WordPress セキュリティ・ 2026年5月27日・読了11分

WordPressログイン保護を強化する5つの方法

WordPress管理画面を悪意のある攻撃から守るためには、ログイン保護を強化することが不可欠です。この記事では、具体的な手順とおすすめのプラグインを通じて、ログイン保護を強化する方法を解説します。

この記事でわかること

ログインURLを変更する方法
2要素認証を設定する手順
ログイン試行回数を制限する方法
ブルートフォース攻撃対策の重要性
弊社が推薦するセキュリティプラグインの活用法

ログインURLを変更してセキュリティを強化
2要素認証を導入してログイン保護を強化
ログイン試行回数の制限でブルートフォース攻撃を防ぐ
XML-RPCを無効化して攻撃を軽減
セキュリティスイートの活用で総合的な保護
弊社の対応例から学ぶログイン保護の実践
まとめ

ログインURLを変更してセキュリティを強化

WordPressのデフォルトのログインURLであるwp-login.phpをそのまま使用していると、不正アクセスを受けるリスクが高まります。多くの攻撃者がこのURLを狙って自動攻撃を仕掛けてくるためです。

例えば、「WPS Hide Login」プラグインを利用すると、簡単にログインURLを変更できます。『設定 > 一般』ページ最下部で任意のスラッグを設定するだけで、新しいログインページが作成されます。これにより、攻撃者の不正アクセスを大幅に低減することが可能です。

ログインURLの変更には注意点もあります。特に、プラグインを無効化すると元のwp-login.phpがすぐに復活します。サーバー移行時には特に注意が必要です。また、リダイレクト設定も重要で、未ログインのユーザーがwp-adminにアクセスした際の遷移先を明確に指定してください。

ログインURL変更の手順

ログインURLを変更する具体的な手順は以下の通りです。まず、『ダッシュボード > プラグイン > 新規追加』で「WPS Hide Login」を検索し、インストール後に有効化します。次に、『設定 > 一般』で新しいスラッグを入力します。これで、旧URLは自動的にアクセス不可となります。

この操作により、『WPS Hide Login』ユーザーの多くが不正アクセスの試みを50%以上削減できたとされています。弊社が支援しているクライアントサイトでも多くがこの手法を採用し、セキュリティを強化しています。

wp-config.phpでリダイレクト設定を強化

さらにセキュリティを高めるため、wp-config.phpにリダイレクト設定を追加することが推奨されます。以下のコード例を追加することで、特定のURL以外からのログインアクセスをブロックできます。


define('WP_HOME','https://example.com');
define('WP_SITEURL','https://example.com');
if (strpos($_SERVER['REQUEST_URI'], 'login_XXXXX') === false) {
    header('HTTP/1.0 403 Forbidden');
    exit;
}

この設定により、正規のログインURL以外からのアクセスを確実に遮断できます。これにより、不正な試行をさらに防ぎやすくなります。

2要素認証を導入してログイン保護を強化

WordPressのセキュリティを高めるために、2要素認証（TFA）の導入は非常に効果的です。TFAは、パスワードに加えて、スマートフォンなどで生成される一時的なコードを要求することで、不正ログインを未然に防ぎます。これにより、パスワードだけでは守りきれないセキュリティリスクを大幅に減らすことができます。

特に中小企業の運用案件では、リソースが限られているため、一度のセキュリティブリーチが致命的な影響を及ぼす可能性があります。弊社が支援しているクライアントサイトでも、2要素認証の導入が好評で、セキュリティに対する安心感が高まっています。

TFAの仕組みと利点

2要素認証は、ユーザーがログイン時に2種類の認証要素を提供するセキュリティプロセスです。通常、知識要素（パスワード）に加えて、所有要素（スマートフォンで生成されるコード）が求められます。この組み合わせにより、仮にパスワードが漏洩しても、アカウントの不正利用を防ぐことができます。

TFAを導入することで、クレデンシャル・スタッフィングやブルートフォース攻撃に対する耐性が大幅に向上します。これにより、WordPressサイト全体のセキュリティレベルが高まるのです。

Wordfenceでの設定方法

『Wordfence Security』を活用することで、手軽に2要素認証を設定できます。ダッシュボード > プラグイン > 新規追加 > 検索ボックスに「wordfence」を入力 > 今すぐインストール → 有効化の手順でインストール後、『Login Security』を設定することでTFAを有効にできます。このプラグインは、弊社運用の多くのサイトでも標準導入されており、高い信頼性を誇っています。

設定時には、TOTP（タイムベース・ワンタイム・パスワード）方式を選択し、Google Authenticatorなどの認証アプリでQRコードをスキャンして、二段階認証を完了させてください。

認証アプリの選び方

2要素認証を導入する際には、認証アプリの選択が鍵となります。『Google Authenticator』『Authy』などの認証アプリは、使いやすさと信頼性で広く採用されています。選ぶ際には、自分の使用スタイルやデバイス環境に合ったアプリを選ぶことが重要です。

中小企業の運用案件においても、従業員が直感的に扱えるアプリを選ぶことで、運用の負担が軽減され、セキュリティ対策が効果的に進むことでしょう。

ログイン試行回数の制限でブルートフォース攻撃を防ぐ

WordPressのログイン画面は、不正アクセスを狙うブルートフォース攻撃のターゲットになることがあります。特に、パスワードが推測されやすい場合、何度も試行されることで、ログインを突破される危険性が高まります。

このようなリスクに対抗するため、ログイン試行回数を制限する設定を行うことが大切です。指定回数以上の失敗が続くと一時的にログインをロックすることが可能です。

プラグイン「Limit Login Attempts Reloaded」を利用することで、簡単にログイン試行の回数制限が設定できます。これにより、一定時間内に複数の失敗が検知された場合、自動的にそのIPをブロックします。

回数制限設定の方法

プラグインの設定は『ダッシュボード > プラグイン > 新規追加』から始めます。検索ボックスに「limit-login-attempts-reloaded」を入力し、『今すぐインストール』をクリックして有効化します。

有効化後、『設定 > Limit Login Attempts > Settings』で、許可する試行回数やロック時間を細かく設定できます。設定の詳細は以下のようになります。


// WP-CLIを用いて試行回数の制限を設定
// 3回の失敗で5分間ロック
wp option update limit_login_lockouts_allowed_retries 3
wp option update limit_login_lockouts_hours_until_unlock 0.0833

失敗後の対応策

ログイン失敗後の対応策も重要です。制限を超えた際に通知を受け取る設定を行い、即座にアクションを取れる体制を整えてください。この対策により、不正な試行が行われていることを早期に把握できます。

弊社が支援しているクライアントサイトのうち、Limit Login Attempts Reloadedを導入しているものは多く、その効果を実感しています。自社サイトのセキュリティを強化するために、ぜひ導入をご検討ください。

XML-RPCを無効化して攻撃を軽減

WordPressには、リモートからの操作を可能にするXML-RPCという機能があります。この機能は便利ではありますが、不正アクセスのターゲットとなりやすく、セキュリティ上の脆弱性を抱えることも少なくありません。多くの攻撃がこの機能を利用して行われるため、可能な限り無効化することをおすすめします。

XML-RPCとは

XML-RPCは、WordPressと外部アプリケーションとの間でコミュニケーションを可能にするプロトコルです。例えば、モバイルアプリから記事を投稿する際などに利用されます。しかし、この機能を悪用したブルートフォース攻撃やDDOS攻撃の事例も報告されています。

無効化手順と効果

XML-RPCを無効化するには、いくつかの方法があります。手動で設定を変更する方法やプラグインを使用する方法がありますが、ここでは.htaccessファイルを用いた例を示します。この方法は、WordPressの起動時に自動的にxmlrpc.phpへのアクセスを遮断することで機能を無効化できます。


# .htaccessを編集し、XML-RPCを無効化します

    Order Deny,Allow
    Deny from all

この設定を有効にすることで、xmlrpc.phpへのアクセスが制限され、外部からの不要なリクエストを防ぐことができます。

セキュリティスイートの活用で総合的な保護

WordPressサイトのセキュリティを高めるためには、統合的なセキュリティスイートを活用することが重要です。これにより、個別の脅威に対処するだけでなく、サイト全体を守る総合的な防御が可能となります。

特に、おすすめなのがWordfence Security（`wordfence`）やSolid Security（`better-wp-security`）のような包括的なセキュリティツールです。これらはウォール（WAF）やマルウェアスキャン、脆弱なプラグイン検知機能などを備えており、日常の運用を安心して進められる環境を提供します。

セキュリティスイートを利用する際には、脆弱性スキャンの重要性を理解しておくべきです。定期的なスキャンにより、未知の脅威に迅速に対処でき、被害を未然に防ぐことができます。一度設定するだけで、これらのプロセスを自動化できる点も魅力です。

日常的なメンテナンスの重要性

セキュリティは一度導入して終わりではありません。定期的にプラグインやWordPress自体のアップデートを確認し、最新のバージョンに維持することが不可欠です。日々のメンテナンスにより、常に最新のセキュリティ対策を講じられます。

弊社の運用するサイトでも、WordfenceやSolid Securityといったセキュリティスイートを利用することが多く、中小企業の運用案件においてもその重要性は増しています。最新のインシデントに迅速に対応するため、これらのツールは欠かせません。

こうした総合セキュリティ対策を講じることで、WordPressサイトを安全に保ち、安心してビジネスを続けることができるのです。ぜひ、自身のサイトにも最適なセキュリティスイートを導入し、日常的なメンテナンスを欠かさないようにしましょう。

弊社の対応例から学ぶログイン保護の実践

弊社では、スパム攻撃を受けたクライアントサイトに対し、迅速かつ効果的なログイン保護対策を講じております。このセクションでは、弊社の具体的な対応事例を通じて、実践的な対策を学びます。

スパム攻撃は特にContact Form 7（`contact-form-7`）を活用したサイトで多発しました。当初はスパムのフィルタリングに時間を費やしていましたが、`contact-form-7-honeypot`を導入することで問題を大幅に軽減しました。このプラグインはフォームに見えないフィールドを追加し、スパムボットからの投稿を自動的にブロックします。

さらに、reCAPTCHAの導入も行い、ボットによるアクセスを防ぐ効果を得ました。`siteguard`の活用で、日本語ひらがなCAPTCHAを有効化し、ユーザー体験を損なわない形での導入が可能となりました。

管理が容易な複数フォーム対策

弊社の経験を通じ、複数のフォームを管理する上での重要な教訓は、各フォームごとに個別のスパム対策を適用することです。特に複数の問い合わせフォームを運営する上で管理が難しい場合には、プラグインの自動タグ挿入機能を使うと非常に効果的です。

たとえば、`contact-form-7-honeypot`の運用では、functions.phpで`wpcf7_contact_form_properties`フィルタを使用することで、新しいフォームが作成されるたびに、スパム防止機能を自動的に適用することができました。

このように、弊社が採用しているアプローチは、効率的な管理を可能にし、より安心してWordPressサイトを運営する手助けとなっています。

まとめ

WordPressサイトのログイン保護は、セキュリティを強化する上で非常に重要です。不正アクセスやブルートフォース攻撃を未然に防ぐための具体的な手段を講じることが大切です。

これまで紹介した対策を実施することで、ログインページの脆弱性は大幅に軽減されます。たとえば、URL変更や画像認証の強化は、簡単に導入できる各種プラグインを利用することで手軽に実現できます。導入した後は、定期的に効果を確認し、戦略的な見直しを行うことも必要です。

弊社が支援しているクライアントサイトでも、`siteguard` などの最新プラグインを活用し、セキュリティを強化している実績があります。効果的なログイン保護は、サイト運営者の信頼性向上にも繋がりますので、ぜひ積極的に取り組んでください。

もし、これらの対策についての詳細なご相談が必要な場合や、最適なプラグイン選定にお困りの際は、お気軽にWordPressドクターまでご連絡ください。専門のスタッフが、お客さまのニーズに合わせたサポートを提供いたします。

この記事の内容でお困りなら

WordPressドクターでは、不具合の調査・改善対応を初回診断20,000円から承っています。費用感だけ知りたい方もお気軽にどうぞ。

無料相談する