WordPress初心者がまずつまづきやすいのが、管理画面へのログインです。この記事では、WordPressのログイン画面を開く方法と、ログインが完了するまでに注意すべき事項を解説します。
WordPressのログインURLについて動画での解説もご用意しています。
WordPressログインの重要性
WordPressをインストールすると、管理画面へのアクセス権限が与えられ、サイト設定が変更できるようになります。
管理画面にアクセスできない限り、サイトの設定は変更できません。ログイン画面は、サイト訪問者をWordPressサイトの「管理者領域」から遠ざけるためのものです。
管理画面にアクセスできなければ、サイトやブログを完全にコントロールすることは事実上不可能です。
では、WordPressログイン画面はどこにあるのでしょうか。
WordPressのログインURLを特定するには
WordPressログイン画面にアクセスするには、サイトのURLの末尾に/login/、/admin/、または /wp-login.phpを追加します。
WordPressをサブディレクトリ(www.yoursite.com/wordpress/)またはサブドメイン(blog.yoursite.com/)にインストールした場合は、上記の3つのパスのいずれかをURLの最後に追加します。例えば:www.yoursite.com/wordpress/wp-login.php または blog.yoursite.com/wp-login.php。
WordPressログインURLの見つけ方
WordPressのログイン画面へはとても簡単にアクセスできます。デフォルトでは、/admin/(例:www.yourawesomesite.com/admin/)または/login/(例:www.yourawesomesite.com/login/)をサイトURLの末尾に追加すると、ログインページにリダイレクトします。
通常、この2つのパスはWordPressのログイン画面をすぐに開きます。もしうまくページが表示されない場合は、代替手段として、URLの末尾に/wp-login.phpを追加してください。例)www.awesomesite.com/wp-login.php
サブディレクトリまたはサブドメインのWordPressログインURLを見つける方法
ここまで、WordPressを通常の方法で新規インストールしている想定でご説明しましたが、サイトによってはwww.yourawesomesite.com/wordpress/のように、ドメイン配下にサブディレクトリを配置している場合や、blog.yourawesomesite.com/のようにWordPressをサブドメインにインストールしているかもしれません。
その場合は以下のように、サブディレクトリやサブドメインの閉じスラッシュ/の直後に、先ほどご紹介したパスを追加してください。
www.awesomesite.com/wordpress/login/www.awesomesite.com/wordpress/wp-login.php
上記のいずれのURLも、WordPressのログインページを開きます。忘れないよう、URLをブックマークしておきましょう。
また、WordPressのログイン画面には「ログイン状態を保存する」というチェックボックスがあります。チェックを入れておくと、管理画面へのアクセス時、ログイン状態を数日間保持できます(Cookieの設定による)。
WordPressのログインは、セキュリティの面で非常に重要な操作でありながら、このように簡単に実行できてしまいます。つまり、メールアドレスまたはユーザー名、そしてパスワードさえわかれば、誰でもログインできてしまうということです。
悪意あるハッカーはとても多いので、あなたのサイトが標的になってしまうかもしれません。
悪意あるログイン防止のために最低限できることとして、ログインページの移動をおすすめします。
WordPressログインページの変更方法
ハッカーなどにサイトのログイン画面にアクセスされるのは、何としても避けたいもの。管理画面を乗っ取られ、不正行為が行われる可能性があります。
強固でユニークな長いパスワードを使用することは、サイトへの不正アクセスを防ぐためにとても効果的ですが、サイトが危険に晒されてしまった場合にはそれだけでは不十分です。
悪意あるユーザーの侵入を手っ取り早く、なおかつ効果的に防ぐには、WordPressのログイン画面を独自のURLに変更しましょう。サイトへのログインが必要な人だけが知るURLに変更すれば、無作為な攻撃やハッキング、総当たり攻撃などへの対策になります。
ここで、ブルートフォース攻撃(総当たり攻撃)について簡単にご説明しましょう。ブルートフォース攻撃とは、対象サイトのユーザー名とパスワードを推測し、ハッキングを何度も試みることを言います。ログイン試行は自動化スクリプトが行い、何千通りもの組み合わせを試行します。ユーザー名とパスワード組み合わせは、ウェブ上に漏洩し、出回っているリストが使用されることもあります。
あなたのWordPressのパスワードやユーザー名が、このような漏洩リストに載ってしまっている可能性は決して低くありません。WordPressのログイン画面が誰にでもわかるアドレスにあり、ユーザー名とパスワードも漏洩しているとなれば、ハッカーや悪意のある攻撃者がいかに簡単にWordPressサイトへアクセスできてしまうか、ご想像いただけるでしょう。
そこで、WordPressのログインページを別のパスへ移動しておくことが効果的なのです。
プラグインでWordPressログインページを変更
WordPressのログイン画面URLを変更するには、無料プラグインを使用するのが1番手軽で一般的な方法です。ここでは、80万以上のアクティブユーザーを持つ人気プラグインWPS Hide Loginを使用した変更方法を解説していきます。
WPS Hide Loginは非常に軽量なプラグインです。特にすばらしい点は、シンプルにリクエストを阻止するだけなので、本体ファイルの変更やリライトルールの追加といったややこしい挙動がありません。BuddyPress、bbPress、Limit Login Attempts、User Switchingの各プラグインとも互換性があります。
ダウンロードし有効化したら、以下の手順で設定します。
- 管理画面メニューの「設定>WPS Hide Login」をクリックします。
- 「ログイン URL」に変更後のログインURLのパスを入力します。
- 「リダイレクト URL」にリダイレクト先のURLを追加します。ここで指定したページは、未ログインユーザーが、デフォルトURLの「wp-login.php」または「wp-admin」ディレクトリにアクセスした場合に転送されます。
- 「変更を保存」をクリックします。
有料プラグインでログインURLを変更するには、Kinstaのチームメンバーの一人が開発したPerfmattersプラグインがおすすめです。
WordPressのログインURLを変更すれば、単純な攻撃は防ぐことができますが、高度なスキルを持ったユーザーやハッカーであれば、サイトを分析してログイン画面を見つけ出すことができてしまいます。そのため、さらなる対策が必要です。
そこまでする必要はないと感じるかもしれませんが、セキュリティとはツールや裏ワザ、防御策が多ければ多いほど強いゲームのようなものです。セキュリティツールが豊富に用意された優れたホスティングサービスを利用し、セキュリティ強化策を講じれば講じるほど、サイトに不正アクセスされる可能性が低くなります。
ログインURLを変更することで、「429 Too Many Requests」のようなWordPressの一般的なエラーも防げます。このエラーは通常、ユーザーが一定時間内に送信したリクエストが多すぎる場合にサーバーから発生します(レート制限)。普通はボットやスクリプトがログインURLを攻撃することで発生するもので、エンドユーザーがこのエラーを引き起こすことはほとんどありません。
.htaccessファイルを編集してWordPressのログインページを変更する
もっと技術的な方法でWordPress ログインURLを変更、または非表示にするには、.htaccessファイルを編集する方法があります。
通常、Apacheホストで使用される.htaccessファイルの主な役割は、ホスティングのルールの構成と、システム全体の設定を行うすることです。ログイン画面の非表示についての文脈では、.htaccessでできることは2点あります。
1点目は、.htpasswdファイルによってログイン画面をパスワード保護し、ログイン画面へアクセスするより前にパスワード入力を要求することです。Kinstaでは、Nginxを使用しているため、.htaccessファイルはありません。
Kinstaでは、代わりにhtpasswd保護を使用して、サイト全体をパスワード保護できます。または、ログイン画面のロック方法については、カスタマーサポートまでお問い合わせください。
.htaccessでできることの2点目は、信頼できるIPアドレスリストからのみ、ログイン画面へアクセス可能にすることです。
ログイン試行回数を制限
ログイン試行回数を制限するのも、効果的なセキュリティ対策になります。Kinstaでは、1分間に6回以上ログインに失敗したIPを自動的にブロックします。
無料プラグインで設定するなら、Limit Login Attempts Reloadedがおすすめです。
見たままでわかりやすい、プラグイン設定画面が用意されています。
- 総ロック数:侵入を試みて失敗したハッカーの数を表示
- X回までリトライを許可する:IPアドレスをロックアウトするまでの試行回数が指定可能
4~6回が最も一般的な試行回数でしょう。人間誰しもパスワードを間違えることはあります。適切な回数を指定しておけば、ボットではない、本来ログインできるべきユーザーのミスである場合、ここで設定した試行回数の間にパスワードの間違いに気づき、正しいパスワードの入力を促せます。
特に、頻繁にゲスト寄稿者を招待するようなブログや、複数人で管理しているサイトでは、この2項目を必ず設定しましょう。
- X分間ロックする:IPアドレスをロックアウトする時間を指定可能
永遠にロックアウトが解除されなくなってしまうと、ボットではない、本当に間違ってしまっただけの人にとって不便です。20~30分程度が妥当でしょう。
- X回ロックされるとY時間ロックする:ブルートフォースアタックが、一定時間後に再試行することを考慮
この機能は、同じユーザーが何度も締め出されている場合、次回はもっと長くロックアウトするというものです。24時間がおすすめ。
- X時間でリトライ数をリセットする:すべてをリセットして再試行させるまでの時間を指定可能
他にも、ホワイトリスト、ブラックリスト、ブロックしないIPも管理できます。
WordPressログインでよくある問題の解決法
WordPressサイトへのログインは、通常であれば簡単にすぐに完了しますが、問題に直面することもあるでしょう。ログイン時に発生しうる問題は、たいてい以下のどちらかです。
- パスワードに関する問題
- Cookieに関する問題
この2点について、よくある問題と対処法を見てみましょう。
WordPressログイン時のパスワード紛失
サイトにログインできない場合、ログイン情報に問題がある可能性があります。
まずは、入力したユーザー名とパスワードが本当に正しいかどうか確認しましょう。間違うわけないと思いがちですが、誰にでも起こりうる、よくあるミスです。
それでもうまくいかなければ、他のことを試す前に、WordPressのパスワードを変更をおすすめします。ログインフォームのすぐ下にある「パスワードをお忘れですか ?」をクリックします。
リンク先のページでは、ユーザー名またはメールアドレスを入力します。ボタンをクリックすると、登録メールアドレスに新しいパスワードが送信されます。
phpMyAdminでWordPressのパスワードを手動でリセットする
パスワードリセットがうまくいかない場合、手動でパスワードをリセットしなければならず、少し複雑になります。データベースファイルの操作に不慣れな場合は行わないでください。
WordPressのログインパスワードを手動リセットするには、データベース内にあるパスワードファイルを編集します。ホスティングにphpMyAdminが用意されているなら、難しいことではありません。
データベースを編集する際は、万が一に備えて毎回必ずサイトをバックアップしてください。
手順1
phpMyAdminにログインします。Kinstaを使用している場合、MyKinstaにphpMyAdminへのログインリンクがあります。
手順2
左メニューから、対象のデータベースをクリック、wp_usersという名称のテーブルをクリックします。続いて、リセットしたいログインユーザーの「編集」をクリックします。
手順3
user_passカラムに新しいパスワードを入力します(大文字と小文字は区別される)。Functionドロップダウンから、「MD5」を選択し、最後に「実行」をクリックします。
手順4
ログイン画面で新しいパスワードをテストします。
WP-CLIでWordPressのパスワードを手動リセットする
WordPressのパスワードをリセットするもう1つの手段として、WP-CLIを使用することもできます。WP-CLIは、WordPress本体設定の一般的なものからニッチなものまで管理できる、開発者向けコマンドラインツールです。
手順1
まず以下のコマンドを使用し、現在のWordPressサイトユーザーをすべてリストアップします。
$ wp user list
手順2
次に、以下のようなコマンドで、対象のユーザーIDと新しいパスワードを指定し、ユーザーのパスワード更新を実行します。
$ wp user update 1 --user_pass=strongpasswordgoeshere
手順3
新しいパスワードをログイン画面でテストします。
WordPressログイン時のCookie
場合によっては、Cookieの問題でログインできないこともあります。その場合は通常、以下のようなエラーが表示されます。
エラー: Cookie がブロックされているか、お使いのブラウザーで未対応のようです。WordPress を使うには Cookie を有効化する必要があります。
WordPressのログインはCookieに依存しています。Cookieが無効になっているか、正しく動作していない場合、ログイン画面で問題が発生することがあります。まずは、ブラウザでCookieが有効かどうか確認しましょう。
移行したばかりのWordPressサイトや、WordPressの機能であるマルチサイトを使用したサイトでは、しばしばエラーが発生します。ブラウザを再読み込みしてから再度ログインしてみると、エラーが解消される場合があります。または、ブラウザのキャッシュをクリアするか、シークレットモードで別のウィンドウを開いて試してみてください。
上記のいずれもうまくいかない場合は、wp-config.phpファイル内にある/* That's all, stop editing!...*/というコメントの直前に、以下の行を追加してみてください。
define('COOKIE_DOMAIN', false);
WordPressのマルチサイトを設置している場合、/wp-content/フォルダにsunrise.phpファイルがないか確認し、あった場合はファイル名をsunrise.php.disabledへと変更しましょう。 これは以前のドメインマッピングで使用されていたファイルです。
WordPress 4.5以降、WordPressでマルチサイトを設置する際、ドメインマッピング用のプラグインは不要になりました。Kinstaをご利用で、ドメインマッピングについてご質問がございましたら、カスタマーサポートまでお問い合わせください。
まとめ
WordPressのログインページは、サイト管理を許可する入り口です。正常にログインできなければ、サイトを閲覧することしかできません。
重要なページですから、WordPressサイトへログインするたびに多くの時間を無駄にしないためにも、ログイン方法をしっかり身につけましょう。
セキュリティを強化させたいなら、デフォルトのWordPressログインURLを任意のカスタムURLに変更し、変更後のURLを信頼できる人とだけ共有しましょう。WordPressから何度もログアウトさせられてしまう場合はこちらをご覧ください。
また、WordPressのURLを変更する方法もご紹介しています。
Head of Content at Kinsta and Content Marketing Consultant for WordPress plugin developers. Connect with Matteo on Twitter.
