Hide My WP Ghost：様々なデフォルトのURLを変更できる

2018年12月1日2022年3月20日

WordPress は、全世界の Web サイト全体の 60 % を超える Web サイトで使用されています。
それだけのシェアがあるということは、良い面も多々ありますが、
悪意を持った訪問者から攻撃を受けやすいという側面もあります。

なぜなら、WordPress にはデフォルトで設定されている URL が存在します。
例を挙げれば、

hoge.hoge/wp-admin/
hoge.hoge/wp-includes/
hoge.hoge/wp-content/

wp-content ディレクトリに関しては、
プラグインとテーマ、メディアライブラリなどの保存領域になるので、
WordPress の開発チームも初期設定とは異なる場所に設置する方法を用意しています。

【小技】wp-content ディレクトリを初期設定とは異なる場所に設置する方法 – WordPress 活用術

それ以外については、変更する方法がありません。

そのような時に便利な WordPress 用プラグインがあります。
それは「Hide My WP Ghost」です。
その導入手順から日本語化・使い方と設定などを解説していきます。

10銘柄52袋入り【10gコーヒーお試しセット】
1冊ですべて身につくWordPress入門講座

Hide My WP Ghost

Hide My WP Ghost は、WordPress の様々なデフォルトの URL を変更などを行えます。
Hide My WP Ghost の主な特徴は、以下のとおりです。

• wp-admin を隠し、404 エラーまたはカスタムページを表示。
• WordPress の wp-login.php を隠し、404 エラーまたはカスタムページを表示。
• wp-admin と wp-login の URL を変更。
• パスワード紛失時の URL 変更。
• 登録 URL の変更。
• ログアウト URL の変更。
• アクティベーション URL の変更。
• admin-ajax URLの変更。
• wp-content URL の変更。
• wp-includes の URL を変更する。
• アップロードの URL を変更する。
• コメント URL の変更。
• 作者 URL の変更。
• プラグイン URL の変更。
• プラグイン名の変更。
• テーマ URL の変更。
• テーマ名の変更。
• カスタムテーマ style.css 名の変更。
• REST API wp-json URL の変更。
• カテゴリ URL の変更。
• タグ URL の変更。
• ユーザー権限に応じたカスタムログイン URL へのリダイレクト。
• ユーザー権限に応じたカスタムログアウト URL へのリダイレクト。
• 相対 URL から絶対 URL への変更。
• Ajax コールでの URL 変更。
• ログインユーザーの URL 変更。
• キャッシュファイル内の URL の変更。
• Sitemap.xml のパス変更。
• Robots.txt のパス変更。
• XSS やコードインジェクションに対抗するセキュリティヘッダ。
• セキュリティヘッダ Strict-Transport-Security。
• セキュリティヘッダ Content-Security-Policy。
• セキュリティヘッダ X-XSS-Protection。
• セキュリティヘッダー X-Content-Type-Options。
• セキュリティヘッダーの X-Frame-Options。
• スクリプト・インジェクション、SQLインジェクションに対応したファイアウォール。
• 7G ファイアウォールフィルタ。
• /wp-admin パスを隠す
• wp-login のパスを隠す。
• ログインパスの非表示。
• REST API の wp-json パスの非表示。
• ユーザー権限に応じた管理ツールバーの非表示。
• スタイルID、META IDの非表示。
• WordPress の HTML コメントの非表示。
• WordPress バージョンタグの非表示。
• WordPress の DNSプリフェッチリンクの非表示。
• WordPress ジェネレータのメタタグの非表示。
• RSD (Really Simple Directory)のヘッダーの非表示。
• 絵文字を使用しない場合、絵文字を非表示。
• REST API へのアクセスを無効化。
• XML-RPC アクセスを無効化。
• 埋め込みスクリプトの無効化。
• フロントエンドの DB-Debug の無効化。
• WLW マニフェストスクリプトの無効化。
• 右クリックの無効化。
• コピー＆ペーストの無効化。
• ドラッグドロップの無効化。
• インスペクトエレメントの無効化。
• ソースの非表示。
• ディレクトリの閲覧を禁止。
• テキストと URL のマッピング。
• URLマッピングによる URL の変更。
• テキストマッピングによるクラスの変更。
• CDN マッピングによる CDN URL の変更。
• キャッシュファイル内のパスを変更。
• フィードリンクのパス変更。
• サイトマップ XML のパス変更。
• Robots.txt のパス変更。
• Math reCaptcha によるブルートフォースプロテクション。
• Google reCaptcha V2 によるブルートフォースプロテクション。
• Google reCaptcha V3 によるブルートフォースプロテクション。
• 総当たり攻撃時のカスタム試行回数、タイムアウト、メッセージの設定
• ブラックリスト・ホワイトリストによる IP の管理。

その他の機能

• 設定のバックアップと復元。
• 相対 URL の修正。
• テキストマッピングによるソースコード上のクラスの変更。
• URL マッピングによるソースコード上のURLの変更。
• CSS、JS、画像のキャッシュによる読み込み速度の最適化。
• 週 1 回のセキュリティチェックとレポート。

Apache、Litespeed、Nginx、IIS で動作可。

下記のサードパーティ製のプラグインとも互換性があります。

• WordFence
• W3 Total Cache
• WP Super Cache
• WP Fastest Cache
• Cache Enabler
• CDN Enabler
• WOT Cache
• Autoptimize
• Jetpack by WordPress
• Contact Form 7
• bbPress
• All In One SEO
• Yoast SEO
• Squirrly SEO
• WP-Rocket
• Minify HTML
• iThemes Security
• Sucuri Security
• Back-Up WordPress
• Elementor Page Builder
• Weglot Translate
• AddToAny Share Btn

記事を作成もしくは更新時点でのバージョン：5.0.12
マルチサイトでの利用:可

Gutenberg エディターでの動作

Gutenberg エディターに追加される機能は無いので、気にする必要は無いです。

インストール手順

Hide My WP Ghost をインストールするには 2 種類の方法があります。
下記の URL から ZIP ファイルを入手して、管理画面からアップロードして有効化する。
Hide My WP Ghost – WordPress.org

もしくは、WordPress.org の公式プラグインディレクトリにリリースされているので、
管理画面からインストールできます。

ダッシュボードから「プラグイン」メニューの「新規追加」を選択し、
プラグイン追加画面右上の検索窓に「Hide My WP Ghost」と入力します。

検索結果の一番左上に表示されると思うので、「今すぐインストール」をクリックします。
※一番左上に表示されない場合は、上記の画像から探して下さい。
インストールが完了したら、プラグインを「有効化」します。

プラグインのインストールに慣れていない方は、
下記の記事にて詳しく解説していますので、御覧ください。

WordPressプラグインのインストール手順を解説 – WordPress活用術

日本語化

Hide My WP Ghost を有効化した際に日本語化されない場合には、
日本語化用の言語パックを translate.wordpress.org から入手できる場合があります。

WordPress と関連プロジェクト（テーマ・プラグイン）用の翻訳プラットフォームとして、
translate.wordpress.org (GlotPress) が導入されています。

※ボランティアで翻訳されている場合が多いので、
全てのプラグインで、必ずしも日本語化用の言語パックが用意されているわけでは無いです。
また、用意されていても 100% 翻訳されている保証もありません。

日本語化用の翻訳ファイルの探し方は、下記の記事を参照してください。

WordPress公式での日本語化用の翻訳ファイルの探し方 – WordPress活用術

専用メニュー

ダッシュボードの「設定」メニューの下に追加されています。

初回操作時

Free 版をアクティブ化したい場合には、
管理者のメールアドレスが自動設定されているので、
確認した上で「Activate」ボタンをクリックしましょう。

※利用規約とプライバシーポリシーを読んでからクリックしてくださいね。

使い方

必要な設定を各設定画面から行いましょう。

ダッシュボード上でサイトのセキュリティレベルを自動で表示してくれます。

設定

各種パス変更（Change Paths）

パスを変更するには、モードを少なくとも「Lite mode」に変更しましょう
Lite Mode に変更すると
WordPress の主要なパスが定義されたパスに変更されます。

「Continue」をクリックしてから「Save」ボタンをクリックすると変更が適用されます。

Admin Security

• Custom admin URL
  /wp-admin/ の URL を変更できます。
• Hide “wp-admin"
  ビジターから /wp-admin パスを隠すかどうか。
• Hide “wp-admin" From Non-Admin Users
  管理者権限を持たないユーザーから /wp-admin パスを隠すかどうか。

Login Security

• Custom login URL
  /wp-login.php の URL を変更できます。
• Hide “wp-login.php"
  ビジターから wp-login.php パスを隠すかどうか。
• Hide “login" Path
  ビジターから /login パスを隠すかどうか。
• Hide Language Switcher
  ログインページで言語スイッチャーオプションを隠すかどうか。

• Custom Lost Password URL
  パスワード再発行ページの URL を変更できます。
• Custom Register URL
  メンバー登録ページの URL を変更できます。
• Custom Logout URL
  ログアウトの際の URL を変更できます。

Ajax Security

• Custom admin-ajax URL
  admin-ajax.php の URL を変更できます。
• Hide wp-admin from ajax URL
  無限ループを回避するためににカスタム admin-ajax パスでのみ機能させるかどうか。
• Change Paths in Ajax Calls
  ajaxで画像やフォントが呼び出されたときに、古いパスが表示されないようにするかどうか。

User Security

• Custom author Path
  投稿者 URL を変更できます。

WP Core Security

• Custom wp-content Path
  wp-content/ の URL を変更できます。
• Custom wp-includes Path
  wp-includes/ の URL を変更できます。
• Custom uploads Path
  uploads/ の URL を変更できます。
• Custom comment Path
  コメントの URL を変更できます。

Plugins Security

• Custom plugins path
  プラグインの格納先パスを変更できます。
• Hide plugin names
  プラグインの実際のフォルダ名を隠すかどうか。
• Hide All The Plugin
  アクティブなプラグインと非アクティブなプラグインの両方を隠すかどうか。

Themes Security

• Custom themes Path
  テーマの格納先パスを変更できます。
• Hide Theme Names
  テーマの実際のフォルダ名を隠すかどうか。オンにすると各テーマにランダムな名前が付けられます。マルチサイトで動作します。

• Custom theme style name
  テーマの css の名前を変更できます。

API Security

• Custom wp-json Path
  wp-json パスを変更できます。
• Hide REST API URL Link
  ウェブサイトのヘッダーから REST API リンクタグを隠すかどうか。
• Disable REST API access.
  Rest API へのアクセスを無効にするかどうか。
• Disable XML-RPC access
  XML-RPC アクセスの無効化を行うかどうか。
• Hide RSD (Really Simple Discovery) endpoint
  ソースコードから RSD META リンクの削除、rsd_link ヘッダの削除、PHP info ヘッダーの削除を行えるかどうか。

Firewall & Headers

• Add Security Headers for XSS and Code Injection Attacks
  XSS およびコードインジェクション攻撃対策用のセキュリティヘッダを追加するかどうか。
• Strict-Transport-Security
  ブラウザに対して HTTP ではなく HTTPS でのみアクセスするよう指示します。
• Content-Security-Policy
  クロスサイトスクリプティング（XSS）やデータインジェクション攻撃など、特定の種類の攻撃を検知・軽減するためのセキュリティ層を追加します。
• X-XSS-Protection
  反射型クロスサイトスクリプティング（XSS）攻撃を検出した場合、ページの読み込みを停止します。
• X-Content-Type-Options
  実行不可能なMIMEタイプを実行可能なMIMEタイプに変換する可能性のあるコンテンツスニッフィングをブロックします。
• Add Security Header
  その他のセキュリティヘッダを選択し追加できます。
• Remove Unsafe Headers
  安全でないヘッダを削除するかどうか。オンにすると、ページヘッダーからPHPバージョン、サーバー情報、サーバー署名、WordPress関連のヘッダーが削除されます。
• Firewall Agains Script Injection
  スクリプトインジェクションに対するファイアウォールを有効にするかどうか。

Other Options

• Custom category path
  カテゴリーのパスを変更できます。
• Custom tags path
  タグのパスを変更できます。

セキュリティレベルの調整（Tweaks）

Redirects

• Redirect Hidden Paths
  保護された（変更され、隠された）WordPress共通パス（例えば：/wp-adminや/wp-login）にアクセスしようとする訪問者がいる場合、リダイレクト隠しパス機能を使用して、それらの訪問者がWordPress共通パスに到達するたびに別のページにリダイレクトさせることができます。
• Do Login & Logout Redirects
  このオプションを使用すると、著者、編集者、管理者は、ログイン時に正しいページにリダイレクトさせることができます。

Do Login & Logout Redirects を有効にすると
ログイン＆ログアウト時のリダイレクト URL を指定できるようになります。
「User Role」タブでは、ユーザー権限別に設定できます。

Admin 権限を選択時の画面（一例）

Feed & Sitemap

• Hide Feed & Sitemap Link Tags
  /feed と /sitemap.xml のリンクタグを非表示にするかどうか。
• Change Paths in RSS feed
  RSS フィードを確認し、画像のパスが変更されていることを確認するかどうか。
• Change Paths in Sitemaps XML
  サイトマップ XML を確認し、画像のパスが変更されていることを確認するかどうか。
• Hide Paths in Robots.txt
  Robots.txt ファイルから WordPress の共通パスを非表示にするかどうか。

Change Options

• Change Paths for Logged Users
  ユーザーがログイン中に WordPress パスを変更するかどうか。
• Change Relative URLs to Absolute URLs
  wp-content/* のようなリンクを http://127.0.0.1/wp-content/* に変換するかどうか。

Hide Options

• Hide Admin Toolbar
  フロントエンドでログインしているユーザーの管理ツールバーを非表示にするかどうか。
• Hide Version from Images, CSS and JS in WordPress
  画像、CSS、JavaScriptファイルの末尾からすべてのバージョンを非表示にするかどうか。
• Hide IDs from META Tags
  すべての,