投稿日 2023-07-27 / 最終更新日 2023-07-30

初期ログインURLから不正ログインをされそうになった

世界中で多く使用されているが故に常に狙われているWordPress。当ドメインへのアタック回数も1分に平均2億5000回と半端な数ではありません。

2021年に一度ハッキングされてからというものセキュリティ方面は力を入れてきたつもり…ですが、2023年7月以下のようなアラートが届きました。

国内から不正ログインを試みられた

そうなんです実は運営している個人のサイトのログインURLは初期設定のままだったのでURLは「http://ドメイン/wp-admin.php」のままでした。

WordPressの初期ログインURLは「http://ドメイン/wp-admin.php」。覚えやすいURLですが、裏を返せばそのままのURLだと誰でもログインページにアクセスできてしまうということ。

ということでダイレクトに不正ログインを試みられた痕跡がバッチリ。しかも日本国内から直接的に狙われた訳です。許しがたい犯行…ということですぐさま対応に乗り出します。

IPアドレスブロックはWorPress側に拒否される

最初はIPアドレスをダイレクトにブロックしようとしたのですが、IPブロックBAN用のプラグインの関係かWordPress側から怪しい動きと検知されてしまう（見たことのないアラート画面が出た）ので、URL変更で対応することにしました。

どのプラグインを入れるか検討の際に参考にしたのは以下の記事。

WordPressのセキュリティ対策の方法と強化プラグインまとめ　https://www.sungrove.co.jp/wordpress-security/
WordPressログインURLの変更方法【プラグインあり・なし】　https://webpick.jp/wordpress-change-login-url/

.htaccessのバックアップを取っておく

検索すると「.htaccess」に直接書き込む方法も出てきますが、今回は管理が簡単なプラグインで対応することにします。万が一変更したログインURLがアクセスできなくなった場合に備え、プラグインを入れる前の「.htaccess」を保存しておきます。

※ログインできなくなった場合に、バックアップファイルを上書きアップロードするため。

プラグイン”SiteGuard WP Plugin”を入れる

ログインURLを変更できるプラグインは数多くありますが色々と調べた結果、こちらの”SiteGuard WP Plugin”を入れることに。

個人サイトにダイレクトで侵入しようとされると思わなかった…というのは後付けの言い訳。侵入が成功していたらと思うとゾッとします。

という訳で早速プラグインをインストール。

有効化して初期のログインURLを変更

プラグインを入れたら有効化。管理画面は以下の通り。「ログインページ変更」へ遷移します。

URLは任意変更可能

初期設定のURLは「login_<5桁の乱数>」。この部分は任意の英数字に変更することが可能です。

URLを変更すると初期の「wp-admin.php」画面ではログインできなくなります。新しいログインURLを忘れないように保管しておきましょう。

WordPress側からも新しいログインURLが送られてきますので慌てなくて大丈夫です。

新しいログイン画面に変更になりました

という訳ですべてのサイトでログインURLを変更完了です。

「上に表示された文字を入力してください。」が新たに加わりました。

そのほかできること、詳しい説明はこちら

SiteGuard WP Pluginでできること https://www.jp-secure.com/siteguard_wp_plugin/