「WordPressのログイン画面に何度もログイン失敗の通知が来る」「身に覚えのない管理者ユーザーが追加されている」「サイトが改ざんされた」——そんな状況に陥って、一体何から手をつければいいかわからなくなっていませんか?
WordPressの不正アクセスは、弱いパスワード・古いプラグインの脆弱性・デフォルトのログインURLといったセキュリティの弱点を狙った攻撃によって発生します。対策を知らなければ、同じ被害が繰り返されます。
この記事では、不正アクセスの被害に遡ったときの緊急対処から、今日から実践できる7つの対策を順番に解説します。
ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、不正アクセス対策の要点を初心者でも実践できるよう丁寍に解説します。
- WordPress不正アクセスの主なサインと確認方法
- 被害発覚直後にやるべき緊急対処
- 不正アクセスを防ぎ7つの対策の具体的な設定手順
- ブルートフォース攻撃・パスワード窃取を防ぐ方法
- 再発防止のためのセキュリティ体制の作り方
WordPress不正アクセスの主なサインを確認する
まず、自分のサイトが不正アクセスの被害を受けているかどうかを確認しましょう。以下のサインが一つでも当てはまる場合は、早急な対応が必要です。
- WordPressのログイン達成メールが頂いていないのに「ログイン失敗」の通知が繰り返す
- 身に覚えのない管理者ユーザーがユーザー一覧に増えている
- サイトのコンテンツが書き換えられた・スパムページが増えた
- Wordfenceなどセキュリティプラグインが大量の攻撃を検出・ブロックしている
- Googleサーチコンソールに「セキュリティの問題」の警告が届いた
- サーバー会社から「不正アクセス検出」「マルウェア検出」の通知が来た
- サイトの表示速度が急激に遅くなった


WordPress不正アクセス対策1:ログインURLを変更する
最も効果的な対策の一つが、WordPressログインページのURLを変更することです。/wp-login.phpや/wp-admin/は世界中の攻撃者に知られており、全自動化されたツールで日常的に攻撃されています。URLを変更するだけで攻撃の9割以上を防ぐことができます。
- 管理画面 →「プラグイン」→「新規プラグインを追加」で「SiteGuard WP Plugin」を検索・インストール・有効化する
- 「SiteGuard」→「ログインページ変更」を開く
- 「ログインページ変更」を「有効」にする
- 新しいログインページ名(例:login-xxxxxxxx)を設定して「変更を保存」をクリックする
- 新しいURLをブックマークする(忘れると自分もログインできなくなる)

WordPress不正アクセス対策2:ログイン失敗回数を制限する
ブルートフォース攻撃は、短時間に何千回ものログインを試みます。
ログイン失敗回数を制限することで、一定回数以上失敗したインターネットアドレスを自動でブロックできます。
- 「SiteGuard」→「ログインロック」を開く
- 「ログインロック」を「有効」にする
- 失敗回数(5回以内推奨)とロック期間(10分以上推奨)を設定する
- 「変更を保存」をクリックする

WordPress不正アクセス対策3:パスワードを強固にする
弱いパスワードは不正アクセスの最大の原因の一つです。「password」「12345678」「admin」のような単純なパスワードは、ブルートフォース攻撃で数分以内に解析されます。
- 16文字以上の長さ(短いほど解析されやすい)
- 英大文字・英小文字・数字・記号を組み合わせる
- 辞書に載っている単語・名前・誕生日など個人情報を使わない
- 他のサイトとパスワードを共用しない

WordPress不正アクセス対策4:管理者ID「admin」を変更する
WordPressのデフォルト管理者ID「admin」は、辞書攻撃で最初に試されるIDです。強固なパスワードでも、IDがわかれば攻撃者は別の変数を一つ固定した上で攻撃を続けられます。
- 管理画面 →「ユーザー」→「新規ユーザーを追加」で新しいメールアドレスで管理者アカウントを作成する
- 新しいアカウントでログインし直す
- 「ユーザー」一覧から元のadminアカウントを削除する(投稿は新しい管理者に引き継ぐ)

WordPress不正アクセス対策5:二段階認証を設定する
二段階認証(2FA)は、パスワードが漏洎しても不正ログインを防ぐ最強の対策です。ログイン時にパスワードと別に、スマートフォンの認証アプリが生成する6桁のワンタイムパスワードを入力する必要があります。
- 「Solid Security」プラグインをインストール・有効化する
- 「Solid Security」→「Two-Factor Authentication」を開く
- 「Enable Two-Factor Authentication」をオンにする
- Google Authenticatorなどの認証アプリでQRコードをスキャンしてアカウントと連携する
- 次回からログイン時に認証アプリのコードを入力する

WordPress不正アクセス対策6:XMLRPCを無効化する
XMLRPC(xmlrpc.php)はWordPressの外部連携機能ですが、ブルートフォース攻撃のツールとして悪用されることが多い危険なエンドポイントです。XMLRPC経由では、ログイン失敗回数制限をバイパスして大量のパスワードを一度に試すことができます。
- 「SiteGuard」→「XMLRPC無効化」を開く
- Jetpackを使っていない場合:「XMLRPC無効化」を選択する
- Jetpackを使っている場合:「XMLRPC多重ログイン防止」を選択する
- 「変更を保存」をクリックする

WordPress不正アクセス対策7:セキュリティプラグインで自動監視する
7つ目の対策は、不正アクセスをリアルタイムで検出・ブロックしてくれるセキュリティプラグインの導入です。
- クイックレスキュー365:ログインURL変更・XMLRPC遷断・不正ログインブロックなど複数のセキュリティ機能を無料で提供
- SiteGuard WP Plugin:ログイン保護に特化した定番の日本製セキュリティプラグイン。無料で使える
- Wordfence Security:ファイアウォール・マルウェアスキャン・不正アクセス検出を網羅する多機能プラグイン
- Limit Login Attempts Reloaded:ログイン失敗回数制限に特化した軽量プラグイン


WordPress不正アクセスが当たった時の緊急対処
すでに不正アクセスが発覚した場合は、上記の7つの対策を施すと同時に、以下の緊急対処を進めます。
- 全アカウントのパスワードを即座変更する(WordPress・FTP・データベース・サーバーパネル)
- ユーザー一覧で身に覚えのない管理者アカウントを削除する
- サーバー会社に連絡してアクセスログを取得する
- Wordfenceでマルウェアスキャンを実行する
- サイトが改ざんされている場合は、クリーンなバックアップから復元する
- Googleサーチコンソールの「セキュリティの問題」を確認し、警告があれば対処する
WordPress不正アクセス対策7選まとめ
WordPressの不正アクセス対策は、一つだけ設定して終わりのものではありません。複数の対策を組み合わせることで、攻撃者が侵入できる突破口を消していきましょう。
- ログインURLをデフォルトから変更している
- ログイン失敗回数制限(ロックアウト)を有効にしている
- 16文字以上の強固なパスワードを使っている
- 管理者IDに「admin」を使っていない
- 二段階認証(2FA)を設定している
- XMLRPCを無効化または制限している
- セキュリティプラグインで自動監視を設定している
上記の7つすべてが揃っていれば、不正アクセスのリスクを大幅に低減できます。自分での対処が難しい場合は、専門サービスへの相談も検討してください。
ホームページの乗っ取りが自分で解決できない時は

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
