WPのセキュリティは万全ではない。
多くの場合、常時攻撃型のアクセスを受けていると考えてよい。サーバで濾過され、プラグインで排除できているから影響を受けないことが多いが、常に危険にさらされている状態である認識は必要だ。
肩書はさておき、単純明快に「FTPからWP直下の.htaccessを書き換える」
.htaccessが見つからない場合は下記の記事を参考に隠しファイルを表示してみると見つかるかもしれない。
→https://seory.info/winscpで隠しファイルを表示する方法/
ファイルの書き換え項目だが、下記を
<IfModule mod_rewrite.c> RewriteEngine OnRewriteRule ^enter/?$ /wp-login.php?test[R,L]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^dashboard/?$ /wp-login.php?test&redirect_to=/wp-admin/ [R,L]RewriteRule ^dashboard/?$ /wp-admin/?test [R,L]RewriteRule ^register/?$ /wp-login.php?test&action=register [R,L]RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.phpRewriteCond %{HTTP_REFERER} !^(.*)tester.com/wp-adminRewriteCond %{HTTP_REFERER} !^(.*)tester.com/wp-login\.phpRewriteCond %{HTTP_REFERER} !^(.*)tester.com/enterRewriteCond %{HTTP_REFERER} !^(.*)tester.com/dashboardRewriteCond %{HTTP_REFERER} !^(.*)tester.com/registerRewriteCond %{QUERY_STRING} !^testRewriteCond %{QUERY_STRING} !^action=logoutRewriteCond %{QUERY_STRING} !^action=rpRewriteCond %{QUERY_STRING} !^action=registerRewriteCond %{QUERY_STRING} !^action=postpassRewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]RewriteCond %{QUERY_STRING} ^loggedout=trueRewriteRule ^.*$ /wp-login.php?test[R,L]</IfModule>.htaccessは重要なファイルで、妙な記述を行うとサイトが吹き飛ぶこともある為、必ずバックアップを取ること。
これでログインURLは https://seory.info/wp-login.php/?test になった。
逆を言えば、.htaccessファイルを見ればログインURLが解るようになっている。
WordPressにログインできなくなってしまった場合でも、FTPにログインできるなら.htaccessログイン情報の確認や、ログインURLの書き換えが可能だ。
よくあるのが、SSL化後にWordPress管理画面のURLをhttpからhttpsに変更してログインできなくなった。などをたまに聞く。
対応としてはまず、.htaccessからログイン情報を確認してhttpへ戻してログインしてみると幸せになれるかもしれない。
同様の記述を行ったのにもかかわらず、ログインURLの変更ができない。
疑うべきはプラグイン。代表的なものと言えば「SiteGuard」
SiteGuardプラグインが入っていると、.htaccessファイルでログインURLを変更できない場合がある。
SiteGuardでもログインURLを切り替えているからだ。
他にもプロテクト系のプラグインが手動の記述を邪魔する可能性がある。
心当たりのあるものは排除するか、プラグインでURLを書き換えてしまうかを選ぼう。
※seoryは個人的にプラグインが嫌い。
サイトが重くなる原因であり、更新やアップデートによる互換性も気になる。便利ではあるが、不要な部分も多い。
サイト規模や性格に合った方法でそれなりに管理するのがストレスフリー