こんには、Mitsuです。
この記事を読んでくださっている皆さんは、ご自身のWordPressに「https://*your-domain/wp-admin/」からアクセスされていると思います。
実は、このアクセス方法には危険性が存在します。その危険性について、簡単に説明し、その対処方法について述べていこうと思います。
/wp-adminからのログインの危険性
以下に、図を用意したので、それをもとに解説します。
上図の何個も同一の形をしている黄色の家がWordPressで作ったサイトだと考えてください。
WordPressは世界的にとてもメジャーなCMS(コンテンツマネジメントシステム)で、数多くのサイト(個人的なブログから大手メディアまで)が使用しております。
そのため、悪意あるユーザには自分のサイトに対し閲覧以上の事が出来ないようにしておかなければなりません。
ですが、WordPressへのアクセス手段がデフォルトのままであると、鍵はわからないけれど、大事な資産が入った金庫をその辺の庭に置いておくのと同じ状態です。
皆さんがログインするときの玄関となる/wp-adminですが、そこまではURLに追記してしまえば、誰でも見れてしまう状態という訳です。
すると悪意あるユーザは、その玄関でありとあらゆるピッキング(鍵を使わずに不正に開ける行為)を試すわけです。
それを未然に防ぐための手段がアクセス制限という方法になります。
WordPressにアクセス制限をかける2通りの方法
アクセス制限にはメジャーな方法として以下の2通りの手段が存在します。
- 固定IPアドレス以外のIPアドレスからのアクセスを禁止する方法
- プラグインを用いた、ログイン用URLを別のURLへ切り替える方法
SiteGuard WP Pluginを用いたアクセス制限
厳密にいうと、制限をかけるというより、サイトの玄関(/wp-admin)を敷地内(あなたのサイトのURL)のどこかに隠すという手法です。
このプラグインを利用すると、管理ページ(/wp-admin/)以降への攻撃を防いでくれます。
自分がログインしようとしても普段のようにログイン画面は表示されなくなります。
では、どうログインするかというと、自分のメールあてにログインURLが送られてくるので、そちらからログイン画面へアクセスするのです。
その画面でも、普段よりも認証手段は増えているので、多少手間はかかりますが、かけておくに越したことはありません。
SiteGuard WP Pluginは無料ですし、プラグイン画面から検索すれば、一番上にヒットするので、有効化すればすぐに使えます。
それでは、よいブログライフをお過ごしください。
