概要
WordPressは世界シェアが圧倒的に高いため、常に自動ボットや攻撃者の格好の標的になります。/wp-admin や wp-login.php といった共通の構造を狙われるのは、いわば「有名税」のようなものです。
Hide My WP Ghost Liteは、そんなWordPress特有の構造を徹底的に隠蔽し、外部から「WordPressを使っているサイト」として認識させないことで、攻撃の試行そのものを諦めさせるプラグインです。
配布ページ: https://ja.wordpress.org/plugins/hide-my-wp/
結論
WAFやスキャンで「受けて守る」前に、そもそも「標的リストから外れる」というアプローチを重視するなら、このプラグインが最適です。ログインパスの変更だけでなく、HTMLソースからWP固有のメタタグやコメントを消し去ることで、セキュリティの土台を静かに、かつ強力に固めてくれます。
おすすめポイント
- ログインURLの完全隠蔽
標準のログインURLを指定したものに変更し、元のURLへのアクセスを404(存在しないページ)として扱えます。 - デジタルフットプリントの消去
HTML内のgeneratorタグや特定のクラス名、コメントなど、WordPressであることを示唆する痕跡をまとめて削除できます。 - 物理的な変更なし
サーバー上のファイル構造を実際に書き換えるのではなく、リダイレクトやマッピングで隠すため、サイトを壊すリスクが抑えられています。
できること
- カスタムパスの設定
管理画面(wp-admin)やログイン(wp-login.php)はもちろん、wp-contentやwp-uploadsといったWordPress特有のディレクトリ名も自由な名称へ変更し、構成を隠すことができます。 - WPバージョン情報の隠蔽
ソースコードやHTTPヘッダーに含まれるバージョン情報を削除。 - セキュリティ要塞化 (Hardening)
XML-RPCの停止、ディレクトリリスティングの禁止、REST APIの制限など。 - 8G Firewall搭載
非常に軽量ながら強力なエッジ防御ルールを簡単に適用可能。
使いどころ
「毎日届く不正ログイン試行の通知メールをいい加減止めたい」という管理者の負担を減らすのに最適です。また、特定のプラグインの脆弱性を狙った「一斉攻撃」の波形から、自分のサイトをそっと外しておきたい場合にも効果を発揮します。
注意点
- ロックアウトのリスク
設定を誤ると管理者自身もログインできなくなります。それぞれのオプションがシステムにどのような影響を与えるか、内容を理解してから適用することを強く推奨します。 - 復旧スキルの必要性
万が一ログイン不能になった場合に備え、FTP経由でのプラグイン強制停止や設定のリセットなど、WordPressの基本的な復旧操作を行える方でなければ、全てのオプションを一度に有効化するのは危険です。 - キャッシュとの干渉
高度なパス変更を行う場合、キャッシュプラグインやサーバー側のキャッシュ設定(Nginxのrewrite等)と干渉し、デザインが崩れることがあります。
まとめ
「見えなければ、叩かれない」という、セキュリティの基本に立ち返った実力派プラグインです。圧倒的なシェアを持つWordPressだからこそ、あえてその痕跡を消すことで、驚くほど静かな運用環境を手に入れることができます。
個人的には、まずログインURLの変更から始め、サイトの動作を確認しながら段階的に隠蔽レベルを上げていく使い方が、安全性と防御力のバランスが良くておすすめです。