WordPress不正ログインを防ぐ5つのセキュリティ設定
「WordPressのログイン画面って、誰でもアクセスできるの?」
はい、デフォルトでは誰でもアクセスできます。しかも、ログインURLは全世界共通(/wp-admin/)なんです。これはつまり、攻撃者もあなたのログインページを知っているということです。
今回は、WordPress不正ログインを防ぐための5つのセキュリティ設定を紹介します。
結論:デフォルト設定のままは「鍵をかけていない玄関」と同じ
WordPressへのブルートフォース攻撃(パスワードを総当たりで試す攻撃)は、毎日何万回と行われています。セキュリティ脆弱性の記事でも紹介しましたが、WordPressは世界シェアNo.1だからこそ狙われやすいんです。
| 攻撃手法 | 仕組み | 対策 |
|---|---|---|
| ブルートフォース攻撃 | パスワードを大量に試す | ログイン試行回数の制限 |
| 辞書攻撃 | よく使われるパスワードを試す | 強固なパスワード設定 |
| リスト型攻撃 | 流出したID・パスワードを試す | 二段階認証 |
| ボット攻撃 | 自動化ツールで大量にアクセス | ログインURLの変更 |
設定①:ログインURLを変更する
WordPressのログインURLはデフォルトで「/wp-admin/」または「/wp-login.php」です。攻撃者はこれを知っているので、URLを変更するだけで攻撃の大半を防げます。
「WPS Hide Login」というプラグインを使えば、ログインURLを任意の文字列に変更できます。例えば「/my-secret-login/」のように。設定は1分で終わります。
設定②:ログイン試行回数を制限する
ブルートフォース攻撃は、何千回もパスワードを試す攻撃です。ログイン試行回数に制限をかければ、この攻撃は無力化できます。
「Limit Login Attempts Reloaded」を使えば、「3回失敗したら30分ロック」のような設定が簡単にできます。
| 設定項目 | おすすめ値 |
|---|---|
| 許可する試行回数 | 3回 |
| ロックアウト時間 | 30分 |
| ロックアウト回数の上限 | 3回(その後24時間ロック) |
設定③:強固なパスワードを使う
「password123」や「admin」をパスワードに使っている方、今すぐ変更してください。攻撃者が最初に試すのは、まさにこういったパスワードです。
強いパスワードの条件はこちら。
- 12文字以上
- 大文字・小文字・数字・記号を含む
- 辞書に載っている単語を使わない
- 他のサービスと使い回さない
パスワード管理ツール(1Password、Bitwardenなど)を使えば、複雑なパスワードも楽に管理できます。
設定④:二段階認証を導入する
パスワードが漏れても、二段階認証があれば突破されません。スマートフォンの認証アプリ(Google Authenticator等)を使って、ログイン時に追加の確認コードを入力する仕組みです。
「Two Factor Authentication」プラグインで簡単に導入できます。
設定⑤:管理者のユーザー名を「admin」から変更する
WordPressをインストールしたとき、ユーザー名を「admin」にしていませんか?攻撃者が真っ先に試すユーザー名が「admin」です。
WordPressの仕様上、ユーザー名は直接変更できませんが、以下の手順で対応できます。
- 新しい管理者アカウントを別のユーザー名で作成
- 新しいアカウントでログインし直す
- 古い「admin」アカウントを削除(投稿は新アカウントに引き継ぎ)
これだけは今日やろう:優先順位まとめ
| 対策 | 難易度 | 効果 | 所要時間 |
|---|---|---|---|
| パスワードの変更 | 簡単 | 大 | 3分 |
| ログイン試行制限 | 簡単 | 大 | 5分 |
| ログインURL変更 | 簡単 | 中 | 3分 |
| 二段階認証 | やや難 | 大 | 10分 |
| ユーザー名変更 | やや難 | 中 | 10分 |
まとめ:30分で不正ログインリスクを激減させよう
- デフォルト設定のWordPressは攻撃されやすい
- ログインURLの変更と試行回数制限が最優先
- パスワードは12文字以上で使い回し厳禁
- 二段階認証で万が一のパスワード漏洩にも備える
- ユーザー名「admin」は今すぐ変更する
WordPressを更新しないリスクと合わせて、セキュリティ対策は後回しにできない作業です。
「設定が不安」「うちのサイトは大丈夫?」という方は、セキュリティ診断からお手伝いしますので、お気軽にご相談ください。
