WordPress では管理画面にログインする際、wp-login.php を利用する。しかし、Wordpress を少しでも触ったことがある人であれば誰でもわかってしまう事である為、簡単にログインフォームへアクセスできてしまう。
もちろんユーザネームやパスワードがわからないとログインする事はできないので URL がわかったところで特に問題は無い。が、中にはスクリプトを用いて不正ログインしようとする人もいる。
ログインフォームの URL を変更するのであれば WPS Hide Login というプラグインを利用すると良い。
https://wordpress.org/plugins/wps-hide-login/このプラグインを利用するとログインフォームの URL を Rewrite して別のものに変更する事ができるようになる。
設定画面は「設定」->「一般」の一番下にある。
デフォルトでは /login/ に変更される。
この状態では wp-login.php へアクセスすると以下のようにページが見つかりませんと表示される。
/login/ へアクセスするとちゃんとログインフォームが表示される。
ブルートフォースアタックのスクリプトがログインフォームの URL を決め打ちしているのかは定かではないが、変更するだけ攻撃を防ぐ事が出来るのであれば楽だろう。最も URL の変更ではなくログイン試行回数による制限や二段階認証を利用したほうが確実だとは思うが。
WordPress への不正ログインを防ぐ幾つかの方法 | Lonely MobilerSponsored Link