X(旧Twitter) 
Facebook 
LINE 
投稿日:2025.11.28 最終更新日:2025.12.02
WordPress不正ログイン対策|まず塞ぐべき7項目を優先度別に解説
WordPressのセキュリティ対策記事、読んだことありますか?
「やることが多すぎて、結局どこから手をつければいいのか分からない」
そう感じた経験がある方も多いのではないでしょうか。
実は、不正ログイン対策には明確な優先順位があります。
すべてを一度にやる必要はありません。
この記事では、15年以上・累計1,000件以上の脆弱性診断実績を持つ株式会社アイ・エフ・ティ(IFT)が、「まずこれだけは塞いでおきたい」対策を優先度別に紹介します。
必須レベルの3つを押さえるだけでも、リスクは大幅に下がります。
この記事でわかること
- 攻撃者の手口と不正ログイン被害の実態
- 今すぐ実行すべき必須対策3選(Level 1)
- さらに守りを固める推奨対策(Level 2)
- 設定だけでは防げない「見えない脆弱性」とその対処法
この記事を書いた人
みらいと
セキュリティサービス事業部 コンサルタント/プログラマーからシステム運用を経て情報セキュリティ全般の業務に従事。現在は培った情報セキュリティの経験を活かしお客様の課題に向き合った企画やマーケティングを担当。
目次
なぜ自分のWordPressサイトが狙われる?不正ログインの手口と実態
「うちのサイトはアクセス数も少ないし、狙われるわけがない」
もしそう思っているなら、少し注意が必要かもしれません。
攻撃者は特定のサイトを選んで攻撃しているわけではないからです。
プログラムを使って世界中のWordPressサイトを無差別にスキャンし、脆弱なサイトを見つけ次第、侵入を試みます。
では、その具体的な手口と、実際に起きた被害事例を見ていきましょう。
攻撃ボットは24時間、世界中のWordPressを無差別スキャンしている
WordPressへの攻撃は、ほとんどの場合、人の手で行われているわけではありません。
「ボット」と呼ばれる自動プログラムが、24時間休まず世界中のサイトをスキャンしています。
WordPressの標準ログインページ(wp-login.php)は、URLの構造が世界共通で知られています。
攻撃ボットはこのURLに対して、ユーザー名とパスワードの組み合わせを機械的に試し続けるのです。
これが「ブルートフォース攻撃(総当たり攻撃)」と呼ばれる手口です。
たとえば、ユーザー名「admin」に対して「password123」「123456」といった単純なパスワードを試すパターンは、攻撃者にとっての定番です。
実際、WordPressサイトの約8%は弱いパスワードが原因でハッキングされているという統計もあるようです。
参考:27+ Hacking Statistics for CMS(Astra Security)
また、IPA(情報処理推進機構)の試算によれば、「4桁程度の単純なパスワードは最長でも9分以内で解読される」とのこと。
参考:不正ログイン対策特集ページ(IPA)
人間には不可能な速度と回数でパスワードを試せるボット。
対策なしで太刀打ちするのは、正直難しいでしょう。
不正ログインを許すとどうなる?代表的な3つの被害
不正ログインを許すと、具体的にどのような被害が起きるのでしょうか。
代表的な3つのパターンを挙げます。
Webサイト改ざん:フィッシング詐欺への転送や不審リンク埋め込み
サイトが乗っ取られると、訪問者がフィッシング詐欺サイトに自動転送されたり、記事中に大量の不審なリンクを埋め込まれたりする被害が発生します。
検索エンジンから「このサイトは危険」と判定されれば、インデックスから除外される可能性もあり、事業への影響は計り知れません。
情報漏洩:個人情報流出で数億円規模の賠償リスク
2024年12月には、東亜大学のサイトが不正アクセスを受け、在学生・卒業生約17,000名分の個人情報が流出しました。
出典:個人情報の流出の可能性に関するお知らせとお詫び(東亜大学)
管理権限を奪われれば、データベース内の個人情報が丸ごと抜き取られるリスクがあります。
企業の場合、数億円規模の賠償が命じられた判例も、決して他人事ではありません。
あわせて読みたい
【被害事例あり】データ漏洩とは|原因や企業にもたらす“被害事例”を解説
データ漏洩とは? データ漏洩とは、企業や組織が保有する機密情報や個人情報が、意図せずに外部に流出することを指します。 具体的には、顧客や従業員の個人データが流出する「個人情報漏洩」や、企業の機密情報や戦略が漏れる「営業秘密漏洩」、特許や著作権などの知的財産が不正に流出する「知的財産漏洩」など
踏み台利用:自サイトが攻撃の踏み台にされアカウント停止
自サイトがマルウェアに感染すると、そのサーバー資源を使って他のターゲットへの攻撃が行われます。
大量のスパムメール送信やDDoS攻撃の踏み台に使われ、レンタルサーバー会社からアカウント停止措置を受けることも。
自分のサイトが加害者側に回ってしまう。これは想像以上に身近なリスクなのです。
DDoS攻撃などを使った踏み台攻撃の詳細については、以下の記事をご覧ください。
あわせて読みたい
【初心者向け】DDoS攻撃は防げない?その仕組みと被害を最小限に抑える対策を解説
「Webサイトが突然表示されなくなった…」そんな経験はありませんか? もしかしたら、それは「DDoS攻撃」のせいかもしれません。 最近ニュースなどでもよく耳にするこのDDoS攻撃、実は、企業規模を問わず、どんな組織にとっても他人事ではない脅威なのです。 実際に2025年3月にも、X(旧Twit
【Level 1:必須】今日からできる不正ログイン対策3つ
ここからは具体的な対策に入ります。
数ある対策の中でも、「これだけは絶対に外せない」必須レベルの3つをピックアップしました。
これらを実行するだけでも、不正ログインのリスクは大幅に下がります。
まだ対策していない項目があれば、今日中に設定を済ませてしまいましょう。
ユーザー名を隠してパスワードを10桁以上にする
攻撃者がログインに成功するには、「ユーザー名」と「パスワード」の2つを揃える必要があります。
この両方を攻略されにくくする。これがもっとも基本的で、かつ効果的な対策です。
「/?author=1」でバレるユーザー名を隠す
WordPressのデフォルト設定では、ユーザー名が第三者に知られてしまうケースがあります。
たとえば「/?author=1」というURLにアクセスすると、投稿者のユーザー名がURLに表示される仕様なのです。
これを防ぐには「Edit Author Slug」プラグインが便利です。
インストールして有効化すると、ユーザー編集画面で「Author Slug」を任意の文字列に変更できます。
また、管理画面のプロフィール設定でニックネームを登録し、ブログ上の表示名をそちらに変更しておく方法もあります。どちらも簡単にできます。
英大小文字・数字・記号を組み合わせた10桁以上に
「123456」「password」「admin」といった単純なパスワードは論外です。
NISC(内閣サイバーセキュリティセンター)は「英大文字・英小文字・数字・記号を組み合わせた10桁以上」を推奨しています。
パスワードの基本3原則は「使い回さない」「複雑にする」「推測されやすい文字列を避ける」です。
他サイトから漏れた認証情報で攻撃される「パスワードリスト攻撃」を防ぐためにも、使い回しは避けましょう。
また、退職者やテスト用に作った管理者アカウントが残っていないか確認してみてください。
管理されないまま放置されたアカウントは、不正アクセスの温床になります。
まだ「admin」というユーザー名を使っているなら、新しい管理者アカウントを作成して移行した後、削除することをおすすめします。
ログイン試行回数を制限し、総当たり攻撃を無効化する
総当たり攻撃は、何千回、何万回とパスワードを試すことで成立します。
逆にいえば、試行回数を制限してしまえば、攻撃の効率は著しく下がるわけです。
「Limit Login Attempts Reloaded」プラグインは、指定回数以上のログイン失敗を検知すると、そのIPアドレスを一時的にブロックしてくれます。
初期設定では「4回連続でパスワードを間違えると20分間ログイン不可」となり、ロックを繰り返すと24時間のブロックがかかります。
攻撃ボットにとって、何千回も試行できない環境は非常に効率が悪く、多くの場合は諦めて他のターゲットに移るでしょう。
設定も「有効化するだけ」で基本機能は動作するため、導入のハードルは低いといえます。
万が一、自分自身がロックされた場合に備えて、メール通知を有効にしておくと安心です。
社内の固定IPアドレスをホワイトリストに登録しておく方法もあります。
同様の機能は「SiteGuard WP Plugin」にも搭載されています。
どちらか使いやすいほうを導入してみてください。
二段階認証でパスワード漏洩後の侵入も防ぐ
仮にパスワードが漏洩したとしても、ログインさせない「最後の砦」。
それが二段階認証です。
WordPressでは「Two-Factor」プラグインを使うことで、認証アプリによるワンタイムパスワード(TOTP)を有効化できます。
設定手順
- スマートフォンにGoogle Authenticatorをインストール
- WordPressのユーザー設定画面でQRコードを表示し、アプリでスキャン
- アプリに表示される6桁コードをWordPress側に入力して完了
以降、ログイン時にはパスワード+6桁コードの入力が必要になります。
二段階認証は、すでにオンラインバンキングやGoogleアカウントなど多くのサービスで常識になりつつありますよね。
最初の設定にひと手間かかりますが、セキュリティ強度が飛躍的に向上するため、コストパフォーマンスの高い対策といえるでしょう。
認証アプリを紛失した場合に備えて、バックアップコードを安全な場所に保管しておくことも忘れないでください。
【Level 2:推奨】攻撃者のハードルをさらに上げる3つの対策
Level 1の必須対策が完了したら、次はさらにセキュリティを強化する「推奨」レベルの対策に取り組みましょう。
これらは必須ではありませんが、実行すれば攻撃者にとってのハードルが格段に上がります。
時間に余裕があれば、ぜひ設定しておきたい項目です。
ログインURLを変更してボットの攻撃を回避する
WordPressの標準ログインページ「wp-login.php」は、あまりに有名です。
攻撃者はサイトのURLさえ分かれば、末尾に「/wp-login.php」を付けてアクセスを試みます。
「SiteGuard WP Plugin」を使えば、このログインURLを独自のものに変更できます。
プラグインを有効化すると、自動でランダムなログインURL(例:https://example.com/login_xxxxx)が生成されます。
元のwp-login.phpにアクセスしても、404エラーが表示される仕組みです。
攻撃ボットの多くは、wp-login.phpにリクエストを送り、ログインフォームの応答を期待しています。
応答が404であれば、そのサイトはスキップして次に移るのが一般的です。
この変更だけでボットの大半を回避できる可能性があります。
ただし、変更後のURLはブックマークに保存しておいてください。
自分自身がログインできなくなっては本末転倒です。
複数の管理者がいる場合は、全員への周知も忘れずに。
WordPress・プラグイン・テーマを常に最新版に保つ
アップデートを怠ることは、鍵の壊れたドアを放置するようなものです。
Wordfenceの調査によると、WordPressの脆弱性の大半はプラグインやテーマに起因しています。
参考:2021 WordPress Vulnerability Report(Wordfence)
つまり、アップデートさえしっかり行えば、多くの攻撃を未然に防げるということ。
| 事例 | 原因 | 被害 |
|---|---|---|
| Contact Form 7 (2020年頃) |
ファイルアップロードの脆弱性 | 修正アップデートを怠ったサイトが改ざん被害 |
| WordPress本体 Ver4.7.1以前 |
REST API脆弱性 | 数十万サイトが被害 |
WordPressのアップデートには、新機能の追加だけでなくセキュリティ修正が含まれています。
最近のWordPressは信頼性が高く、マイナーアップデート(セキュリティアップデート)は自動適用される設定になっていることが多いですが、メジャーアップデートも極力早く対応することをおすすめします。
本番環境へ適用する前にバックアップを取っておけば、万一トラブルがあっても復元できます。
使わないプラグイン・テーマは「無効化」でなく「削除」する
「無効化」と「削除」は、まったく別物です。
無効化しただけのプラグインは、ファイルとしてサーバー上に残っています。
攻撃者は、バージョンの古いプラグインファイルに直接リクエストを送り込んで悪用できるのです。
2020年のFile Managerプラグイン脆弱性では、プラグインを無効化していてもファイルに直接アクセスされ、改ざん被害が発生しました。
JPCERTやさくらインターネットも「無効化していても被害に遭う事例が確認されています」と注意喚起しています。
また、無効化したプラグインは「使っていないから更新しなくていい」と放置されがちです。
すでにセキュリティパッチが出ている脆弱性が、いつまでもサイト内に残存することになります。
使っていないプラグインやテーマは、管理画面から「削除」してください。
WordPressに毎年追加されるデフォルトテーマ(Twentyシリーズ)も、最新のもの以外は削除して問題ありません。
「攻撃対象領域(アタックサーフェス)を減らす」という考え方です。
使っていない機能はすべて閉じる。
これがセキュリティの基本であり、プラグイン一覧の整理や、サイトの安定性向上にもつながります。
設定だけでは防げない「見えない脆弱性」とは?
ここまで紹介した対策を実行すれば、不正ログインのリスクは大幅に下げられます。
しかし、「設定さえすれば完璧」とというわけではありません。
プロの視点で見ると、設定対策では防ぎきれない「見えない穴」が存在します。
それは「人為的な設定ミス」と「技術的な脆弱性」の2つです。
これらのリスクと、どう対処すればいいのかを見ていきましょう。
設定ミスがセキュリティホールを作ってしまう
どんなに優れたセキュリティプラグインを導入しても、設定を間違えていれば意味がありません。
よくある設定ミスの例
- 「誰でもユーザー登録できる」がオン:スパマーに悪用される恐れがある
- デバッグ情報を公開したまま:PHPエラーメッセージにパスやSQLクエリが表示され、攻撃者にとって格好のヒントになる
- パーミッション(権限設定)が緩すぎる:他ユーザーから書き込み可能、Web経由で閲覧できる状態だと、侵入の糸口を与えてしまう
実際、多くのサイトでこうした設定ミスが見過ごされています。
WordPressの設定項目は多岐にわたるため、すべてを自力でチェックするのは現実的ではないでしょう。
第三者の専門家に設定を見てもらう「管理画面レビュー」は、人的ミスを効率よく洗い出すのにおすすめです。
\\セキュリティのプロがWPの設定を診断します!//
サーバーやクラウドの設定ミスで1億人の情報流出も
WordPressアプリケーションの設定だけでなく、その下で動くサーバーやクラウドサービスの設定にもリスクが潜んでいます。
あの有名な2019年のCapital One事件では、AWS上のたった一つの設定ミスで1億人の個人情報が流出しました。
「SSH用の22番ポートが開けっ放し」「データベースのポートが全世界に公開」——こうした凡ミスによるデータ流出事例は、枚挙にいとまがありません。
クラウドプロバイダはインフラのセキュリティを担当しますが、設定管理は利用者の責任です。
「AWSだから安全」ではなく、使い方を誤れば危険なのです。
自社でクラウドのセキュリティ人材が不足している場合は、専門家によるクラウド設定レビューを受けるのもひとつの手です。
\\セキュリティのプロがクラウドやサーバーの設定を診断します!//
プラグインやテーマ自体に潜む脆弱性は設定では防げない
ユーザー側でどれだけ設定を固めても、ソフトウェア自体に脆弱性があれば、それを防ぐことはできません。
Wordfenceの調査によると、WordPressの脆弱性の96%はプラグイン由来です。
参考:2021 WordPress Vulnerability Report(Wordfence)
2023年には426件のゼロデイ(悪用された状態で発見された)脆弱性が公開され、そのほとんどがプラグインに起因していました。
有名なプラグインでも、開発者のミスによるSQLインジェクションやXSS(クロスサイトスクリプティング)などの脆弱性が見つかることがあります。
WooCommerce Paymentsの認証バグ、Essential Addons for Elementorの認証バイパスなど、深刻な事例は毎年のように報告されています。
こうした脆弱性は、パスワードを強化しようが二段階認証を入れようが、関係なく攻撃される可能性があります。
設定で隠したり防いだりできる範囲を超えているのです。
脆弱性情報を常にチェックして迅速に対応するのが理想ですが、WPScan Vulnerability DatabaseやJVNを日常的に監視するのは、中小企業の担当者にとって現実的ではないでしょう。
だからこそ、プロによる定期的な診断が意味を持つのです。
ログイン画面を経由せず侵入される「認証回避」
ログイン画面のセキュリティをどれだけ強化しても、攻撃者はログイン画面を経由せずに侵入することがあります。
これが「認証回避」です。
認証バイパス脆弱性とは、本来は認証チェックがかかるはずの機能に、バグでノーチェックでアクセスできてしまう問題のこと。
2023年9月の「Ultimate Member」プラグインの脆弱性では、非ログイン状態から管理者権限での操作が可能になりました。
SQLインジェクションで直接データベースを操作し、管理者ユーザーを作成されるケースもあります。
これらは二段階認証を設定していようが、強力なパスワードを使っていようが、一切関係なく侵入を許します。
家の玄関をいくら強化しても、壁に穴が開いていれば泥棒はそこから入りますよね。
玄関がログイン画面、壁の穴が脆弱性、という関係です。
こうした高度な攻撃を防ぐには、サイト全体のセキュリティ診断を受け、システムの健康状態をチェックするしかありません。
Webアプリケーション診断の詳しい内容については、以下の記事で解説しています。
あわせて読みたい
Webアプリケーション診断とは?その効果と必要・不要の見極め方を専門家が解説
自社のWebサイトやサービスのセキュリティ、「本当に大丈夫?」と不安を感じていませんか? 「『Webアプリケーション診断』を耳にするけれど、具体的に何をするの?」 「費用はどれくらい?」 「そもそも、うちの会社にも必要なの?」 このような疑問や不安、もしかしたらあなたも感じていませんか?
プロの脆弱性診断で「見えない穴」を発見する
自力での対策には限界があります。
「見えない脆弱性」を見つけ出し、安心してサイトを運用するには、プロの診断がおすすめです。
ここでは、脆弱性診断のプロフェッショナルであるIFTのサービスを紹介します。
IFTは15年で1,000件超の診断実績と業界No.1ツール保有
私たちIFTは、15年以上にわたり累計1,000件以上の脆弱性診断を手がけてきました。
官公庁や国立研究開発法人、大手企業など、セキュリティに厳格な組織からも信頼をいただいています。
診断には、国内シェア8年連続No.1の自動診断ツール「Vex」を使用しています。
自動スキャンで網羅性90%以上のチェックを高速に行いつつ、熟練エンジニアの目による手動診断を組み合わせることで、抜け漏れのない高精度な診断を行っています。
なぜ手動診断が必要なのか、その重要性やメリットについては、以下の記事で詳しく紹介しています。
あわせて読みたい
脆弱性診断における「手動診断」とは?特徴やメリットをわかりやすく解説
脆弱性診断には、大きく「自動診断 or 手動診断」の2種類があるのですが、自動化ツールが普及している現代、なぜ“人間の手による診断”が求められるのでしょうか。 自動診断は多くのシステムで広く導入されており、ツールを使って効率的に脆弱性を検出する手法です。この方法は短時間で多くの部分をチェックできる
「脆弱性診断を受けたいが、費用がネック」という声もよく伺います。
IFTでは、必要な診断だけを組み合わせた最適なプランを提案し、手の届きやすい価格で高品質な診断を提供しています。
他社で見積もりを取って「予想以上に高かった」という方も、一度IFTにご相談ください。
修正後3ヶ月以内なら再診断が何度でも無料
IFTの特徴は、診断して終わりではない点です。
脆弱性が見つかった後、修正が正しく行われたかを確認する「再診断」を、初回診断から3ヶ月以内であれば無料で提供しています。
他社では再診断は1回限りだったり、期間が1ヶ月だったりすることが多い中、この手厚さはIFTならではです。
専任エンジニアが診断中も相談に乗り、レポートは技術詳細から経営層向けサマリまで、ニーズに合わせて提供します。
安全な状態になるまで伴走するサポート体制があるからこそ、安心して任せられます。
まとめ:自力対策とプロ診断の両方でサイトを守ろう
WordPressの不正ログイン対策は、優先順位さえ押さえれば難しくありません。
まずはLevel 1の3対策から始めてください。
この記事のポイント
- 必須対策3つ(アカウント管理・試行回数制限・二段階認証)で大半の攻撃を防げる
- 推奨対策(URL変更・アップデート・不要プラグイン削除)でさらに守りを固める
- 設定で防げない脆弱性は、プロの診断で発見する
とはいえ、プラグインの脆弱性や設定ミスなど、自力では気づきにくいリスクも存在します。
自分で対策を進めながら、不安な部分はプロの目でチェックしてもらう——この両方があってこそ、確実な安全が手に入るのです。
私たちIFTは、15年以上・1,000件超の診断実績を持ち、業界No.1ツール「Vex」と熟練エンジニアの目による高精度診断を、手の届きやすい価格で提供しています。
修正後3ヶ月以内の再診断も無料です。
「対策はしたけれど、本当にこれで大丈夫か不安」
そう感じたら、まずは無料相談であなたのサイトのリスクをチェックしてみてください。
