WordPressのログインURLを特定（または変更やロックダウン）するには

WordPressの初心者のユーザーは、自分のアカウントにログインするのに苦労します。本記事では、WordPressのログインURLの場所を見つける方法と、ログインプロセスの注意事項についてご説明します。

とりあえず、基本から始めましょう。

WordPressのログインの重要性

WordPressをインストールすると、サイトをニーズに合わせて設定したり、好きな内容を変更したりできるウェブサイトの管理ダッシュボードにアクセスできるようになります。

管理画面にアクセスできない場合、上記もできません。ログイン画面は、他人をWordPressサイトの管理側にアクセスできないようにするものです。

管理画面にアクセスできないと、サイトやブログを完全に制御することは事実上不可能です。

しかし、WordPressのログイン画面はどこにあるのでしょうか？

WordPressのログインURLを見つけるには

WordPressのログイン画面を見つけることは、おそらく想像以上に簡単です。WordPressの新規インストールなら、ウェブサイトのURLの末尾に/admin/（例：www.yourawesomesite.com/admin/）または/login/（例：www.yourawesomesite.com/login/）を記入すると、ログイン画面にリダイレクトされます。

上記の2つを記入すると、通常はWordPressのログイン画面に移動します。そうでない場合は、ログインページにアクセスする別の方法があります。次の例のように、URLの末尾に/wp-login.phpを追加します：www.awesomesite.com/wp-login.php。

サブディレクトリまたはサブドメインでWordPressのログインURLを見つけるには

上記は、標準の新規WordPressインストールの場合です。しかし、www.yourawesomesite.com/wordpress/などのドメインのサブディレクトリや、blog.yourawesomesite.com/などのWordPressサブドメインにWordPressをインストールした場合もあります。

その場合は、サブディレクトリやサブドメインの最後のスラッシュ（/）の直後に前述のパスの1つを追加して、次のようなものにします。

www.awesomesite.com/wordpress/login/ やwww.awesomesite.com/wordpress/wp-login.php。

どちらを使用していても、WordPressのログイン画面が表示されます。忘れたくない方は、お気に入りのURLをブックマークしてください。

または、WordPressのログイン画面に「ログイン状態を保存する」オプションがあります。これにより、数日間ログインしたままになります。（期間の長さはクッキーの設定によります。）

WordPressのログイン画面からのログインは、簡単だが重要な作業です。サイトで問題が発生していない場合は、メールアドレスやユーザー名とパスワードのみが必要です。

以上です。残念ながら、悪意のある人々が多く、あなたのサイトが標的になる可能性があります。

それで、どの対策を実施すれば良いのでしょうか？

まずは、ログインしましょう。

Where the heck is the #WordPress login page? 😤Follow these tips to easily find your login URL and improve your security at the same time! クリックでつぶやく

WordPressのログイン画面を変更するには

ログイン画面は、ハッカーや悪意のある攻撃者がアクセスできないものでなければなりません。サイトの管理画面にアクセスしてしまうと、状況をめちゃくちゃにする可能性があります。そうなると、非常に大変です！

強力で一意の長いパスワードは、サイトへの不正アクセスを防止するのに役立ちますが、セキュリティならやりすぎがないでしょう。

不正アクセスを防止する迅速かつ効果的な方法の一つは、WordPressのログイン画面を新しい一意のURLに移動することです。あなたとあなたのユーザーがWordPressサイトにアクセスするログインURLを変更することは、ランダムな攻撃、ハッキング、総当たり攻撃などの予防なら非常に役立ちます。

総当たり攻撃についてのひとこと：総当たり攻撃とは、悪意のある人がWeb上で漏えいした一般的なユーザー名とパスワードのリストを悪用してあなたのユーザー名とパスワードを何回も推測してみる攻撃です。やり方は、自動化スクリプトを利用して、何千もの組み合わせを試すことです。

今日の世界では、あなたのWordPressのパスワードまたはユーザー名がこれらの漏えいしたリストのいずれかに含まれている可能性が高いです。広く知られているものであるWordPressのログイン画面の標準URLを使用すると、ハッカーや悪意のある攻撃者がWordPressサイトに簡単にアクセスできるようになります。

そのため、WordPressのログイン画面を別のパスに移動すると便利でしょう。

プラグインを使用してWordPressのログイン画面を変更する

WordPressのログインURL画面を変更する最も一般的でおそらく最も簡単な方法は、WPS Hide Loginなどの無料のプラグインを使用することです。

このプラグインは非常に軽量ですが、さらに重要なことに、コアのファイルを変更したり、書き換えルールを追加したりせず、単に要求を無視するプラグインです。また、BuddyPress、bbPress、Limit Login Attempts、およびUser Switchingプラグインとも互換性があります。

ダウンロードしてアクティブ化したら、次の手順に従います。

1. 右側のサイドバーの「設定」タブで「WPS Hide Login 」をクリックします。
2. 「Login URL」（ログインURL）フィールドに新しいログインURLパスを追加します。
3. 「 Redirection URL」（リダイレクトURL）に特定のリダイレクトURLを追加します。このページは、ログインしていないままのユーザーが標準のwp-login.php画面やwp-adminディレクトリにアクセスしようとするとトリガーされます。
4. 「Save Changes」（変更を保存）をクリックします。

ログインURLを変更できるもう一つのプレミアムプラグインは、Kinstaのチームメンバーの1人が開発したPerfmattersです。

WordPressのログインURLを変更することは、簡単な攻撃なら不正アクセスを予防するのに役立ちますが、専門家のハッカーなら、努力してログイン画面を見つけ出す場合がありますので、ご了承ください。

それで、なぜURLを変更した方が良いのでしょうか？セキュリティはレイヤーが重要です。ツール、工夫、予防策の数が多いほど、悪意のあるユーザーがサ不正アクセスするのが難しくなります。（質のいいホスティングが重要な役割を果たします。など）

ログインURLを変更すると、「429 Too Many Requests」（要求が多すぎる）などのよくあるWordPressエラーを防ぐこともできます。このエラーはユーザーが短時間に大量の要求を送信してきたときにサーバーにより生成されます（レート制限）。ログインURLにアクセスするボットやスクリプトが原因で発生する可能性があります。エンドユーザーが原因で発生することはほとんどありません。

.htaccessファイルを編集してWordPressのログイン画面を変更する

WordPressのログイン画面のURLを変更または非表示にするもう一つの技術的な方法は、.htaccessファイルを編集することです。

cPanelのホスティング会社によく使用される.htaccessファイルの主な役割は、ルールを構成し、システム全体の設定をセットアップすることです。ログイン画面の非表示なら、.htaccessでは2つの方法があります。

1つ目は、.htpasswdを使用してログイン画面をパスワードで保護することです。これにより、ログイン画面にアクセスする前に、パスワードを入力する必要があります。KinstaはNginxを使用しているため、.htaccessファイルはありません。Kinstaのお客様にはhtpasswdツールを使用してサイト全体をパスワードで保護するか、サポートチームに連絡してログイン画面だけをパスワードで保護していただけます。

2番目の方法は、信頼できるIPアドレスのリストを作成して、リストに載っているIPアドレスのみにログインページへのアクセスを許可することです。

Limiting Login Attempts

もう一つの効果的な予防策は、ログインの試行回数を制限することです。Kinstaのお客様である場合、1分間に6回以上ログインに失敗したIPは自動的に禁止されます。

または、Limit Login Attempts Reloadedなどの無料のプラグインをダウンロードすることもできます。

プラグインの設定はかなり簡単です。

• Total Lockouts（アクセス禁止件数）：不正アクセスをしようとしたが失敗したハッカーの数を示します。
• Allowed retries（許可される試行回数）：IPアドレスが禁止されるまでに許可される試行回数。

4回〜6回は一般的な試行回数でしょう。これにより、アクセス権を持っている実際の人間が間違いを犯し（結局のところ、パスワードを入力するときに間違いを犯すのは普通のことです）、間違ったパスワードを入力したことに気付き、エラーを修正できるようになります。

特に、サイトに頻繁にゲストブロガーがいる場合や、サイトの管理を担当しているスタッフが数人いる場合は、1または2よりも高い値を設定することが重要です。

• Minutes lockout （禁止期間）：IPアドレスが禁止される期間。

これを「永久」に設定することもできますが、そうすると実際に間違いを犯している人に対して公正を欠いているでしょう。そういったユーザーを再度アクセスできるようにする必要があります。20〜30分程度が適切です。

• Lockouts increase（禁止時間の増加）：総当たり攻撃が一度発生した場合、再発する可能性が高いです。

この機能は、「あなたは数回アクセス禁止になったことがあることを検出したため、今回は禁止時間を増やします。」という機能です。一日くらいにすれば良いでしょう。

4. Hours until retries（再試行までの時間）：設定がリセットされ、ユーザーが再試行できるようになるまでの時間。

このプラグインでは、ホワイトリスト、ブラックリストと、信頼できるIPを管理することもできます。

WordPressのログインで最もよく発生する課題の処理

WordPressサイトへのログインは、すばやく簡単な作業です。一方、一部のユーザー（あなた？）は、WordPressサイトにアクセスしようとしたときに問題を抱えた場合があります。問題というのは、次の状況のいずれかに該当します。

• パスワードに関する問題
• クッキーに関連する問題

両方を確認して、対処方法を見てみましょう！

WordPressへのログイン：パスワードを忘れた

ログインができない場合は、ログイン認証情報に問題がある可能性があります。

したがって、最初に、入力したユーザー名とパスワードが正しいかどうかを確認しましょう。簡単すぎるに聞こえるかもしれませんが、これらが誤って入力される頻度は意外と多いです。

直りましたでしょうか？そうでない場合、まずはパスワードをリセットすることをお勧めします。これを行うには、「パスワードをお忘れですか？」をクリックします。ログイン画面のすぐ下にあります。

ユーザー名や電子メールを入力する画面にリダイレクトされ、新しいパスワードが送信されます。

phpMyAdminを使用してWordPressパスワードを手動でリセットする

これがうまくいかない場合、手動でパスワードをリセットする必要があるため、状況は少し複雑になります。データベースファイルとの作業に自信がない場合は、これを行わないでください。

WordPressのログインパスワードを手動でリセットするには、データベースのパスワードファイルを編集します。ご利用のホスティング会社でphpMyAdminにアクセスできる場合、これは難しくありません。

問題が発生した場合に備えて、データベースファイルを編集する前に、必ずサイトをバックアップしてください。

できましたか？素晴らしいです！

ステップ1

次に、phpMyAdminにログインします。Kinstaのお客様である場合、phpMyAdminへのログインリンクはMyKinstaダッシュボードにあります。

ステップ2

左側の「データベース」をクリックします。次に、wp_usersというテーブルをクリックします。次に、リセットすユーザーログインの横にある「Edit」（編集）をクリックします。

ステップ3

user_pass列に、新しいパスワードを入力します（大文字と小文字が区別されます）。 「Function」（機能）のドロップダウンメニューで、「MD5」を選択します。次に、「Go」（確定）をクリックします。

ステップ4

新しいパスワードをログイン画面でテストします。

WP-CLIを使用してWordPressパスワードを手動でリセットする

WordPressのパスワードをリセットするもう一つの方法は、WP-CLIを使用することです。WP-CLIはWordPressインストールのよくある（又はまれな）作業を管理するための開発者向けのコマンドラインツールです。

ステップ1

まず、次のコマンドを使用して、WordPressインストールの現在のユーザーのリストを作成します。

$ wp user list

ステップ2

次に、次のコマンドを使用して、ご希望の新しいパスワードを入力してユーザーIDとパスワードを更新します。

$ wp user update 1 --user_pass=strongpasswordgoeshere

ステップ3

新しいパスワードをログイン画面でテストします。

WordPressへのログイン：クッキー

場合によっては、クッキーに関連する問題が原因でログインできないことがあります。その場合、通常は次のエラーが発生します。

エラー：お使いのブラウザは Cookie をブロックしているか、Cookie に対応していません。WordPress を使うには Cookie を有効にする必要があります。

WordPressのログインはクッキーに依存して動作します。クッキーが無効になっているか、正しく機能していない場合は、ログイン画面の問題が発生する可能性があります。最初に確認することは、ブラウザでCookieが有効になっているかどうかです。

• Google Chromeのクッキー
• Mozilla Firefoxのクッキー
• Internet Explorerのクッキー
• Safariのクッキー

本エラーは、最近移行されたWordPressのインストールまたはマルチサイトでよく見られます。単にブラウザを更新して再度ログインしようとするだけで、直る場合もあります。また、ブラウザのキャッシュをクリアするか、別のブラウザをシークレットモードで開くこともできます。

上記のいずれもうまくいかない場合は、wp-config.php ファイルの/* That's all, stop editing!...*/の直前に以下の行を追加してみてください。

define('COOKIE_DOMAIN', false);

WordPressのマルチサイトの場合は、/wp-content/フォルダーにsunrise.phpファイルがあるかどうかを確認して、名前をsunrise.php.disabledに変更します。 これは、古いドメインマッピング方式で使用されるファイルです。WordPress 4.5以降、マルチサイトでドメインをマップするためのプラグインは不要になりました。Kinstaのお客様で、不明な点がございましたら、サポートチームまでお問い合わせください。対応いたします。

まとめ

WordPressのログイン画面は、サイトへのアクセスを許可するゲートウェイです。 ログインにができないと、単なる訪問者にすぎません。

そのため、WordPressサイトにログインするたびに時間を無駄にしないように、この重要な画面にアクセスする方法を覚えておく必要があります。

セキュリティを強化したいですか？ 標準のWordPressログインURLを任意のカスタムのものに変更し、そのURLを信頼できる人にのみ教えるようにしてください！また、WordPressから何回もログアウトされる場合は、必ずこちらのガイドをご参照てください。