「アクセスログを見たら知らない海外のIPアドレスばかり……これって攻撃されてるの?」と不安になっていませんか?
WordPressサイトは世界中からアクセスできる反面、海外からの不正ログイン試行・スパム投稿・DDoS攻撃のターゲットになりやすい宿命があります。
特に日本語のみで運営しているサイトなら、海外からの正当なアクセスはほぼゼロのはず。それにもかかわらず、ログには世界各地のIPが並んでいる——そんな状況は珍しくありません。
でも安心してください。海外からの攻撃は、正しい設定を施せば大幅に遮断できます。サーバーへの負荷も減り、セキュリティリスクも一気に下がります。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧・セキュリティ強化を手がけてきたわたしが、現場で実際に使っている海外攻撃対策を順番に解説します。
- WordPressが海外から攻撃される仕組みと主な手口
- .htaccessで海外IPをブロックする設定方法
- プラグインを使った国別アクセス制限のやり方
- ログインURLを変えて攻撃を受けにくくする方法
- 海外からの攻撃を自分でブロックできるようになる
海外攻撃対策は「難しい」と思われがちですが、設定のポイントさえ押さえれば初心者でも確実に実施できます。
この記事の手順どおりに進めれば、今日中にブロック設定を完了できます。
まずは「なぜ海外から攻撃されるのか」の仕組みを理解するところから始めましょう。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
WordPressが海外から攻撃される理由と主な手口
WordPressが海外から狙われやすい最大の理由は、世界シェアNo.1のCMSだからです。攻撃者はWordPressの脆弱性を利用した自動化ツールを使い、IPアドレスを片っ端からスキャンして標的を探しています。
海外からの主な攻撃パターン3種
現場でよく見かける海外からの攻撃パターンは、大きく3つに分類できます。それぞれの特徴を理解しておくと、対策の優先順位が立てやすくなります。
- ブルートフォース攻撃:wp-login.phpに対してパスワードを総当たりで試し続ける。1日数千回のログイン試行が発生することも珍しくない
- XMLRPCへの攻撃:xmlrpc.phpを悪用した遠隔操作・スパム送信。古い設定のままのサイトで特に多い
- 脆弱性スキャン:プラグインやテーマの既知の脆弱性を自動で探索するボット。更新を怠るとすぐ狙われる
日本語サイトは海外アクセスがほぼ不要
日本語コンテンツのみのサイトであれば、正規ユーザーが海外からアクセスする可能性は極めて低いです。
つまり「海外IPからのアクセスを原則ブロックする」という方針は、ほとんどのケースで問題なく採用できます。
ただし、海外在住の日本人ユーザーや、自分自身が海外出張中にアクセスするケースは例外です。そのような場合は「管理画面のみ国内限定」にするなど、部分的な制限にとどめる判断も有効です。
WordPressへの海外攻撃を.htaccessでブロックする方法
.htaccessを使った海外IP制限は、サーバーレベルで処理されるため非常に効果的です。プラグインが無効化されていても機能し続けるため、最初に設定しておくべき対策のひとつです。
wp-login.phpへのアクセスを日本のみ許可する
最も効果的なのは、ログインページ(wp-login.php)への海外アクセスをサーバーレベルで遮断することです。
以下の設定をサイト直下の .htaccess に追記します。
# wp-login.php への海外アクセスをブロック
<Files "wp-login.php">
Order deny,allow
Deny from all
Allow from 1.0.0.0/8
Allow from 14.0.0.0/8
Allow from 27.0.0.0/8
Allow from 36.0.0.0/8
Allow from 49.0.0.0/8
Allow from 60.0.0.0/8
Allow from 61.0.0.0/8
Allow from 103.0.0.0/8
Allow from 106.0.0.0/8
Allow from 110.0.0.0/8
Allow from 111.0.0.0/8
Allow from 112.0.0.0/8
Allow from 113.0.0.0/8
Allow from 114.0.0.0/8
Allow from 115.0.0.0/8
Allow from 116.0.0.0/8
Allow from 117.0.0.0/8
Allow from 118.0.0.0/8
Allow from 119.0.0.0/8
Allow from 120.0.0.0/8
Allow from 122.0.0.0/8
Allow from 123.0.0.0/8
Allow from 124.0.0.0/8
Allow from 125.0.0.0/8
Allow from 126.0.0.0/8
Allow from 153.0.0.0/8
Allow from 163.0.0.0/8
Allow from 175.0.0.0/8
Allow from 180.0.0.0/8
Allow from 182.0.0.0/8
Allow from 183.0.0.0/8
Allow from 202.0.0.0/8
Allow from 203.0.0.0/8
Allow from 210.0.0.0/8
Allow from 211.0.0.0/8
Allow from 219.0.0.0/8
Allow from 220.0.0.0/8
Allow from 221.0.0.0/8
Allow from 222.0.0.0/8
Allow from 223.0.0.0/8
</Files>この設定により、上記以外のIPアドレスからwp-login.phpへのアクセスは403エラーで拒否されます。
自分のIPが日本のISPから割り当てられているかどうかは「自分のIPアドレス確認」サービスで確認できます。
xmlrpc.phpを完全にブロックする
xmlrpc.phpはWordPressの遠隔操作機能ですが、現在では悪用されるケースがほとんどです。Jetpackなど一部のプラグインが使用しますが、それ以外の用途がなければ完全にブロックして問題ありません。
# xmlrpc.php を完全ブロック
<Files "xmlrpc.php">
Order deny,allow
Deny from all
</Files>海外からの攻撃をプラグインで遮断する方法
.htaccessでの対策に加え、プラグインを使うことでより細かい制御が可能になります。特に国別ブロックや特定IPのリアルタイム拒否は、プラグインが得意とする領域です。
クイックレスキュー365で不正アクセスを防ぐ
わたしが開発した無料セキュリティプラグイン「クイックレスキュー365」は、海外からの不正ログイン対策に必要な機能を8つまとめて提供しています。
- 不正ログインブロック:辞書攻撃・ブルートフォースを自動遮断
- ログインURL変更:wp-login.phpの場所を隠して攻撃を受けにくくする
- XMLRPC遮断:遠隔操作による攻撃をシャットアウト
- IPアドレス拒否:特定の怪しいIPを個別にブロック
- UploadsフォルダPHP動作禁止:画像フォルダからのウイルス実行を防止
Wordfenceで国別アクセス制限を設定する
より細かな国単位のブロックが必要な場合は、Wordfence Securityが有効です。無料版でもIPアドレスや特定の国からのアクセスをブロックする機能が使えます。
- WordPress管理画面 → Wordfence → Firewall を開く
- 「Blocking」タブをクリックする
- 「Country Blocking」セクションで対象の国を選択する
- 「Block」または「管理画面のみブロック」を選んで保存する
ログインURLを変更して海外攻撃のターゲットから外れる
攻撃者はWordPressのデフォルトのログインURL(/wp-login.php)を自動的に狙います。このURLを変更するだけで、攻撃の大半を受け流すことができます。これは最もコストが低く効果の高い対策のひとつです。
クイックレスキュー365でログインURLを変更する
クイックレスキュー365の「ログインURL変更」機能を使えば、簡単な操作でログインページのURLを任意の文字列に変更できます。
- WordPress管理画面 → クイックレスキュー365 を開く
- 「ログインURL変更」機能をオンにする
- 任意のURLスラッグを入力する(例:my-login-2026)
- 「保存」をクリックして完了
変更後のURLを忘れると自分がログインできなくなります。必ずメモしてから設定してください。また、ブックマークも新しいURLに更新しましょう。
SiteGuardプラグインでも変更可能
SiteGuard WP Pluginも同様のログインURL変更機能を持っています。日本語に対応した国産プラグインで、管理画面も使いやすいのが特徴です。
どちらのプラグインを使うかは好みで選んで問題ありませんが、2つを同時に有効化すると競合する場合があるため、どちらか一方を選びましょう。
海外からの攻撃対策をさらに強化する追加設定
ここまでの対策で大部分の攻撃は防げますが、さらに強固にしたい場合に追加できる設定があります。手間はかかりますが、セキュリティレベルを一段階引き上げることができます。
ユーザー名の漏えいを防ぐ
WordPressはデフォルトで、投稿者のユーザー名がURL(/?author=1)から確認できてしまいます。
ユーザー名がわかると、あとはパスワードだけ総当たりすればいいので攻撃者にとって非常に有利です。
クイックレスキュー365の「ユーザー名漏えい防御」機能を有効にすれば、この穴を簡単に塞ぐことができます。
二段階認証でログインを強化する
万が一ログインURLや認証情報が漏れた場合の最後の砦として、二段階認証(2FA)の導入が有効です。
Google Authenticatorなどのアプリと連携することで、パスワードだけでは突破できないログイン画面を実現できます。
- WP 2FA:設定が簡単で日本語対応。無料版で基本的な2FA機能が使える
- Google Authenticator:老舗の2FAプラグイン。Google AuthenticatorアプリやAurhy等と連携可能
WordPressへの海外からの攻撃ブロック設定まとめ
WordPressへの海外からの攻撃は、正しい設定を組み合わせることで大幅に防ぐことができます。
難しく考えすぎず、今日できることから1つずつ実施していくことが大切です。
- .htaccessでwp-login.phpを日本IPのみ許可する
- .htaccessでxmlrpc.phpを完全ブロックする
- クイックレスキュー365で不正ログインブロック・ログインURL変更・ユーザー名漏えい防御を有効にする
- 必要に応じてWordfenceで国別アクセス制限を追加する
- 二段階認証で最後の砦を築く
これらの設定はすべて無料で実施でき、専門的な知識がなくても対応可能です。
まだ何も対策していない方は、まず.htaccessのログイン制限とクイックレスキュー365のインストールから始めてみてください。
万が一すでにハッキング被害を受けてしまった場合や、設定しても攻撃が止まらない場合は、専門家への相談をためらわないでください。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
