2019年10月17日

森島

【WordPress】ログイン画面のURLを変更してセキュリティ強化

WordPress

facebook
twitter

WordPressのログイン画面は、デフォルトの状態ではログイン画面のURLが全て同じです。
以下の2つのアドレス、ドメイン部分を変更してブラウザでたたくと、ログイン画面にアクセスできてしまいます。
https://ドメイン.com/wp-login.php
https://ドメイン.com/wp-admin/

WordPressの乗っ取りやスパムを防ぐため、ログイン画面のURLを変更して、セキュリティの対策を行いましょう。

1 [手順1]wp-login.phpの代わりとなるPHPファイルを新規作成する
2 [手順2]function.php に以下を記述

[手順1]wp-login.phpの代わりとなるPHPファイルを新規作成する

まず、wp-login.phpの代わりとなるPHPファイルを新規作成します。
ファイルの名前は任意ですが、PHPファイルの名前がそのままログインURLになります。
※例えば、onigiri.php というファイル名にすると、https://ドメイン.com/onigiri.php がログインURLになります。

PHPファイルの中身はこちらをコピペ。

<?php
define( 'LOGIN_CHANGE', sha1( 'keyword' ) );
require_once './wp-login.php';
?>

<?php

define( 'LOGIN_CHANGE', sha1( 'keyword' ) );

require_once './wp-login.php';

ふんわり要約すると、「このPHPファイルの内容をwp-login.phpと置き換える」的な内容が書いてあります。
ですので、wp-login.phpは削除せずそのままにしておきます。

新しく作ったファイルは、wp-login.phpと同じ階層に置きます。ちなみにwp-login.phpはrootに存在します。wp-adminなんかのフォルダと同じ位置ですね。

[手順2]function.php に以下を記述

次に、function.phpに以下の内容をコピペします。
※function.phpは、テーマフォルダの中にあります→ /wp-content/themes/使用中のテーマ名/function.php

2行目のdefineの行にある‘xxxxxxxx.php’のところには、手順1で作ったファイルの名前を入力してください。（私の例で言うと、onigiri.phpが正解）

// WordPressの管理画面ログインURLを変更する
define( 'LOGIN_CHANGE_PAGE', 'xxxxxxxx.php' );
add_action( 'login_init', 'login_change_init' );
add_filter( 'site_url', 'login_change_site_url', 10, 4 );
add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );
// 指定以外のログインURLはTOPページへリダイレクト
if ( ! function_exists( 'login_change_init' ) ) {
  function login_change_init() {
    if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {
      wp_safe_redirect( home_url() );
      exit;
    }
  }
}
// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える
if ( ! function_exists( 'login_change_site_url' ) ) {
  function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {
    if ( $path == 'wp-login.php' &&
      ( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )
      $url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );
    return $url;
  }
}
// ログアウト時のリダイレクト先の設定
if ( ! function_exists( 'login_change_wp_redirect' ) ) {
  function login_change_wp_redirect( $location, $status ) {
    if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )
      $location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );
    return $location;
  }
}

// WordPressの管理画面ログインURLを変更する

define( 'LOGIN_CHANGE_PAGE', 'xxxxxxxx.php' );

add_action( 'login_init', 'login_change_init' );

add_filter( 'site_url', 'login_change_site_url', 10, 4 );

add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );

// 指定以外のログインURLはTOPページへリダイレクト

if ( ! function_exists( 'login_change_init' ) ) {

function login_change_init() {

if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {

wp_safe_redirect( home_url() );

exit;

}

// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える

if ( ! function_exists( 'login_change_site_url' ) ) {

function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {

if ( $path == 'wp-login.php' &&

( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )

$url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );

return $url;

}

// ログアウト時のリダイレクト先の設定

if ( ! function_exists( 'login_change_wp_redirect' ) ) {

function login_change_wp_redirect( $location, $status ) {

if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )

$location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );

return $location;

}

wp_safe_redirect( home_url() );
この部分で、TOPへリダイレクトしています。

このコピペが完了したら、FTPなどからfunction.phpをアップして上書きします。

これで実際に新しいURLからログインを試してみてください。
問題なくログインできればOKです。
「wp-admin」のディレクトリにBasic認証をかけて2重ロックしてもいいですね。さらに安心です。

執筆者：森島[ WEBデザイナー ]

8bit デザイナーです。デザイン・マークアップ・映像制作など幅広く担当しています。

プログラミング

【PHP8】関数を作るときにしっかりと型宣言をするお話

目次1 天国でもあり地獄のようなPHPの変数事情2 関数も型宣言する時代天国でもあり地獄のようなPHPの変数事情 PHPは昔から良くも悪くも変数の型に対して寛容でした。いきなり型宣言をせずに使えますし、なんなら $hoge .= “宣言しなくても追加”; ですら怒られないくらいでした。ただ、PHP5あたりからうっすらとまずいよねってことになり、PHP5系では非推奨、PHP8以降になると、warningとしてしっかりとアラートが出るようになりました […]

2024年7月22日

プログラミング

【PHP】古いWordPressで絵文字を使えるようにするお話

WordPressはLAMP環境で動くCMSとして昔から有名ですが、昔から使われているサイトの場合、絵文字が使えないことがあります。今回はそういう場合の絵文字を使えるようにしてみましょう目次1 MySQLのバージョンを調べる2 テーブルの照合順序を変更する3 最近の事情 MySQLのバージョンを調べる使えるようにしましょうといいつつ、実は大前提があります。それはMySQLのバージョンが5.5以降であることです。それ未満のバージョンは「utf8mb4」にできないため、 […]

2024年7月18日

Webサイト制作

【さくらのレンタルサーバー】環境ごとにPHPのバージョンを変更するお話

最近何かとAI関係で話題の「さくらインターネット」ですが、レンタルサーバーはコスパもよく、かなり使いやすいサービスだと思います。特にWordPressなどのLAMP環境に最適化された環境であり、PHPもいろいろなバージョンを選ぶことができます。変更方法も簡単でコンパネからボタン一つでできるので楽ちんですね。ただ当然なのですがマルチドメインで運用している場合もすべての環境にPHPのバージョンが一斉に反映されてしまいます。それはそれで便利なのですが、例えばこの環境のみバー […]

2024年7月18日

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト