WordPressのログインページのセキュリティを高める5つの方法

WordPressのログインセキュリティについて心配する必要があるかどうか？

WordPressは、とても簡単にウェブサイトを構築できることから、世界で最も人気のあるCMSです。

無料のCMSとはいえ、そこには代償があります。

WordPressは非常に予測しやすいため、時にターゲットにされやすいのです。

例えば、ログインページ。

どのWordPressウェブサイトも、同じログインページ（/wp-admin.comまたは/wp-login.php）を持っています。

このページがハッカーにとって魅力的なターゲットになるのは、予測可能であることと、弱い認証情報を使用する人間の傾向が組み合わさったときです。

セキュリティの専門家によると、ログインページはWebサイトの中で最も脆弱なページだそうです。

ハッカーは毎日、このページに対してブルートフォース攻撃を行うボットを配備しています。

ログイン情報を把握することで、彼らは簡単にCMSにアクセスすることができるのです。

そこで、招かれざる客からCMSを守るために、あらゆる手段を講じる必要があります。

この記事では、WordPressのログインセキュリティを向上させ、ハッキングされるのを防ぐための5つの高度な方法を紹介します。

2022年、WordPressのログインページを安全にする方法
1. ログインページのURLを変更する
1. WordPressのログインURLを変更する方法
2. 2ファクタ認証の導入
1. 二要素認証の導入方法
3. ログイン試行回数を制限する
1. ログインに失敗した回数を制限する方法
4. ユーザー名の発見を防ぐ
1. 作者アーカイブを無効にする方法
2. 表示名を変更する方法
5. 自動ログアウト
1. 自動ログアウトを有効にする方法
WordPressのログインセキュリティに関する結論

2022年、WordPressのログインページを安全にする方法

サイバーセキュリティの領域では、お粗末なアドバイスがたくさんあります。

そのほとんどは、人々を恐怖に陥れ、強迫的な選択に屈服させることを目的としています。

この記事では、そのような雑音を増やす代わりに、実際に効果のある方法を紹介します。

それは、以下のようなものです。

強力なパスワードの強制やSSL証明書のインストールが含まれていないことにお気づきでしょうか。

それは、当たり前のことだからです。

すでにご利用いただいていることと思います。

その方法については、他のガイドを参照してください。

注：以下で紹介する対策を実行するには、1つまたは2つのプラグインをインストールする必要があります。

そして、どんなに優れたプラグインでも、故障の原因になることがあることを私たちは知っています。

ですから、これ以上進める前に、ウェブサイトのバックアップをとってください。

さて、始めましょう。

1. ログインページのURLを変更する

冒頭で述べたように、WordPressのデフォルトのログインページは以下のような感じです。

www.website.com/wp-admin/
www.website.com/wp-login.php/

WordPressのログインページを狙うボットを設計するハッカーも含めて、誰もが知っていることです。

そして、アメリカ人の59％[1]が弱いパスワードを使用しているため、ログインページをブルートフォースすることによってウェブサイトをハックするのはあまりにも簡単です。

ログインページを保護する方法の1つは、URLを変更することです。

新しいカスタムログインページのURLを作成するのは簡単です。

数回のクリックでそれを可能にする多くのプラグインが利用可能です。

ここでは、WPS Hide Loginプラグインを使用して手順を説明しますが、他のプラグインを使用する場合は、先に進みます. 手順は同じように簡単かつ迅速です。

WordPressのログインURLを変更する方法

WPS Hide Loginをインストールし、有効化します。

設定 → WPS Hide Loginに進みます。

ページ下部をスクロールし、ログインURLセクションに新しいURLを挿入し、変更を保存をクリックします。

wps hide login settings - WordPress Login Security

新しいURLでログインしてみてください。

チームメイトと共有することを忘れないでください。

WordPressのログインページのURLを変更する方法については、こちらをご覧ください。

2. 2ファクタ認証の導入

FacebookやGmailを利用していると、2ファクタ認証に出会ったことがあるはずです。

このサービスは通常、アカウントにログインしようとすると、登録した携帯電話番号に固有のコードを送信します。

このセキュリティ対策は、アカウントの所有者だけがアクセスできることを確認するために実施されています。

たとえハッカーがあなたの認証情報を入手したとしても、登録した携帯電話番号に送信される固有のコードを盗み見ることはできないのです。

2ファクタ認証は、WordPressのウェブサイトにも適用できます。

ログインページにセキュリティのレイヤーを追加することができます。

必要なのは、以下のプラグインのいずれかをインストールすることです。

miniOrangeのGoogle Authenticator
Google Authenticator – 二要素認証(2FA)
WP White Security社のWP 2FA

二要素認証プラグインの設定はとても簡単です。

今回はminiOrangeのGoogle Authenticatorを使って設定方法を紹介します。

二要素認証の導入方法

WordPressのログインページにminiOrangeのGoogle Authenticatorをインストールします。

プラグインを有効化すると、すぐに設定ウィジェットが表示されます。

最初のオプション、つまりGoogle Authenticatorを選択します。

次に、スマートフォンにGoogle Authenticatorのアプリをダウンロードします。

アプリを起動し、QRコードを読み取ります。

アプリがコードを生成します。

それを設定ウィジェットに入力し、保存を押してください。

2FA WordPressのログインセキュリティがログインページで有効になりました。

WordPress login security 2 factor authentication

3. ログイン試行回数を制限する

WordPressは、ログインの試行回数を無制限にしています。

これは無害に聞こえるかもしれませんが、正直なところ、セキュリティ上の抜け穴です。

ログイン試行回数が無制限だと、ハッカーはブルートフォース攻撃を行うことができます。

この種の攻撃では、ハッカーはユーザー名とパスワードの正しい組み合わせを見つけるためにボットを配備します。

ボットは、正しい認証情報を見つけるまでに何度も失敗します。

ボット攻撃に対抗する最も効果的な方法のひとつは、ログイン試行を制限することです。

以下のプラグインは、それを実現するのに役立ちます。

Limit Login Attempts Reloaded (ログイン試行回数制限)
WPS Limit Login
Arshidによって* WP Limit Login Attempts

ログインに失敗した回数を制限する方法

プラグインをインストールし、Limit Login Attempts → Settings → Local Appと進みます。

ここでは、あなたのウェブサイト上でログイン試行が許可される回数を設定することができます。

また、何回ログインを試行したら、何分間ロックアウトされたままにするかを設定できます。

limit login attempts plugin - WordPress Login Security

4. ユーザー名の発見を防ぐ

一般的に、ユーザーネームはパスワードよりも重要度が低いと考えられています。

一般に公開されている記録なので、価値が低いはずと考えるからです。

そうではありません。

ユーザーネームは、クレデンシャルの半分を占めているのです。

パスワードと同じように、保護されなければなりません。

WordPressのウェブサイトでは、投稿や作者のアーカイブにユーザー名が表示されているのを見かけると思います。

ありがたいことに、この2つを無効にする方法があるのです。

作者アーカイブを無効にする方法

これは、任意のSEOプラグインの助けを借りて行うことができます。

以下のチュートリアルでは、Yoast SEOを使用して表示しています。

SEO → 検索の外観 → アーカイブと進み、著者アーカイブを無効にする。

Save Changesをクリックします。

表示名を変更する方法

表示名は、公開された記事やコメントに表示されます。

デフォルトでは、表示名とユーザー名（ログインに使用する名前）は同じです。

ユーザー名がばれないようにするには、表示名を別の名前に変更します。

ユーザー → プロフィール → ニックネームで変更できます。

表示名を直接変更することはできません。

代わりに、ニックネームを変更します。

新しいニックネームをドロップダウンメニューから選択します。

5. 自動ログアウト

自動ログアウトは、盗聴者からWebサイトを保護します。

ユーザーがセッションを放置した場合、自動ログアウトによってセッションが終了し、ウェブサイトが保護されます。

WordPressのデフォルトの動作は、ログインセッションのクッキーの有効期限が切れた48時間後にユーザーをログアウトさせるようになっています。

また、ユーザーが「Remember Me」ボックスにチェックを入れた場合は、14日間ログインしたままになります。

ちょっとしたアイドルタイムでセッションを終了させるには、別途プラグインをインストールする必要があります。

以下のプラグインは、アイドル状態のユーザーセッションを終了させるための自動ログアウトを支援します。

非アクティブなログアウト
iThemes Security

自動ログアウトを有効にする方法

プラグインを有効化し、設定 → 非アクティブログアウト → 基本管理と進みます。

アイドルタイムアウトの時計を設定します。

ロールベースのタイムアウトのオプションもあります。

よろしければご確認ください。

WordPressのログインセキュリティに関する結論

準備完了？素晴らしいこのページを去る前に、最後にもうひとつアドバイスです。

ハッカーがあなたのウェブサイトにブルートフォースで侵入するのを防ぐための対策を施したとしても、侵入者は脆弱なテーマやプラグインを通してアクセスすることができます。

そのため、24時間体制でサイトを最新の状態に保つ必要があります。

Web サイトのセキュリティをさらに高めるには、このガイドで取り上げたすべてのセキュリティ対策を行うことを強くお勧めします。

WordPress のログイン・セキュリティ対策についてご質問がある場合は、以下のコメント欄でお知らせください。

[1] https://www.comparitech.com/blog/information-security/password-statistics/