WordPressのログインURLを変えるリスク
この記事は、個人的な考え方を書いたものです。
昨日、以下の記事を書きました。
私がエックスサーバー系のレンタルサーバーでWordPressを使う理由 - operationservicebuの日記
上記の記事に、はぴらきさんが以下のブックマークコメントをくださいました。
“WordPressサイトでは基本的にログインURLが決まっている”←変更しておけばさらにセキュリティ上好ましいですね(^^)
その通りです!そして、それは可能です。
ログインURLやWordPressの管理機能は決まったフォルダやファイルです。
そして、特にログインURLはWordPressサイトと分かれば、一番狙われる場所です。
従って、WordPress本体の設定を変えて、ログインURLを変更するのはセキュリティ上有効です。
ただし、いくつかのリスクがあります。今回は、WordPressのログインURLを変更するリスクについてか書いていきます。
WordPressのログインURLを変えるリスク
レンタルサーバーのリスク
私がWordPressサイトを作っているシックスコア(エックスサーバー社のレンタルサーバー)では、レンタルサーバー側でWordPressセキュリティ機能があります。
レンタルサーバー側でのWordPressセキュリティ機能は、
- 国外IPアクセス制限
- ログイン試行回数制限
があります。
ログインURLを変更することで、このWordPressセキュリティ機能の対象外になる可能性があります。
シックスコアのヘルプには、WordPress国外IPアクセス制限の対象が
・/wp-admin … 管理ツール(ダッシュボード)のフォルダ
・/wp-login.php … ログイン時にアクセスするファイル
と明記されています。
仮に、ログインURLを変更してしまうと、変更後は「wp-login.php」では無いログインURLになるので、WordPress国外IPアクセス制限の対象外になる可能性が高いです。
従って、
- ログインURLはそのままにすることで、国外IPアドレスからのアクセスを制限するレンタルサーバー機能を採用するか
- 国外IPアドレスからのアクセスの危険性は増えるがログインURLを変更して、ログインフォームへのアクセスを難しくするか
という選択になります。
また、国外IPアクセス制限とログイン試行回数制限はセットで提供されている可能性もあります。
従って、レンタルサーバー側が提供しているWordPressセキュリティ機能から守られないことを前提にログインURLは変える必要があります。
WordPress本体のリスク
WordPressでは、管理システムフォルダにログインしていないユーザーがアクセスした場合は、ログインページにリダイレクトされます。
従って、ログインURLを変更したとしても、そのままのWordPressの状態では変更後のログインURLに移動してしまいます。
このことから、ログインURLを変更するだけなら簡単ですが、それに伴ったWordPress本体のさまざまな改良を、運営者が行う必要が出てきます。
知識不足で改良を行えば、通常は問題なかった部分に不具合や脆弱性を生み出す原因にもなります。
また、ログインのセキュリティを高めるプラグインもありますが、それらはWordPress本体の仕様に従ったセキュリティプラグインがほとんどです。
従って、運営者の自前でセキュリティを高めるか、現行のシステムのままセキュリティ対策していくかを選択することになります。
まとめ
この他にもいろいろあるのですが、言い出すとキリがないため2つだけ書きました。
ログインURLを変更することはWordPressのセキュリティを高めるためには、効果がある手法です。しかし、それに伴って、これまでのセキュリティ機能が無効になる恐れがあります。
従って、WordPressを使う方で、セキュリティを高めようという場合には、どこまで高めるのか、どこで妥協するのか、運営者が選んでセキュリティ対策する必要があります。
ご参考になれば幸いです。
以上、ありがとうございました。