ワードプレスを使用するにあたり、セキュリティを強化するプラグインは必須です。
デフォルトで入っていたAkismetは商用サイトでは使えないので、(一切広告を貼るつもりがないならAkismetでもいいですが)他のプラグインで代用します。
プラグイン → 新規プラグインを追加 → 「SiteGuard WP Plugin」を探してインストール
色々な機能があるプラグインですが、やってほしいことは以下。
- ログインページの変更&管理者ページからログインページへリダイレクトしない設定
- ユーザー名漏えい防御をON
ログインページの変更と、管理者ページからログインページへリダイレクトしない設定
有効化した時点でログインページが変更になっています。
設定 → 一般 → 新しいログインページURLをクリック。
管理者用URL(ログインページ)が「https://サイトドメイン/login_5桁の乱数」という形に変更されました。必ずブックマークしてください。
ログインページに画像認証が追加されました。入力してログインします。
左サイドバーに「SiteGuard」というメニューが追加されました。
SiteGuard → ログインページ変更をクリック。
このページでログインページ名をお好きな文字列に変更できます。(その場合は再度ブックマークし直してください)
オプション「管理者ページからログインページへリダイレクトしない」に✓を入れて、変更を保存ボタンをクリックします。
ワードプレスのデフォルトの管理者用URLは「https://サイトドメイン/wp-admin」で、URLの末尾に「wp-admin」と追加すれば誰でもアクセス可能。
この状態が不正ログインを誘発して危険なのでURLを変更する訳ですが、オプションに✓を入れないと「https://サイトドメイン/wp-admin」にアクセスすれば変更後のURLにリダイレクトされてしまい意味がありません。
ログインページを忘れた場合の確認方法
もしもログインページのURLを忘れてしまったら、「.htaccess」ファイルで確認ができます。
ロリポップ!ユーザー専用ページ → サーバーの管理・設定 → ロリポップ!FTP
もしパスワードを聞かれたら、ユーザー設定 → アカウント情報の「サーバー情報」へ
「表示」をクリック→パスワードを確認できます。
FTP画面に入れたら、フォルダをクリック。
フォルダを展開し、.htaccessファイルを開きます。
以下のようなコードがあるはずです。
RewriteRule ^login_00000(.*)$ wp-login.php$1 [L]
この「login_00000」部分をサイトURLの末尾に付けると、ログインURLになります。
ユーザー名漏えい防御をON
ワードプレスでは、サイトURLの末尾に「/?author=数字」を追加するとユーザー名が分かる仕様になっています。
ユーザー名が他人に分かる状態だと不正ログインの原因になるので漏えい防御をします。
※こちらの記事の著者アーカイブページを無効化・WP REST API経由のユーザー名漏えい防止でfunctions.phpにコードを追記した場合は、以下の作業は不要です。
SiteGuard → ユーザー名漏えい防御
有効を選択して下にスクロールし、変更を保存ボタンをクリック
これで「https://サイトURL/?author=数字」にアクセスするとトップページにリダイレクトされるようになりました。
SiteGuard WPプラグインのおすすめの設定方法を解説しました。
ご参考まで。