2019年10月17日

森島

【WordPress】ログイン画面のURLを変更してセキュリティ強化

WordPress

facebook
twitter

WordPressのログイン画面は、デフォルトの状態ではログイン画面のURLが全て同じです。
以下の2つのアドレス、ドメイン部分を変更してブラウザでたたくと、ログイン画面にアクセスできてしまいます。
https://ドメイン.com/wp-login.php
https://ドメイン.com/wp-admin/

WordPressの乗っ取りやスパムを防ぐため、ログイン画面のURLを変更して、セキュリティの対策を行いましょう。

1 [手順1]wp-login.phpの代わりとなるPHPファイルを新規作成する
2 [手順2]function.php に以下を記述

[手順1]wp-login.phpの代わりとなるPHPファイルを新規作成する

まず、wp-login.phpの代わりとなるPHPファイルを新規作成します。
ファイルの名前は任意ですが、PHPファイルの名前がそのままログインURLになります。
※例えば、onigiri.php というファイル名にすると、https://ドメイン.com/onigiri.php がログインURLになります。

PHPファイルの中身はこちらをコピペ。

<?php
define( 'LOGIN_CHANGE', sha1( 'keyword' ) );
require_once './wp-login.php';
?>

<?php

define( 'LOGIN_CHANGE', sha1( 'keyword' ) );

require_once './wp-login.php';

ふんわり要約すると、「このPHPファイルの内容をwp-login.phpと置き換える」的な内容が書いてあります。
ですので、wp-login.phpは削除せずそのままにしておきます。

新しく作ったファイルは、wp-login.phpと同じ階層に置きます。ちなみにwp-login.phpはrootに存在します。wp-adminなんかのフォルダと同じ位置ですね。

[手順2]function.php に以下を記述

次に、function.phpに以下の内容をコピペします。
※function.phpは、テーマフォルダの中にあります→ /wp-content/themes/使用中のテーマ名/function.php

2行目のdefineの行にある‘xxxxxxxx.php’のところには、手順1で作ったファイルの名前を入力してください。（私の例で言うと、onigiri.phpが正解）

// WordPressの管理画面ログインURLを変更する
define( 'LOGIN_CHANGE_PAGE', 'xxxxxxxx.php' );
add_action( 'login_init', 'login_change_init' );
add_filter( 'site_url', 'login_change_site_url', 10, 4 );
add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );
// 指定以外のログインURLはTOPページへリダイレクト
if ( ! function_exists( 'login_change_init' ) ) {
  function login_change_init() {
    if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {
      wp_safe_redirect( home_url() );
      exit;
    }
  }
}
// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える
if ( ! function_exists( 'login_change_site_url' ) ) {
  function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {
    if ( $path == 'wp-login.php' &&
      ( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )
      $url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );
    return $url;
  }
}
// ログアウト時のリダイレクト先の設定
if ( ! function_exists( 'login_change_wp_redirect' ) ) {
  function login_change_wp_redirect( $location, $status ) {
    if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )
      $location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );
    return $location;
  }
}

// WordPressの管理画面ログインURLを変更する

define( 'LOGIN_CHANGE_PAGE', 'xxxxxxxx.php' );

add_action( 'login_init', 'login_change_init' );

add_filter( 'site_url', 'login_change_site_url', 10, 4 );

add_filter( 'wp_redirect', 'login_change_wp_redirect', 10, 2 );

// 指定以外のログインURLはTOPページへリダイレクト

if ( ! function_exists( 'login_change_init' ) ) {

function login_change_init() {

if ( !defined( 'LOGIN_CHANGE' ) || sha1( 'keyword' ) != LOGIN_CHANGE ) {

wp_safe_redirect( home_url() );

exit;

}

// ログイン済みか新設のログインURLの場合はwp-login.phpを置き換える

if ( ! function_exists( 'login_change_site_url' ) ) {

function login_change_site_url( $url, $path, $orig_scheme, $blog_id ) {

if ( $path == 'wp-login.php' &&

( is_user_logged_in() || strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false ) )

$url = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $url );

return $url;

}

// ログアウト時のリダイレクト先の設定

if ( ! function_exists( 'login_change_wp_redirect' ) ) {

function login_change_wp_redirect( $location, $status ) {

if ( strpos( $_SERVER['REQUEST_URI'], LOGIN_CHANGE_PAGE ) !== false )

$location = str_replace( 'wp-login.php', LOGIN_CHANGE_PAGE, $location );

return $location;

}

wp_safe_redirect( home_url() );
この部分で、TOPへリダイレクトしています。

このコピペが完了したら、FTPなどからfunction.phpをアップして上書きします。

これで実際に新しいURLからログインを試してみてください。
問題なくログインできればOKです。
「wp-admin」のディレクトリにBasic認証をかけて2重ロックしてもいいですね。さらに安心です。

執筆者：森島[ WEBデザイナー ]

8bit デザイナーです。デザイン・マークアップ・映像制作など幅広く担当しています。

プログラミング

SharePoint REST APIを使用してリストの情報を取得し、headerにナビを作る

SharePointで作成したリストの情報をREST APIを使用して取得してみましょう。今回は、APIで取得した情報を、headerにリンクとして差し込んでみます。サイト全体共通のナビでも、リストを使用すると、一か所で管理できるので便利です。目次1 前提条件2 1.REST APIで情報を取得2.1 REST APIのURL2.2 データを取得する処理3 2.取得した情報をheaderに表示前提条件 SharePoint Online モダンUI カスタムJSが使用で […]

2025年3月26日

WordPress

WordPressで権限やユーザーごとに管理画面のサイドメニュー表示を切り分ける

デフォルトだといろいろな項目が表示されているWordPressの管理画面のサイドメニュー。慣れていない人にはわかりづらいですよね。また、権限によってデフォルトで非表示にしてくれたりもしますが、この部分は見せたくないな…ということも多いと思います。今回はWordPressで権限やユーザーごとにサイドメニューの表示を変更する方法をご紹介します。目次1 権限の種類について2 function.phpに記述する2.1 サイドメニューの非表示用のコード2.2 権限ごとに振り分け […]

2025年3月26日

プログラミング

jQuery+PHPで大容量ファイルを分割アップロードするお話

ファイルのアップロードを行う際に注意しないといけないのが「アップロード容量」と「タイムアウト」です。どちらもサーバーの設定に関わるところでレンタルサーバーでは対処しきれないところもあり、大容量にするとそれだけアップロードに時間がかかりタイムアウトが発生しやすくなります。そこでフロント側で分割してファイルをアップし、バックエンド側で受け取った後に結合するようにするとよいでしょう注意すべき点として通常のPOSTでの送信ではないため、あらかじめそこら辺を考慮した処理が必要とな […]

2025年2月20日

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

Web制作、Webサービスに関する技術やノウハウを発信するコラムサイト