BLOG

ブログを掲載しています。

WordPress管理画面へのログインURLは変更すべし!

最近、webサイト構築・運用支援に関する業務で、
WordPressの管理画面にアクセスすることがよくあります。

WordPressといえば、webサイトを作成する一般的なCMS(コンテンツ管理システム)の1つで、
Web関連技術が無い人でもサイト管理や記事投稿ができるので、
とても多くの方が使われています。
それゆえに、いろいろな外部からの攻撃も受けやすいという面もあります。

WordPress.png

対策として、常にシステムをアップデートし最新の状態に維持することはもちろんですが、
意外と盲点になっているのが管理画面のURLに関すること。

ご存知かと思いますが、
WordPressの管理画面へのログインは、初期設定で下記のどちらかになっています。

・http://ドメイン/wp-admin
・http://ドメイン/wp-login.php

ということは、
デフォルトのままになっていると、
どのサイトでも、サイトのURLの後ろに「wp-admin」、「wp-login.php」を入れると、
誰でも管理画面にたどり着けるということ。

ログイン画面.png

「でも、IDとパスワードがわからないから大丈夫でしょ?」
と思われるかもしれませんが、
意外と想像できるIDやパスワードで設定されているケースも多く、
また、「ブルートフォースアタック(総当たり攻撃)」を受けると、
ログインできてしまう可能性もあります。

万が一、管理画面を乗っ取られると、
Webサイトの改ざんや、記事の削除もできますし、
個人情報の漏洩のリスクもあります。

少しでもリスクを低減させるために、
意識の高いシステム管理者がいらっしゃる組織では、
WordPressの管理画面のデフォルトURLを変更しています。

もし、みなさんのWebサイトの管理画面のURLが、
デフォルトのままになっているようでしたら、
すぐに変更してくださいね!

2021/06/04   小塚 真紀子
< Previous Article     To List     Next Article >