WordPressの不正アクセスを今すぐ止める7つの対策【被害に遡ったら最初にやること】

WordPressの不正アクセス対策を表すアイキャッチ画像。ログイン画面を盾と鍵で守り、不正ログインをブロックしているイラスト。

「WordPressのログイン画面に何度もログイン失敗の通知が来る」「身に覚えのない管理者ユーザーが追加されている」「サイトが改ざんされた」——そんな状況に陥って、一体何から手をつければいいかわからなくなっていませんか?

WordPressの不正アクセスは、弱いパスワード・古いプラグインの脆弱性・デフォルトのログインURLといったセキュリティの弱点を狙った攻撃によって発生します。対策を知らなければ、同じ被害が繰り返されます。

この記事では、不正アクセスの被害に遡ったときの緊急対処から、今日から実践できる7つの対策を順番に解説します。

よこやま良平

ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、不正アクセス対策の要点を初心者でも実践できるよう丁寍に解説します。

この記事でわかること
  • WordPress不正アクセスの主なサインと確認方法
  • 被害発覚直後にやるべき緊急対処
  • 不正アクセスを防ぎ7つの対策の具体的な設定手順
  • ブルートフォース攻撃・パスワード窃取を防ぐ方法
  • 再発防止のためのセキュリティ体制の作り方
目次

WordPress不正アクセスの主なサインを確認する

まず、自分のサイトが不正アクセスの被害を受けているかどうかを確認しましょう。以下のサインが一つでも当てはまる場合は、早急な対応が必要です。

不正アクセスの主なサイン
  • WordPressのログイン達成メールが頂いていないのに「ログイン失敗」の通知が繰り返す
  • 身に覚えのない管理者ユーザーがユーザー一覧に増えている
  • サイトのコンテンツが書き換えられた・スパムページが増えた
  • Wordfenceなどセキュリティプラグインが大量の攻撃を検出・ブロックしている
  • Googleサーチコンソールに「セキュリティの問題」の警告が届いた
  • サーバー会社から「不正アクセス検出」「マルウェア検出」の通知が来た
  • サイトの表示速度が急激に遅くなった
SiteGuardのログインアラート設定画面。ログイン通知メールの内容を確認できます。
SiteGuardのログインアラート設定画面
Wordfenceダッシュボードでセキュリティ状態を確認する画面。
Wordfenceダッシュボードでセキュリティ状態を確認する画面

WordPress不正アクセス対策1:ログインURLを変更する

最も効果的な対策の一つが、WordPressログインページのURLを変更することです。/wp-login.phpや/wp-admin/は世界中の攻撃者に知られており、全自動化されたツールで日常的に攻撃されています。URLを変更するだけで攻撃の9割以上を防ぐことができます。

SiteGuardでログインURLを変更する手順
  1. 管理画面 →「プラグイン」→「新規プラグインを追加」で「SiteGuard WP Plugin」を検索・インストール・有効化する
  2. 「SiteGuard」→「ログインページ変更」を開く
  3. 「ログインページ変更」を「有効」にする
  4. 新しいログインページ名(例:login-xxxxxxxx)を設定して「変更を保存」をクリックする
  5. 新しいURLをブックマークする(忘れると自分もログインできなくなる)
SiteGuardのログインページ変更設定画面。新しいログインURLを設定できます。
SiteGuardのログインページ変更設定画面

クイックレスキュー365にも「ログインURL変更」機能が搭載されています。セキュリティプラグインを一本化したい方にはおすすめです。

WordPress不正アクセス対策2:ログイン失敗回数を制限する

ブルートフォース攻撃は、短時間に何千回ものログインを試みます。
ログイン失敗回数を制限することで、一定回数以上失敗したインターネットアドレスを自動でブロックできます。

SiteGuardのログインロック設定手順
  1. 「SiteGuard」→「ログインロック」を開く
  2. 「ログインロック」を「有効」にする
  3. 失敗回数(5回以内推奨)とロック期間(10分以上推奨)を設定する
  4. 「変更を保存」をクリックする
SiteGuardのログインロック設定画面。失敗回数やロック時間を設定できます。
SiteGuardのログインロック設定画面

WordPress不正アクセス対策3:パスワードを強固にする

弱いパスワードは不正アクセスの最大の原因の一つです。「password」「12345678」「admin」のような単純なパスワードは、ブルートフォース攻撃で数分以内に解析されます。

強固なパスワードの条件
  • 16文字以上の長さ(短いほど解析されやすい)
  • 英大文字・英小文字・数字・記号を組み合わせる
  • 辞書に載っている単語・名前・誕生日など個人情報を使わない
  • 他のサイトとパスワードを共用しない
WordPressプロフィールで強いパスワードを設定する画面。
WordPressプロフィールでパスワードを設定する画面

WordPress不正アクセス対策4:管理者ID「admin」を変更する

WordPressのデフォルト管理者ID「admin」は、辞書攻撃で最初に試されるIDです。強固なパスワードでも、IDがわかれば攻撃者は別の変数を一つ固定した上で攻撃を続けられます。

管理者ユーザー名をadminから別名に変更する手順
  1. 管理画面 →「ユーザー」→「新規ユーザーを追加」で新しいメールアドレスで管理者アカウントを作成する
  2. 新しいアカウントでログインし直す
  3. 「ユーザー」一覧から元のadminアカウントを削除する(投稿は新しい管理者に引き継ぐ)
WordPressの新規ユーザー追加で管理者権限を確認する画面。
WordPressの新規ユーザー追加で権限を確認する画面

WordPress不正アクセス対策5:二段階認証を設定する

二段階認証(2FA)は、パスワードが漏洎しても不正ログインを防ぐ最強の対策です。ログイン時にパスワードと別に、スマートフォンの認証アプリが生成する6桁のワンタイムパスワードを入力する必要があります。

Solid Securityで二段階認証を設定する手順
  1. 「Solid Security」プラグインをインストール・有効化する
  2. 「Solid Security」→「Two-Factor Authentication」を開く
  3. 「Enable Two-Factor Authentication」をオンにする
  4. Google Authenticatorなどの認証アプリでQRコードをスキャンしてアカウントと連携する
  5. 次回からログイン時に認証アプリのコードを入力する
Wordfenceのログインセキュリティ設定画面。二要素認証を設定できます。
Wordfenceのログインセキュリティ設定画面

WordPress不正アクセス対策6:XMLRPCを無効化する

XMLRPC(xmlrpc.php)はWordPressの外部連携機能ですが、ブルートフォース攻撃のツールとして悪用されることが多い危険なエンドポイントです。XMLRPC経由では、ログイン失敗回数制限をバイパスして大量のパスワードを一度に試すことができます。

SiteGuardでXMLRPCを対処する手順
  1. 「SiteGuard」→「XMLRPC無効化」を開く
  2. Jetpackを使っていない場合:「XMLRPC無効化」を選択する
  3. Jetpackを使っている場合:「XMLRPC多重ログイン防止」を選択する
  4. 「変更を保存」をクリックする
SiteGuardのXMLRPC防御設定画面。XML-RPCの防御設定を確認できます。
SiteGuardのXMLRPC防御設定画面

WordPress不正アクセス対策7:セキュリティプラグインで自動監視する

7つ目の対策は、不正アクセスをリアルタイムで検出・ブロックしてくれるセキュリティプラグインの導入です。

不正アクセス対策におすすめのセキュリティプラグイン
  • クイックレスキュー365:ログインURL変更・XMLRPC遷断・不正ログインブロックなど複数のセキュリティ機能を無料で提供
  • SiteGuard WP Plugin:ログイン保護に特化した定番の日本製セキュリティプラグイン。無料で使える
  • Wordfence Security:ファイアウォール・マルウェアスキャン・不正アクセス検出を網羅する多機能プラグイン
  • Limit Login Attempts Reloaded:ログイン失敗回数制限に特化した軽量プラグイン
Wordfenceファイアウォールでブロック設定を確認する画面。
Wordfenceファイアウォールでブロック設定を確認する画面

WordPress不正アクセスが当たった時の緊急対処

すでに不正アクセスが発覚した場合は、上記の7つの対策を施すと同時に、以下の緊急対処を進めます。

不正アクセス発覚時の緊急対処チェックリスト
  1. 全アカウントのパスワードを即座変更する(WordPress・FTP・データベース・サーバーパネル)
  2. ユーザー一覧で身に覚えのない管理者アカウントを削除する
  3. サーバー会社に連絡してアクセスログを取得する
  4. Wordfenceでマルウェアスキャンを実行する
  5. サイトが改ざんされている場合は、クリーンなバックアップから復元する
  6. Googleサーチコンソールの「セキュリティの問題」を確認し、警告があれば対処する
WordPressの不正アクセスは自分で気づけますか?

気づきにくいケースもありますが、主なサインはあります。Wordfenceのダッシュボードに大量のブロック数が表示される、ログイン通知メールが頂く、ユーザー一覧に身に覚えのないアカウントが増えているなどのサインがあります。定期的にセキュリティプラグインのダッシュボードを確認する習慣をつけましょう。

ブルートフォース攻撃を受けるとサイトにどんな影響がありますか?

影響は大きく分けて2つあります。①サーバー負荷の増大:大量のログイン試行によりサーバーリソースが溈消され、サイト表示が極端に遅くなるまたはサーバーが停止することがあります。②不正ログインの成功:攻撃が成功するとサイトの改ざん・情報漏洎・マルウェア感染につながります。

セキュリティプラグインを入れたければ不正アクセスは完全に防げますか?

セキュリティプラグインは有効な層の防御になりますが、100%完全に防ぐことはできません。不正アクセスに対する最強の防御は、プラグイン・テーマ・本体の最新化・ログインURL変更・強固なパスワード・二段階認証・定期バックアップを組み合わせた多層防御です。

WordPressの不正アクセスを確認する方法はありますか?

Wordfenceの「Live Traffic」画面でリアルタイムのアクセスログを確認できます。また、サーバーのアクセスログ(access_log)から、/wp-login.phpや/wp-admin/への異常なアクセスを確認することもできます。不審なIPアドレスからの短時間に大量のリクエストがあれば、不正アクセスが試みられている可能性が高いです。

WordPress不正アクセス対策7選まとめ

WordPressの不正アクセス対策は、一つだけ設定して終わりのものではありません。複数の対策を組み合わせることで、攻撃者が侵入できる突破口を消していきましょう。

7つの不正アクセス対策チェックリスト
  1. ログインURLをデフォルトから変更している
  2. ログイン失敗回数制限(ロックアウト)を有効にしている
  3. 16文字以上の強固なパスワードを使っている
  4. 管理者IDに「admin」を使っていない
  5. 二段階認証(2FA)を設定している
  6. XMLRPCを無効化または制限している
  7. セキュリティプラグインで自動監視を設定している

上記の7つすべてが揃っていれば、不正アクセスのリスクを大幅に低減できます。自分での対処が難しい場合は、専門サービスへの相談も検討してください。

ホームページの乗っ取りが自分で解決できない時は

WordPress修復マルウェア駆除トラブル専門「クイックレスキュー」

ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。

こんなお悩みはありませんか?
  • ホームページが乗っ取られた・改ざんされた
  • 管理画面にログインできなくなった
  • 変なサイトにリダイレクトされている
  • Googleに危険なサイトと表示されている
  • 自分で復旧しようとしたが直らない
  • WordPressを復旧・修正したい

こんなお悩みなら最短30分ですぐに解決します!
いまなら期間限定で3つの安心保証

3つの安心保証
  • 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
  • 90日間再感染保証・動作保証で安心
  • 初期費用・調査費用0円で安心

この記事を書いた専門家

こんにちは!20年以上ITエンジニアとして活動してきた
よこやま良平です。

Wordpress復旧やサイト修復、オンライン講座では
776件以上のレビューを頂いており

「すぐに復旧してくれる!」
「当日行ってくれて助かった!」など

評価は4.9/5.0と非常に高く好評です。

またWordPress、SEO、Officeなど30冊以上の書籍を出版しており、
売上ランキング1位を連続で獲得致しました。

その他これまでに3000以上のサービス・システム・サイトを作成。

多くの方の「できない」や「悩み」を解決してきました。
その観点からわかりやすく解説しています。

目次