WordPressパスワード設定の「全手順」を解説！設定後の「注意点」とは？

「記事を特定の人だけに見せたいけれど、やり方がわからない」

「サイト全体を制作中のため、関係者以外入れないよう鍵をかけたい」

「久しぶりにログインしようとしたら、パスワードを忘れてしまった…」

もしかすると、あなたも今、こうしたWordPressの設定や管理の方法でお困りではないでしょうか。

そこでこの記事では、WordPressのパスワード設定・変更・リセット手順を、セキュリティ診断のプロフェッショナルである株式会社アイ・エフ・ティ（IFT）が、とにかく分かりやすく解説します。

さらに、「実はパスワードをかけただけでは防げないリスクがある」という事実についても、専門家の視点から踏み込んでお伝えします。

「記事（投稿・固定ページ）」ごとにパスワードを設定したい

まずは、もっとも利用頻度の高い「特定の記事だけをパスワードで保護したい」場合のやり方です。

WordPressには標準でこの機能が備わっており、特別なツールなしで今すぐ設定できます。

公開状態を「パスワード保護」にする手順

記事の編集画面（ブロックエディタ）から、数クリックで設定できます。

まず、投稿（または固定ページ）の編集画面を開き、画面右側の設定パネルを確認してください。

「ステータスと公開状態」という項目があるので、その中の「公開」と書かれた部分をクリックします。

ドロップダウンメニューから「パスワード保護」を選択すると、パスワード入力欄が表示されます。

任意のパスワードを入力したら、画面右上の「更新」（または「公開」）ボタンをクリックして保存します。

これだけで設定は完了です。

会員限定のコンテンツや、特定の人にだけ見せたい下書きの共有などに便利ですね。

読者からの見え方とパスワードの解除方法

設定後の記事が、読者側からどう見えるかを確認しておきましょう。

パスワード保護を設定した記事は、読者がアクセスすると「保護中：記事タイトル」という表示に変わります。

本文エリアには「このコンテンツはパスワードで保護されています」というメッセージと、パスワード入力フォームだけが表示されます。

ふさわしいパスワードを入力して送信すると、本文が表示されます。

WordPressの仕様上、一度認証に成功するとブラウザにCookie（クッキー）が保存されるため、約10日間は再入力なしで閲覧できるようになります。

パスワード保護をやめたい場合は、編集画面で「公開状態」を「パスワード保護」から「公開」に戻し、記事を更新するだけで元通りになります。

【注意】タイトルや画像は隠れない？簡易保護の限界

この機能は手軽で便利ではありますが、セキュリティのプロとして知っておいてほしい「限界」があります。

まず、パスワード保護を設定しても、「保護中：〇〇」という形でタイトル自体は誰でも見られます。

そのため、タイトルに機密情報（例：『〇〇社様向け極秘プロジェクト詳細』など）を含めないよう注意が必要です。

また、隠れるのは「本文」だけで、記事内に貼り付けた画像のURL（例：…/uploads/secret-image.jpg）を直接知っている人は、パスワードなしで画像を見られてしまいます。

本当に機密性の高い情報を扱う場合は、この機能だけに頼らず、後述するBasic認証や会員サイト用プラグインの導入を検討してください。

サイト全体をロック！プラグイン「Password Protected」の活用法

「制作中のサイトを一般公開したくない」「社内関係者だけの共有サイトにしたい」といった場合、記事単位ではなくサイト全体に鍵をかける必要があります。

この用途には、無料プラグイン「Password Protected」がぴったりです。

導入から設定まで：Password Protectedの使い方

ユーザー登録機能を使わずに、共通のパスワード1つでサイト全体をロックできるため、非常に手軽です。

まず、管理画面の「プラグイン」→「新規追加」で「Password Protected」を検索し、インストール・有効化します。

有効化したら、「設定」→「Password Protected」を開いて設定画面に移動します。

設定画面では、まず「パスワード保護状況」の「有効」にチェックを入れます。

次に「許可する権限」で「管理者に許可」などにチェックを入れると、ログイン中の管理者はパスワード入力をスキップできて便利です。

最後に「新しいパスワード」欄にサイト全体にかけるパスワードを入力し、「変更を保存」をクリックします。

これで、サイトのどのページにアクセスしても、パスワード入力画面が表示されるようになります。

Basic認証とプラグイン、どっちを使うべき？

サイト全体を隠す方法として、Webサーバー側で設定する「Basic認証」も有名です。

どちらを使うべきか迷う場合は、以下の表で比較してみてください。

簡単に使いたいならPassword Protected、完全に隠したいならBasic認証です。

比較項目	Password Protected（プラグイン）	Basic認証（サーバー設定）
設定の手軽さ	WordPress管理画面だけで完結。手軽にON/OFF可能	サーバー管理画面や.htaccess編集が必要。初心者には敷居が高い
保護範囲	ページ本体は保護されるが、画像などの直リンクアクセスは防げない場合がある	画像やCSSファイル含め、サーバー上の全リソースを完全に遮断
セキュリティ強度	中程度	高い
おすすめの用途	制作中の確認用、簡易的な関係者サイト	絶対に外部に見せてはいけない機密サイト、開発環境の完全封鎖

制作中なら「検索避け（noindex）」も設定しよう

パスワードをかけているからといって、Googleなどの検索エンジン対策を忘れてはいけません。

特に制作中のサイトでは、パスワード保護と合わせて「検索エンジンがサイトをインデックスしないようにする（noindex）」（「設定」→「表示設定」）にチェックを入れておくことを強く推奨します。

万が一パスワード設定が一瞬外れた隙などに、作りかけのページが検索結果に載ってしまう事故を防げます。

また、プラグインによる保護は「1つのパスワードを全員で使い回す」運用になりがちです。

退職者が出た場合やプロジェクト終了時には、必ずパスワードを変更する運用ルールを徹底しましょう。

ログインパスワードを「変更・リセット」したい

次は、管理者自身の「ログインパスワード」に関する管理方法です。

「変更したい」場合と、「忘れて入れない」場合で対処法が違います。

ログインできる場合：管理画面から安全に変更する

現在ログインできているなら、プロフィール画面から簡単に変更できます。

セキュリティ向上のため、定期的な変更をおすすめします。

まず、管理画面の左メニューから「ユーザー」→「プロフィール」をクリックします。

画面を下にスクロールすると、「アカウント管理」セクションがあります。

その中の「新しいパスワードを設定」ボタンをクリックすると、自動生成された強力なパスワードが表示されます。

そのまま使うか、任意のパスワードに書き換えます（「非常に脆弱」と判定されるパスワードは避けましょう）。

ページ最下部の「プロフィールを更新」をクリックして保存すれば完了です。

忘れた場合：ログイン画面からメールでリセットする

パスワードを忘れて管理画面に入れない場合は、リセット機能を使います。

まず、WordPressのログイン画面（wp-login.php）にアクセスします。

入力欄の下に「パスワードをお忘れですか ?」というリンクがあるので、それをクリックします。

次の画面で、登録している「ユーザー名」または「メールアドレス」を入力し、「新しいパスワードを取得」ボタンを押します。

すると、登録メールアドレス宛にリセット用のリンクが届きます。

リンクをクリックし、新しいパスワードを設定すれば完了です。

もしメールが届かない場合は、迷惑メールフォルダを確認するか、サーバーのメール送信設定（SMTPなど）に不備がないか疑ってみてください。

メールも届かない：データベースから直接書き換える手順

「メールも届かない」「管理者権限を持つユーザーで一切ログインできない」という絶体絶命のケースでは、サーバーのデータベースを直接編集してパスワードを上書きする「裏技」があります。

必ずバックアップを取り、自己責任で行ってください。

自信がない場合は専門家に依頼しましょう。

まず、レンタルサーバーの管理画面から「phpMyAdmin」にログインします。

次に、該当するWordPressのデータベースを選択し、wp_users というテーブルを開きます。

対象ユーザー（通常はIDが1のユーザー）の行にある「編集」をクリックします。

user_pass という項目の行を探し、「関数」のドロップダウンで「MD5」を選択します。

ここを間違えるとパスワードが反映されないので注意しましょう。

WordPressはパスワードを暗号化して保存しているため、この関数を選択しないと正しく動作しません。

「値」の欄に、新しいパスワードをそのまま（平文で）入力し、「実行」をクリックします。

これで、入力したパスワードが暗号化されて保存され、強制的にログインできるようになります。

【要注意】パスワードをかけても「中身が丸見え」になる瞬間

ここまでパスワードの設定方法を解説してきましたが、セキュリティ診断を専門とする私たちIFTから、一つだけお伝えしたいことがあります。

「パスワードをかけたから、もう安心」と思っていませんか？

実は、プロのハッカーから見れば、パスワード設定だけでは防げない侵入経路が無数に存在します。

これが「脆弱性（ぜいじゃくせい）」と呼ばれるセキュリティの穴です。

なぜ「鍵（パスワード）」をかけたのに侵入されるのか？

家で例えてみましょう。

パスワードを設定するのは、「玄関のドアに頑丈な鍵をかける」のと同じです。

しかし、もしその家の「窓が全開」だったり、「裏口の鍵が開いたまま」だったとしたらどうでしょうか？

泥棒はわざわざ頑丈な玄関の鍵を壊そうとはしません。

空いている窓から堂々と侵入します。

Webサイトでの「窓」や「裏口」にあたるのが、プログラムの不備や設定ミスによる脆弱性です。

これらが放置されている限り、いくら複雑なパスワードを設定しても、サイトの中身は危険に晒されたままなのです。

「認証回避」のリスク：入力画面をスキップされる脆弱性とは

なかでも注意が必要なのが、「認証回避（Authentication Bypass）」と呼ばれる脆弱性です。

通常なら表示されるはずの「パスワード入力画面」そのものを、プログラムの不具合を突いてスキップ（回避）してしまう攻撃手法です。

過去には、有名なプラグインでこの脆弱性が見つかり、世界中のサイトで「管理者権限（アカウント）を乗っ取られる被害」が実際に発生しました。

管理画面に入られてしまえば、顧客リストの閲覧もエクスポートも簡単に行われてしまいます。

また、「SQLインジェクション」という攻撃では、ログインフォームに特殊な文字列（’ OR ‘1’=’1 など）を入力することで、データベースを騙してパスワードなしで強制ログインを成功させてしまうことさえあります。

これらは、「パスワード設定」という運用ルールだけでは絶対に防げません。

システム自体に穴がないか、定期的にチェックする必要があるのです。

対策：設定だけで終わらせずプロの「診断」で穴を塞ぐ

ご自身でできる対策は「推測されにくい複雑なパスワードを設定し、1Passwordなどの管理ツールで安全に保管すること」です。

しかし、「その鍵がかかっているドア以外の場所に、脆弱性（セキュリティの弱点）が潜んでいないか？」まで自分たちだけで確認するのは、現実的にはかなり困難です。

「設定して終わり」にするのではなく、「設定した上で、プロに診断してもらう」ことが、結局は一番の近道であり、確実な方法です。

＼＼セキュリティのプロが設定を診断します！／／

失敗しない「脆弱性診断」の選び方とポイント

「じゃあ、どこに頼んでも結果は同じなの？」 実は、ここが一番の悩みどころです。

結論から言うと、「何を見るか（チェック項目）」はどの会社も似ていますが、「どう見るか（深さと手法）」で品質に大きな差が出ます。

失敗しない診断会社選びのポイントは、大きく以下の3点です。

品質・コスト・サポート：診断会社選びのチェックリスト

診断会社を選ぶ際は、以下の3つの視点で比較することをおすすめします。

まず「品質」です。

OWASP Top 10などのチェック項目はどの会社も共通ですが、「ツールでスキャンして終わり」なのか、「熟練エンジニアが手動で深く調査するか」で、発見できる脆弱性の質は雲泥の差が出ます。

特に認証回避のような複雑なバグは、ツールだけでは見逃されがちです。

次に「コスト」です。

もちろん、すべての診断項目を詳細にチェックできれば理想的ですが、実際にはコストとのバランスも重要です。

だからこそ、重要な箇所はプロの手動診断で深くチェックし、その他はツール診断を活用するといった、予算や目的に応じた柔軟なプランを提案してくれる企業を選ぶとよいでしょう。

そして「サポート」です。

ここがもっとも重要です。

脆弱性が見つかった後、修正対応をするのはお客様（または開発会社）です。

「直しました」と言った後に、「本当に直っているか」を確認する再診断が有料だと、追加コストを気にして確認がおろそかになりがちです。

あわせて読みたい

初めての脆弱性診断 | 会社の選び方や見極め方を伝授します

サイバー攻撃の脅威が進化する中で、企業のセキュリティ対策は避けて通れない課題です。 多くの組織が脆弱性診断の重要性を認識し始めていますが、実際に会社を選ぶとなると「どの会社に依頼すればいいのか」「正直、違いがわからない」と悩んでしまうことがよくあります。 会社（セキュリティベンダー）選びは迷うと

IFTなら「高品質×適正価格」で再診断も無料

私たち株式会社アイ・エフ・ティ（IFT）は、創業から15年以上、1,000件以上の診断実績を持つセキュリティ専門企業です。

業界シェアNo.1の自動診断ツール「Vex」で網羅的にチェックしつつ、ツールでは判断できない複雑なロジック（認証周りなど）を経験豊富なエンジニアが手動で徹底的に診断します。

そのため、高精度な診断を維持しつつ、無駄な工数を省いたコストパフォーマンスの高いプランを提供できます。

また、「予算内で重要ページだけ手動診断したい」「まずは自動診断で全体を見たい」など、お客様の目的に合わせて最適なプランを柔軟に組み合わせ、コストを最小限に抑えます。

さらに、報告して終わりではありません。

修正後の再診断を3ヶ月間無料で提供しています。

サイトが安全になるまで、とことんお付き合いします。

＼＼セキュリティのプロが設定を診断します！／／

 

まとめ：ふさわしいパスワード管理と定期的な診断でサイトを守ろう

今回は、WordPressのパスワード設定から変更・リセット手順、そしてパスワードだけでは防ぎきれない「認証回避」などの脆弱性リスクまで解説しました。

記事やサイト全体のパスワード保護は、標準機能やプラグインを使えば手軽に導入できます。

しかし、パスワードによる保護だけでは不十分で、「脆弱性」が残っていると、そこから不正侵入されるリスクがあります。

つまり、サイトを守るためには「パスワード管理」と「脆弱性診断」の両方が必要だということです。

あなたの大切なWebサイトを脅威から守り抜くために、まずは今日ご紹介した手順でパスワードを見直し、さらに「サイト全体に脆弱性が潜んでいないか」をプロの目でチェックすることから始めましょう。

少しでも不安を感じたら、まずはIFTの無料相談をご利用ください。

あなたのサイトに最適なセキュリティ対策を、わかりやすくご提案します。