WordPressは世界中で広く使われているため、ログインページがスパム攻撃の標的になりやすいという弱点があります。とくに、/wp-login.phpや/wp-adminといったURLは、ほとんどのWordPressサイトで共通しているため、悪意あるBotが簡単にアクセスして総当たり攻撃(ブルートフォースアタック)を仕掛けてくるのです。
そんな中でおすすめなのが、WPS Hide Loginという無料プラグイン。誰でも簡単に、ログインURLを変更してスパム攻撃から守ることができます。本記事では、初心者でも迷わないよう、インストールから設定、注意点までを丁寧に解説します。
WPS Hide Loginとは?
WPS Hide Loginは、WordPressのログインページのURLを変更できる軽量なプラグインです。ファイルを書き換えることなく、ログインページへのアクセス経路を隠すことで、Botによるログイン試行を大幅に防ぐことができます。
変更前のURL例:https://example.com/wp-login.php
変更後のURL例:https://example.com/my-login-page
WPS Hide Loginのインストール手順
- WordPressの管理画面にログインします。
- 左メニューの「プラグイン」→「新規追加」をクリック。
- 右上の検索欄に「WPS Hide Login」と入力します。
- 「今すぐインストール」→「有効化」をクリックします。
ログインURLの設定方法
- プラグインを有効化後、「設定 → 一般」を開きます。
- ページ下部に「WPS Hide Login」の設定項目が追加されています。
- 「ログインURL」欄に任意のURL(例:
my-login-page)を入力します。 - ページ下の「変更を保存」をクリックして完了です。
重要:旧ログインURL(/wp-login.php)や/wp-adminは無効になります。新しいログインURLは必ずメモかブックマークしておきましょう!
変更後のURLを忘れてしまった場合の対処法
万が一、新しいログインURLを忘れてしまった場合は、次のいずれかの方法で復旧できます。
- FTPやファイルマネージャーで「WPS Hide Login」を一時的に無効化
/wp-content/plugins/フォルダにあるwps-hide-loginフォルダの名前を一時的に変更します(例:wps-hide-login_backup)。これにより、元の/wp-login.phpからログインできるようになります。 - データベースから確認する方法
管理画面にアクセスできない場合は、phpMyAdmin などでwp_optionsテーブルを確認し、wps_hide_loginオプションの値を探します。
ログイン後は、プラグインを再有効化し、再設定を行いましょう。
安全なログインURLを考えるコツ
- 推測されやすい名前(例:
loginやadmin)は避ける - 英数字を組み合わせた長めの文字列(例:
mysecuredoor2025)が効果的 - サイト名や会社名などを含めてもOK
WPS Hide Loginを使うメリット
このプラグインを導入することで、以下のようなメリットがあります。
- スパムBotによる不正ログインを防止
- ログの肥大化やサーバー負荷の軽減
- セキュリティ対策を手軽に強化
- ログイン試行の失敗によるロックアウトを減らす
注意点と併用したいセキュリティ対策
WPS Hide Loginは強力ですが、単体では不十分な場合もあります。以下の対策とあわせることで、より堅牢なセキュリティを構築できます。
- 2段階認証(2FA)の導入:Google AuthenticatorやWordfenceを併用
- ログイン試行制限:WordfenceやLogin Lockdownなどで回数制限を設ける
- 管理画面アクセスのIP制限:.htaccessで特定のIP以外をブロック
おわりに
WordPressサイトのセキュリティを高める第一歩として、WPS Hide Loginの導入は非常に効果的です。とくに初心者でも扱いやすく、導入後すぐに効果を実感できる点が大きな魅力です。
「なんとなく不安…」と感じている方は、ぜひ今すぐログインURLを変更して、Botから大切なサイトを守りましょう!
Web制作やHTML/CSSの学習に役立つ情報を初心者向けに発信しています。
プロフィールはこちら