wp-login.phpのパーミッションとファイル名変更

[jiluro]

セキュリティ面を考えて、ログイン画面であるwp-login.phpをどうするか考えていました。

●ファイル名を変える
●パーミッションを妥当なものにする

この二つをおこないたいのですが、ファイル名を変えても影響なく動かすには何のファイルを記述変更をすればうまくいくでしょうか？
単にファイル名を変えただけでログインしても404ページが開いていて、なおかつそのときのURLがwp-login.phpになってしまいます。単にファイル名を変えるだけではダメな仕様のようですね。

また、このwp-login.phpのパーミッションはセキュリティを考慮して総合的に考えると何にすべきでしょうか？

[IKEDA Yuriko]

この二つをおこないたいのですが、ファイル名を変えても影響なく動かすには何のファイルを記述変更をすればうまくいくでしょうか？

相当いじらないとだめですね。まず、wp-login.php 自体に、自身へのリダイレクトをしている部分で wp-login.php という文字列を使っているので、これをすべて変更しなければなりません。
次に、wp-includes/general-tempalte.php にある wp_login_url(), wp_logout_url(), wp_lostpassword_url(), wp_register() を修正する必要があります。
さらに、テーマによっては、wp_login_url() を使わずに wp-login.php を直に書いているものがあるので、それらの修正も必要です。

他に、Ktai Style を使っている場合は、PC のログイン URL を検知して携帯ログインに飛ばしていますが、ここで wp-login.php を決め打ちで使っています。これも直す必要があります。

[jiluro]

ありがとうございます。
ファイル名を変えたい件ですが、変える箇所が多そうですね・・・
あつかっているサイトはひとつじゃないからなぁ・・・サイトが沢山あるのでなおさら無理かなぁ・・・

[IKEDA Yuriko]

正直、wp-login.php のファイル名変更は苦労の割に効果が低いと思います。
むしろ、ファイアーウォールか httpd.conf 等で wp-login.php にアクセスできる IP アドレスを制限するとか、wp-login.php に Basic 認証をかける方が簡単でかつ効果的でしょう。

[jiluro]

> 正直、wp-login.php のファイル名変更は苦労の割に効果が低いと思います。

なるほど。
そうですね、Basic認証がありました。自分で出来るBasic認証でいくことにします！
いつもありがとうございます！