サポート » 使い方全般 » 管理画面のURLを変えることってできるのでしょうか?

  • タイトルの通りなのですが、
    管理画面のURLを変えることは出来るのでしょうか?

    私は、ユーザー投稿型のサイトを作ろうと思っています。
    そこで、投稿型のサイトになると、どこの画面を使って投稿してもらうか、
    ということを考えたときに、
    私は、管理画面を「投稿者」の権限に設定することで、管理画面を公開しようと考えています。
    (管理画面を不特定多数の人に公開することもいいのかどうかわかりませんが・・・)

    ただ、管理画面を公開した時に、
    wp-adminとストレートにURLに表示されてしまうのも
    どうかと思い、変更する必要があるかもしれないと少し思ったので質問しました。

    URLについての情報は少なく、フォーラムなどでも具体的な内容のものを
    見つけられなかったので、今回トピックをたてました。

    セキュリティの話も含め、URLについて、
    なにかわかる方がいらっしゃいましたら、ぜひ教えていただきたいです。

    申し訳ありませんが、よろしくお願いします。

6件の返信を表示中 - 1 - 6件目 (全6件中)
  • モデレーター のむらけい (Kei Nomura)

    (@mypacecreator)

    英語のQ&Aサイトですが、記述があります。
    http://wordpress.stackexchange.com/questions/4789/changing-the-wp-admin-url-to-whatever-i-want

    質問者がarukomeさんと同じ要望で質問していまして、回答者がやめとけって言ってるページです。
    ざっくり訳しますと、

    ディレクトリ名変更は問題があるから簡単には解決できないよ。
    ディレクトリ名「wp-admin」は内部でハードコーディングされてるから、コレの変更は難しくなってるよ。
    やるには/wp-admminを好きなディレクトリにリダイレクトするApacheの再構成が必要よ。

    ってかんじかな。
    つまり、自力でディレクトリ名を書き換えると、プラグインなどが動かなくなったり、処理がおかしくなったりする可能性があるということ、
    リネームはやれないこともないけど、プラグインも含め全部のリクエストを書き換えるスキルが必要、ということです。

    セキュリティの基礎の基礎についてはまず以下の記事をおすすめします。

    WordPress のセキュリティ、こんな記事は要注意 | 8bitodyssey.com
    WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目 | WP-D

    #追記
    たしかに/wp-admin/や/wp-login.phpを無作為に攻撃してくるケースはあります。
    (WPのサイトじゃなくても/wp-login.phpへのアクセスを試みてる形跡とかあったりするので、手当たり次第やってる)

    それには、 WP-Dの記事の8つ目の対策が有効です。

    8. 管理画面にIP制限をかける

    wp-adminとwp-login.phpにアクセスできるホストを信頼できるIPアドレスのみに制限する方法です。たとえパスワードがそのまま外部に流出したとしても、社外から管理画面に入ることができなくする対策です。ただ、これは自由にログインさせるコミュニティサイトでは無理ですし、そうでない場合でも利便性が低下しますので、ケース・バイ・ケースで行うべき対策でしょう。

    mypacecreatorさん

    ご回答ありがとうございます。

    mypacecreatorさんが示してくださいました内容ですと、
    私が技術が無いということもありますが、
    やはり変えるのはやめたほうがいい、ということなんですね。

    もし仮に、投稿画面を公開する、ということになると
    URLの部分については、言い方は悪いですが、
    攻撃されるかどうかは運ということになるのでしょうか?

    モデレーター のむらけい (Kei Nomura)

    (@mypacecreator)

    wp-adminから別のディレクトリ名に変えたとしても、そのディレクトリ名決め打ちで攻撃された時への耐性が変わるわけではないので、ディレクトリ名が分かっていても内部への影響が最小限になるような(運任せでない)対策をすべきということかと思います。

    mypacecreatorさん

    返信遅くなってしまいまして、申し訳ありません。

    wp-adminを変えても、変えなくても、セキュリティ面については、
    大差が無い、という認識で大丈夫ということでしょうか?

    また、セキュリティをいろいろと調べてみると、非常に多くのセキュリティがあり、
    どのようなセキュリティを行っていくか迷っているところでもありますが、
    内部への影響が最小限になるような対策としては、具体的にどのようなものが
    挙げられるのでしょうか?

    もし、よろしければご回答していただけますとありがたいです。

    arukome様とwaterfull様は、実は同じ人なのでしょうか?
    どちらもユーザー投稿型のサイトをWordPressで作ろうとされていたり、
    尋ねておられる内容もかなり似ておられたり、文章も似ておられますが。

    また対策ですが、すでにmypacecreator様がご紹介されておられますよね。
    URLを教えていただいていますし、管理画面にIP制限をかけるなど、
    せっかく質の高いご回答をされておられるのになぜ同じご質問をされるのでしょうか。

    モデレーター のむらけい (Kei Nomura)

    (@mypacecreator)

    セキュリティについては「これをやっておけばOK」という正解はなく、対策には天井がありません。
    現実的には「割ける予算、時間、持っている知識やスキルの中で最大限の対策をします」、ということしかないように思います。

    割ける予算、時間は不確定要素ですが(案件やクライアントの都合に左右されますし。。。)、「持っている知識やスキル」の部分を高めるには日々の情報収集と勉強、実践経験、これしかないでしょう。
    そのお手伝いとなるか分かりませんが、IPA(情報処理推進機構)のWebサイトのURLを貼っておきます。
    http://www.ipa.go.jp/security/vuln/websecurity.html

6件の返信を表示中 - 1 - 6件目 (全6件中)
  • トピック「管理画面のURLを変えることってできるのでしょうか?」には新たに返信することはできません。