なぜ WordPress の「ログインURL変更」を考えるのか
WordPress のログインページは、初期状態だとほぼ必ず
/wp-login.php
または/wp-admin/
です。
つまり、世界中の誰でも
「このサイト、WordPress っぽいな」
→ とりあえず /wp-login.php を叩いてみるか
ということができます。
ここが問題で、「ログインページの場所」が完全にバレている状態なので、
ボットや攻撃者は、そこに向かってひたすら
ユーザー名の総当たり
パスワードの総当たり
を仕掛けてきます。
ログインURLを変更する、というのは、
この「誰でも場所が分かる玄関」を、
少しだけ“分かりにくい場所”に移動するイメージです。
ログインURL変更は「鍵を強くする」のではなく「玄関を目立たなくする」
セキュリティ的な位置づけを正しく理解する
ここがとても大事なポイントです。
ログインURLを変更すること自体は、
パスワードを強くする
2段階認証を入れる
のような「鍵そのものを強化する行為」ではありません。
やっていることは、
攻撃者から見える“入口の場所”を変える
=「ここがログインページですよ」と分かりにくくする
という、いわば「目立たなくする」対策です。
プログラミングで言えば、
管理用のエンドポイントを/admin ではなく /internal-dashboard-xyz にする
くらいの話です。
これだけで「絶対安全」にはなりませんが、
「とりあえず /wp-login.php を叩いてくるボット」からは、
かなり狙われにくくなります。
「隠す」ことの意味を軽く見ない
セキュリティの世界では、
「セキュリティ・バイ・オブスキュリティ(隠すだけの対策)は不十分」
と言われますが、
「だからやる意味がない」という話ではありません。
大事なのは、
ログインURL変更“だけ”で安心しない
でも、“やらないよりは確実にマシ”
というバランス感覚です。
ログインURL変更は、
強いパスワード
2段階認証
ログイン試行回数制限
などと組み合わせることで、
「総合的な防御力」を上げる一手として、とても有効です。
実際にどんなURLに変えるのか(考え方)
分かりやすくて、推測されにくい中間を狙う
よくある変更例としては、
/login//my-login//dashboard-login/
などがありますが、
あまりにも単純だと、攻撃者にも推測されやすくなります。
かといって、
/a9f3k2-login-xyz/
のような、
自分でも覚えられないURLにしてしまうと、
今度は自分が困ります。
おすすめは、
自分にとって意味が分かる
でも、他人には推測しにくい
くらいのラインです。
例えば、
/team-portal//manage-site//owner-login/
など、「管理者っぽいけど、WordPress っぽくはない」名前にするイメージです。
絶対にやってはいけないパターン
/wp-login2.php/admin-login
のように、
「ログインですよ」と全力で主張している名前は、
あまり意味がありません。
また、
公開中の固定ページや投稿とURLがかぶると、
表示がおかしくなることもあるので、
既存のスラッグと被らない
一般公開ページとして使わない
という点も意識しておきましょう。
どうやってログインURLを変更するのか(イメージ)
基本は「プラグインでやる」のが現実的
ログインURLの変更は、functions.php をゴリゴリ書き換えることもできますが、
初心者がやるにはリスクが高いです。
現実的には、
セキュリティ系プラグイン(例:WPS Hide Login など)
総合セキュリティプラグインの機能の一部
を使うのが安全です。
こうしたプラグインは、
/wp-login.php へのアクセスを遮断する
代わりに、指定したURLをログインページとして扱う
という処理を内部でやってくれます。
管理画面の設定画面で、
新しいログインURL
ログアウト後の遷移先
などを入力するだけで済むものが多いです。
コアファイルを直接書き換えるのはNG
wp-login.php を直接リネームしたり、
WordPress 本体のファイルを書き換えるのは、
アップデートのたびに壊れる原因になります。
「ログインURL変更」は、
あくまでプラグインやフックを使って“上からかぶせる”形でやるのが基本です。
例題:ログインURL変更で何が変わるか
Before:デフォルトのまま
ログインページ:https://example.com/wp-login.php
攻撃者の動き:
世界中のボットが /wp-login.php に向けて
総当たり攻撃を自動で投げてくる。
結果として、
ログインページへのアクセスログが大量に溜まる
サーバー負荷がじわじわ上がる
ログイン試行回数制限プラグインが常に働き続ける
という状態になりがちです。
After:ログインURLを変更した場合
ログインページ:https://example.com/owner-portal/
/wp-login.php にアクセスしても、
404 を返したり、トップページにリダイレクトしたりするように設定。
攻撃者の動き:
「とりあえず /wp-login.php を叩く」タイプのボットは、
ログインページにたどり着けない。
結果として、
ログインページへの不正アクセスが大幅に減る
ログイン試行回数制限プラグインの出番も減る
ログのノイズが減り、異常なアクセスを見つけやすくなる
という効果が期待できます。
重要ポイント:自分がログインURLを忘れたら“詰む”
ブックマークとメモは必須
ログインURLを変更したあとに一番怖いのは、
自分がそのURLを忘れること
です。
/wp-login.php はもう使えない
新しいURLも覚えていない
となると、
本当にログインできなくなります。
これを防ぐために、
ブラウザにブックマークしておく
パスワードマネージャーにURLごと保存しておく
運用メモ(Notion、Googleドキュメントなど)に書いておく
といった「自分用の導線」を必ず用意しておきましょう。
複数管理者がいる場合は、全員に共有する
チームで運用している場合、
ログインURLを変えたのに誰にも伝えていない
→ 「ログインできないんだけど?」祭り
という事故が本当に起きます。
ログインURLを変更したら、
管理者・編集者など、ログインする人全員に
新しいURLと理由を共有する
これもセットでやっておくと、運用トラブルを防げます。
プログラミングの感覚で捉える「ログインURL変更」
これは「管理用エンドポイントのパスを変える」設計
Webアプリケーションで、
/admin/login
のような、誰でも想像できるパスをそのまま使うか、
もう少しひねったパスにするか、という設計があります。
WordPress のログインURL変更は、
まさにそれと同じで、
「フレームワークのデフォルトパスを、そのまま外に晒すかどうか」
という話です。
デフォルトのままでも動きます。
でも、「狙われやすさ」は確実に変わります。
「防御レイヤーを一枚増やす」という発想
完璧な防御は存在しませんが、
強いパスワード
2段階認証
ログイン試行回数制限
ログインURL変更
といった対策を“レイヤー”として積み重ねることで、
「簡単には破れない状態」を作ることができます。
ログインURL変更は、その中でも
コストが低い
効果が分かりやすい
副作用も比較的少ない
という、コスパの良い一枚です。
まとめ:ログインURL変更は「やっておくと地味に効く防御」
「ログインURL変更」というのは、
WordPress のデフォルト玄関(/wp-login.php)を
自分専用の入口に変える
という、小さなカスタマイズです。
これだけで、
ボットからの総当たり攻撃が減る
ログがきれいになる
“簡単な標的”から外れやすくなる
というメリットがあります。
やるときのポイントは、
プラグインで安全に実装する
自分が忘れないURLにする
必ずブックマークやメモに残す
他のセキュリティ対策とセットで考える
この4つです。
今日のうちに、
「自分のサイトのログインURLをどうするか」を一度だけ真剣に考えてみてください。
それだけで、あなたはもう“ただのWordPressユーザー”ではなく、
自分のサイトのセキュリティ設計をしているエンジニア側の人間になっています。
