事内に商品プロモーションを含む場合があります
先生!ワードプレス開設したらログインURLを変えろって言われたんですけど、具体的にどうすればいいんですか?
ログインURLを初期設定のまま放置しているサイトはマジでヤバいぞ。今日は3つの方法で対策する手段を教えていく。
WordPressでブログやサイトを運営している方、ログインURLをデフォルトのまま使っていませんか?
実はこれ、セキュリティ的にかなり危険な状態なんです。WordPressのログインURLは世界共通で決まっているので、あなたのサイトのログインページには誰でもアクセスできてしまいます。
この記事では、ログインURLを変更できる3つの有名プラグインを紹介し、それぞれの特徴と設定方法を解説していきますね。そして3つの中から1つだけ選んで導入しましょう。
目次
なぜログインURLを変更する必要があるのか
まず大前提として、なぜログインURLの変更が重要なのかを理解しておきましょう。ここを理解していないと「なんとなくセキュリティ対策した気分」で終わってしまいますからね。
WordPressのログインURLは全世界共通
WordPressの標準ログインURLは、基本的にこの2つです。
https://あなたのドメイン/wp-login.php(ログイン画面)https://あなたのドメイン/wp-admin/(未ログインならログイン画面へ転送される)
つまり、WordPressで作られたサイトなら、上記のURLを入力するだけで誰でもログイン画面を表示できてしまうわけです。
これ、よく考えたらめちゃくちゃ怖いですよね? あなたの家の玄関が「ここですよ」と書いてあるのと同じこと。あとは鍵(パスワード)をこじ開けるだけで侵入できてしまいます。
放置するとどんな攻撃を受けるのか
ログインURLをデフォルトのまま放置していると、主に以下の攻撃を受けるリスクがあります。
ブルートフォース攻撃(総当たり攻撃):ユーザー名とパスワードの組み合わせを機械的に何千回、何万回と試す攻撃。BOT(自動プログラム)が勝手にやるので、攻撃者は寝ている間にも攻撃し続けられます。
パスワードリスト攻撃:他のサービスで流出したID・パスワードの組み合わせを使ってログインを試みる攻撃。同じパスワードを使い回している人が狙われます。
不正ログインによるサイト改ざん:ログインされてしまえば、記事の改ざん、マルウェアの埋め込み、個人情報の抜き取りなどやりたい放題です。
うぇ〜。ボットが自動で何万回もパスワード試すとか怖すぎるんですけど‥‥。
だからこそログインURL自体を変えてしまうのが有効なんだ。ログインページの場所がわからなければ、雑なBOT攻撃の対策になるぞ。
ログインURL変更は「入口を隠す」こと
ログインURLの変更は、セキュリティ対策の中でも有効な手法の1つです。
例えるなら、家の玄関を裏通りの目立たない場所に移すようなもの。泥棒がそもそも玄関を見つけられなければ、鍵をこじ開けようとすることもできません。
ログインURL変更は「攻撃対象になりにくくする」対策で、ブルートフォース系のノイズを減らす効果があります。
ただしこれだけで安全ではないので、強パスワード・2FA・ログイン試行制限もセットで行いましょう。
特にアダルトサイトを運営している方は、一般ジャンルよりも海外からの不正アクセスが多い傾向にあるので、必ず対策しておきましょう。
方法①:SiteGuard WP Plugin(最も多機能な国産プラグイン)
SiteGuard WP Pluginとは
SiteGuard WP Pluginは、日本のサイバーセキュリティ企業「EGセキュアソリューションズ」が開発した完全国産のセキュリティプラグインです。
大手レンタルサーバー(エックスサーバーやロリポップなど)が推奨プラグインに指定しているほど信頼性が高く、設定画面がすべて日本語なのがありがたいポイント。ログインURL変更だけでなく、複数のセキュリティ機能がまとめて使えます。TORAも複数のサイトで愛用中です。
| 項目 | 内容 |
|---|---|
| 料金 | 無料 |
| 対応言語 | 完全日本語対応 |
| 主な機能 | ログインURL変更、画像認証(ひらがな対応)、ログインロック、ログインアラート、フェールワンス、ユーザー名漏洩防止、2段階認証 |
| インストール数 | 60万以上 |
| おすすめ度 | (総合セキュリティ対策をしたい人向け) |
設定手順
STEP1:プラグインをインストール・有効化
WordPress管理画面から「プラグイン」→「新規追加」と進み、検索窓に「SiteGuard WP Plugin」と入力。表示されたら「今すぐインストール」→「有効化」をクリックします。
ここで超重要な注意点があります。 SiteGuard WP Pluginは有効化した時点でログインURLが自動的に変更されます。新しいURLは login_<5桁の乱数> という形式になるので、この状態でログアウトは絶対にしないようにしましょう。
管理者のメールアドレスにも「ログインページURLが変更されました」という件名のメールが届くので、そちらでも確認可能です。
STEP2:ログインURLを任意の文字列に変更
WordPress管理画面の左メニューに「SiteGuard」が追加されているので、そこから「ログインページ変更」をクリック。「変更後のログインページ名」の欄に好きな英数字を入力して「変更を保存」を押せば完了です。
STEP3:リダイレクトを必ず無効化する
同じ設定画面にある「管理者ページからログインページへリダイレクトしない」にチェックを入れてください。
これをやらないと、/wp-admin/ にアクセスしたときに変更後のログインページに自動転送されてしまい、せっかくURLを変えた意味がなくなります。ここはデフォルトでチェックが入っていないので、絶対に忘れないように設定しましょう。
SiteGuard WP Pluginのメリット・デメリット
メリット
- 完全日本語対応で設定がわかりやすい
- ログインURL変更以外のセキュリティ機能が豊富
- 画像認証に「ひらがな」が使える(海外からの攻撃に強い)
- 2段階認証を設定できる
- ログイン履歴を確認できるので不審なアクセスに気づける
- 大手レンタルサーバーが推奨するほどの信頼性
デメリット
- 有効化した瞬間にURLが変わるので、知らないとログインできなくなる恐れがある←URLをメモ必須
- 多機能ゆえに他のセキュリティプラグインと競合する可能性がある
- .htaccessを書き換えるため、サーバー環境によっては不具合が出ることも
方法②:WPS Hide Login(最もシンプルで軽い)
WPS Hide Loginとは
WPS Hide Loginは、ログインURLの変更に特化した超シンプルなプラグインです。余計な機能を一切持たず、設定項目もたった2つだけ。100万以上のアクティブインストールがあり、WordPress.orgでの評価も平均4.8と非常に高い人気プラグインですね。
「ログインURLだけ変えたい。他は別のプラグインで対応する」という人に最適です。
| 項目 | 内容 |
|---|---|
| 料金 | 無料 |
| 対応言語 | 日本語対応 |
| 主な機能 | ログインURL変更、リダイレクトURL設定(この2つだけ) |
| インストール数 | 200万以上 |
| おすすめ度 | (シンプルにURL変更だけしたい人向け) |
設定手順
STEP1:プラグインをインストール・有効化
WordPress管理画面から「プラグイン」→「新規追加」→「WPS Hide Login」で検索してインストール・有効化します。
SiteGuardと違って、WPS Hide Loginは有効化後に設定画面でログインURL(Login url)を決めるタイプなので、手順どおりに設定すればOKです。設定後は必ずブックマークしておきましょう。
STEP2:ログインURLを変更
WordPress管理画面から「設定」→「WPS Hide Login」にアクセスします。
設定項目はページの下の方にある以下の2つだけです。
- Login url:変更後のログインURL(デフォルトは
login) - Redirection url:旧URLにアクセスしたときのリダイレクト先(デフォルトは
404)
Login urlの欄に好きな文字列を入力して「変更を保存」をクリックすれば完了。たったこれだけです。
推測されにくい文字列にするのがポイントです。英小文字+数字(必要ならハイフン)で長めにしておくと、URLとしても事故りにくくておすすめです。
WPS Hide Loginのメリット・デメリット
メリット
- 設定がたった2つだけで超簡単
- 軽量なので他のプラグインと競合しにくい
- 無効化するだけでデフォルトURLに即復帰
- 100万以上のインストール実績で安心
デメリット
- ログインURL変更以外のセキュリティ機能は一切ない
- 画像認証やログインロックなどは別途対策が必要
- URLを忘れた場合はFTPでプラグインを削除する必要がある
方法③:XO Security(バランス型の日本語対応プラグイン)
XO Securityとは
XO Securityは、ログインURL変更に加えて複数のセキュリティ機能を搭載した日本語対応プラグインです。SiteGuardほど多機能ではないものの、WPS Hide Loginよりは幅広い保護ができるバランス型。
設定画面がすべて日本語化されており、どの機能が有効になっているかをチェックリスト形式で一覧表示してくれるので、初心者でも管理しやすいのが特徴です。
| 項目 | 内容 |
|---|---|
| 料金 | 無料 |
| 対応言語 | 完全日本語対応 |
| 主な機能 | ログインURL変更、ログイン試行回数制限、ログインアラート、画像認証(CAPTCHA)、メールアドレスでのログイン禁止、ユーザー名の秘匿、ログ保存、2要素認証 |
| インストール数 | 3万以上 |
| おすすめ度 | (ちょうどいいバランスを求める人向け) |
設定手順
STEP1:プラグインをインストール・有効化
WordPress管理画面から「プラグイン」→「新規追加」→「XO Security」で検索してインストール・有効化します。
STEP2:ログインURL変更を設定
WordPress管理画面の左メニューに「設定」→「XO Security」が追加されるので、クリックして設定画面を開きます。
「ログイン」タブを選択し、「ログインページの変更」の項目をONにして、好きな文字列を入力。左下にある「変更を保存」を押して完了です。
XO Securityでは.htaccessを書き換えずにログインURL変更を実現しているため、サーバー環境を選ばず安定して動作するのが強みですね。
STEP3:追加のセキュリティ設定
せっかくなので、ログインURL変更と一緒に以下の設定もしておくとより安全です。
- ログイン試行回数の制限:一定回数ログインに失敗するとロックがかかる(自分がミスすることも考慮すること)
- ログインアラート:ログインがあった時にメールで通知
- メールアドレスによるログインの無効化:ユーザー名のみでログインさせる(メールアドレスの推測防止)
XO Securityのメリット・デメリット
メリット
- 完全日本語対応で設定がわかりやすい
- ログインURL変更+αのセキュリティ機能がちょうどいい
- .htaccessを書き換えないのでサーバー環境を選ばない
- ステータス画面で有効な機能が一目でわかる
- 2段階認証も設定できる
デメリット
- SiteGuardと比べると知名度がやや低い
- 画像認証のひらがな対応がない(英数字CAPTCHA)
- レンタルサーバーの推奨プラグインには入っていないことが多い(利用者がまだ少ない)
3つのプラグイン比較表
| 項目 | SiteGuard WP Plugin | WPS Hide Login | XO Security |
|---|---|---|---|
| ログインURL変更 | ○ | ○ | ○ |
| 画像認証 | ○ (ひらがな対応) | × | ○ (英数字のみ) |
| ログインロック | ○ | × | ○ |
| ログインアラート | ○ | × | ○ |
| ログイン履歴 | ○ | × | ○ |
| ユーザー名漏洩防止 | ○ | × | ○ |
| .htaccess書き換え | あり | なし | なし |
| 設定の簡単さ | |||
| 動作の軽さ | |||
| 日本語対応 | ○ | ○ | ○ |
| おすすめ度 | 総合セキュリティ向き | URL変更だけしたい人向き | バランス重視向き |
ログインURL変更時の注意点
プラグインを導入する前に、以下の注意点を必ず確認してください。ここを怠ると自分が管理画面に入れなくなるという最悪の事態になりかねません。
マージで気をつけてくれよな。
変更後のURLは必ずメモ・ブックマークする
これが一番重要です。変更後のログインURLを忘れると、自分が管理画面にログインできなくなります。メモとブックマークの両方で保存しておくことを強くおすすめします。
万が一忘れてしまった場合は、FTPでサーバーに接続してプラグインを削除(またはフォルダ名を変更して無効化)すれば、デフォルトのログインURLに戻せます。
セキュリティ系プラグインの重複に注意
SiteGuard、WPS Hide Login、XO Securityのように同じ機能を持つプラグインを複数入れると競合する可能性があります。ログインURL変更のプラグインは1つだけにしてください。
推測されにくいURLにする
変更後のURLが mylogin や admin-page のような単純な文字列だと、攻撃者に推測されてしまいます。英数字を組み合わせた独自の文字列(例:secure-entry-7f3a9c / tora-aiueokkk-1919810)にするのがベストですよ。
キャッシュプラグインとの相性を確認
キャッシュプラグインを使っている場合、ログインページがキャッシュされてしまい正常に動作しないケースがあります。キャッシュの除外設定にログインURLを追加しておきましょう。
カラフルボックスやmixhostの場合、「LiteSpeed Cache」のプラグインを使っていると思うので、やり方を解説しておきます。
LiteSpeed Cacheで「ログインURL」をキャッシュ除外する手順
管理画面で設定場所へ
WordPress管理画面 → LiteSpeed Cache → キャッシュ → 除外を選択します。
URLsをキャッシュしない に入力
ここに、変更後ログインURLのパスを入れます。
例:ログインURLを https://example.com/secure-entry-7f3a9c にしたなら…
- secure-entry-7f3a9cまたは
- /secure-entry-7f3a9c
(どっちでもOKなことが多いけど、迷ったら 先頭に / を付けるのが無難)
保存 → キャッシュ削除
設定を保存したら、「全てをパージ」して完了です。パージとはキャッシュをリセットすることです。パージしないと変更前の情報が残ってしまいます。
ぶっちゃけ、これやらなくても問題ないケースは多い。念の為って感じだな。
まとめ|ログインURLの変更は今すぐやるべきセキュリティ対策
この記事のポイント
- WordPressのログインURLはデフォルトだと全世界共通。誰でもログイン画面にアクセスできる危険な状態。
- ログインURL変更はブルートフォース攻撃を回避できる手軽で効果の高い対策。
- SiteGuard WP Plugin:総合セキュリティ対策ができる国産プラグイン。画像認証のひらがな対応が強い。
- WPS Hide Login:URL変更だけに特化した超シンプルなプラグイン。100万以上のインストール実績。
- XO Security:URL変更+αのセキュリティ機能を備えたバランス型。.htaccessを書き換えないのが強み。
- 変更後のURLは必ずメモ&ブックマーク。忘れると管理画面に入れなくなる。
- セキュリティ系プラグインの重複は避ける。1つだけ選んで導入する。
ログインURL変更の作業自体はどのプラグインを使っても5分もかかりません。でもこのたった5分の作業が、あなたのサイトを不正アクセスから守ってくれるんです。
「まだやっていなかった」という方は、この記事を読んだ今すぐ設定してしまいましょう。サイトを守るのは運営者であるあなた自身ですからね。
WordPressのセキュリティは一度設定すれば終わりではありません。プラグインやテーマのアップデートもこまめに行い、パスワードも定期的に見直していきましょう。安心してブログ運営を続けるために、できることからコツコツ対策していくのが大切です。
これでかなり安心ですね。
圧倒的サイトスピードと洗練された機能
WordPressテーマ「SWELL」
SWELLはの強みはサイトスピードを出すために最適化された優秀なテーマです。さらに機能性も両立している大人気テーマとしてその地位を確立しています。
2019年にリリースされたテーマですが、ブロックエディタに完全対応しており、日本で最も利用されている人気テーマです。
規約には「どのようなジャンルのサイトでも利用できる」とあるため、アダルトもOKです。
直感的なサイトデザインを
WordPressテーマ「JIN:R」
JIN:Rは直感的にwebサイトを構築できるデザインテーマです。
これまでのWordPressのブロックエディターが感じさせる『特有の取っ付きにくさ』を解消して「最高に使いやすいデザインツール」へと昇華させました。
もちろんアダルトブログでの使用もOKです。
ABOUT ME
トレンドブログ・ゲームブログ・アダルトサイトなどいろんなジャンルに挑戦し、1つのサイトだけで月7桁到達済みの30代♂。
20代の頃はパチスロでノーマルタイプ設定狙いとハイエナ稼働によるお小遣い稼ぎもしてた。
