KUSANAGI（Nginx）でプラグインを使わずにログインページURLを変更してみた

本稿では、KUSANAGI（Nginx）で、プラグインを使わずにログインページURLを変更する方法を紹介します。

アイキャッチの画像はKUSANAGIのイメージキャラクター草薙沙耶　©PRIME STRATEGY

KUSANAGI＆WEXAL（ConoHa VPS）の記事サイトマップ

Nginxの定番セキュリティプラグイン「Login rebuilder」

WordPressにおける不正アクセス対策の筆頭とも言いうるのがログインページURLの変更。
そしてKUSANAGI（Nginx）の場合、ログインページURLを変更する手段の定番はプラグイン「Login rebuilder」を使うことです。

Login rebuilder～KUSANAGI（Nginx）でログインページURLを変更できるセキュリティプラグイン

本記事はプラグインLogin rebuilderの紹介です。Login rebuilderはWordPressのログイン画面を変更することでセキュリティを強化します。他と違いNginxでも動くのがポイント、KUSANAGIユーザーには重宝します。

kimoota.net

2016.12.20

紹介記事を書いているくらいですので、私もKUSANAGI導入以来ずっと使ってきました。

しかし、せっかく高速なKUSANAGIを使っているのですから、プラグインは１つでも減らしたい。
ログインページでしか動かない本プラグインを削る意味なんてないのですが、それでもと試してみました。

Login rebuilder作者がプラグインを使わない方法を紹介している

実はLogin rebuilderの作者さん自らが、プラグインを使わずログインページURLを変更する方法を紹介しています。

ログインページを変える

WordPressの標準的な不正ログイン対策としては、ログインIDは'admin'を避けるパスワードはユニークで長くする、場合によってはアクセスできるIPアドレスを制限する、といった具合だろう。これらの他に何かできないものだろうかと、ちょっと考えてみた。

elearn.jp

むしろ、この方法をプラグイン化したのが「Login rebuilder」です。

私もLogin rebuilderを導入した際、この記事を読んではいました。
しかし当時は慣れないNginxで頭がパンク状態。
素直にプラグインに甘えました。

だけど、今読み直してみたら……

ということでやってみました。

結果は、

プラグイン無しでログインページURLを変更するためのポイント

今までLogin rebuilderを使ってた人は、ログインページ用のPHPファイルを新しく作り直して始めた方がいいかも

記述がプラグインと若干違いますので。
最初からやり直した方が混乱するリスクは減ります。

書き換えるのは、PHPファイルで１箇所とfunctions.phpで2箇所の合計３箇所です

ログインページ用のPHPファイル。

define( 'ANYWHERE_LOGIN', sha1( 'keyword' ) );

①keywordを任意の文字列に変更します。

functions.php。

define( 'ANYWHERE_LOGIN_PAGE', 'anywhere-login.php' );

②anywhere-login.phpをログインページ用のPHPファイルの名前に変更します。

 if ( !defined( 'ANYWHERE_LOGIN' ) || sha1( 'keyword' ) != ANYWHERE_LOGIN ) {

③keywordに①と同じ文字列を入れます。

さらに突き詰めたい方向けに

Luxeritasテーマの作者るな様がファイルをディレクトリに変更する方法を紹介しています。

WrdPress のセキュリティ強化方法 | Thought is free

WordPressで作られたサイトを見回すと、結構セキュリティに無関心なように見えるサイトがちょこちょこと見られる。なので、初心者でも簡単にできるWrdPressのセキュ...

thk.kanzae.net

ここまでやれば完壁じゃないでしょうか？

まとめ

一見すると難しそうに見えますが、ログインページ用のPHPファイルはプラグインを使うにしても作成します。
つまり、

キーワードを自分で考えて、functions.phpにコピペして、２箇所書き換えるだけです
総合的な手間はプラグイン導入と大して変わりませんので、ぜひやってみてください