管理画面を守る!不正ログイン防止のための基本施策
- 管理画面(/wp-admin / wp-login.php)への不正ログインが心配で、まず何からやればいいか知りたい
- 使い回しや弱いパスワードを卒業して、二要素認証(2FA)やログイン試行制限など基本防御を整えたい
- XML-RPCやREST API、Cloudflare Turnstile / reCAPTCHAなど聞いたことはあるけど設定の優先順位がわからない
WordPressレベル別 対応難易度
赤:外注推奨 オレンジ:条件付き自力可 緑:自力対応可
不正ログイン対策の全体像と対応方針
WordPressの不正ログインは、「弱いパスワード」×「総当たり(ブルートフォース)攻撃」の組み合わせが王道です。
基本は、パスワード強化・ログイン試行制限・二要素認証(2FA)の三点セットを先に固め、そのうえでXML-RPCやREST API、IP制限や通知・ログ監視を足していく流れが安全で効果的です。
やること自体は多く見えますが、優先順位を守れば無理なく段階的に固められます。
管理画面不正ログイン ~WordPressレベルごとのおすすめ対応
まずは「弱いところ」を塞ぐ
赤レベルの方ですと、用語の意味や設定画面の場所探しで時間や体力を使いがちです。最優先はアカウントまわりの健全化をすることです。
管理者ユーザー名が「admin」のままなら変更(新規作成→権限移管→旧アカウント削除)を検討し、パスワードは桁数12以上・英大小数記号を混在させ、使い回しは卒業してください。管理にはパスワードマネージャーを使うと楽です。
次に、ログイン試行制限(Lockdown)を導入して総当たりを牽制します。一定回数の失敗で一時的にブロックするだけでも、日々のアタックはかなり減ります。
さらに二要素認証(2FA)をオンにすると、パスワードが漏れても突破されにくくなります。アプリ方式(Google Authenticator等)が手軽です。
余裕があれば、Cloudflare Turnstile / reCAPTCHAでロボット投稿をはじく、ログイン通知メールを有効化する、管理画面URLをブックマークに固定するなど、小ワザも効果的です。
ただし、設定をいじりすぎて自分が入れなくなる事故も起きる可能性があります。「2FAのバックアップコード保管」と「緊急連絡手段の確保」は忘れずに行いましょう。
正直、赤レベルの方は外注に任せた方が早くて確実です。「現状の課題」「使っているテーマ/プラグイン」「サーバー/ドメイン情報」をメモして渡せば、初期セットアップ(試行制限・2FA・Turnstile・通知)はスムーズに整います。
優先順位は「三点セット」→「通信面」→「監視」
投稿やプラグイン設定に慣れているオレンジレベルの方なら、三点セット(強いパスワード・試行制限・2FA)は自力でも十分いけます。
合わせてログインページのボット対策(Turnstile/reCAPTCHA)を導入し、ログイン通知や失敗ログの記録をオンにします。通知は「異常に早く気づける」のでコスパが良いです。
次の層は通信面です。XML-RPCは必要なければ無効化(Jetpackや外部エディタを使うなら注意)します。
REST APIは完全遮断ではなく、未ログイン時の露出を最小化する考え方が現実的です。テーマやプラグインをむやみに増やさず、バージョン更新もセキュリティFixは優先度高めで適用します(バックアップ前提)。
さらに踏み込むなら、/wp-admin へのIP制限(会社や自宅の固定IPからのみ)や、ドメイン側のWAF/ファイアウォール、.htaccess/サーバーレベルのBasic認証で二重ロックを検討しましょう。
ただし、自分の回線から入れないなどの事故が起きやすいので、緊急解錠手順(FTP/コンソール)を準備してから試すのが安全です。
最後に監視です。ログイン失敗の増加や海外IPからの集中攻撃は、放置するといつか破られます。
メール/Slack通知・ダッシュボードの可視化で「異常にすぐ気づく」仕組みを入れておくと、被害の芽を小さいうちに摘めます。
多層防御+運用ルールで“破られにくい”状態を
緑レベルの方は、多層防御(Defense in Depth)が前提。アプリ層では2FA+試行制限+ボット対策を標準化。ネットワーク層はCDN/WAF(Bot管理・レート制限)を活用し、/wp-login.php へのリクエストを緩やかに絞ります。サーバー層ではIP制限・Basic認証・fail2ban相当でのレピュテーション制御を組み合わせると堅くなります。
認証まわりは、管理者アカウントの最小化と権限分離(原則Least Privilege)を徹底。パスワードポリシーは長い+更新より「固い+漏れない」に重心を置き、流出時の影響半径を小さく。SFTP/SSH鍵や管理パネルのMFAも含め、「入口」全体を多要素化します。
運用では、脆弱性情報のトリアージ(テーマ/プラグイン/コア)、定期バックアップとリストア訓練、ログ監視・アラート(しきい値・国別)を仕組みに。ログインURLの変更は過信禁物(気休めの範囲)。むしろ、公開面の最小化(不要なエンドポイントやヘッダの削減)と、侵害前提の検知と復旧手順を整えておく方が現実的です。
チーム利用なら、共有アカウント禁止・退職/委託終了時の速やかな権限剥奪、本番と検証環境の分離もマスト。最終的には、「設定」ではなく「運用ルール」がセキュリティレベルを決めます。
不正ログイン対策を外注する場合のポイント
「まず確実に固めたい」「短時間で初期防御を完成させたい」なら外注が近道です。費用や流れ、事前準備をざっと確認しておきましょう。
| 項目 | ポイント |
|---|---|
| 費用の目安 |
初期セット(試行制限+2FA+Turnstile/recaptcha+通知)で15,000~30,000円 XML-RPC/REST最小化やIP制限、WAF設計など含むと30,000~80,000円程度 運用監視まで含む月額保守は5,000~30,000円/月が相場感 |
| 依頼の流れ |
1. 現状ヒアリング(ログインURL、利用テーマ/プラグイン、サーバー種別) 2. 優先度決定と見積り(まず三点セット→通信面→監視) 3. バックアップ取得→設定実施→テスト→手順書共有 |
| 準備しておくと便利 |
管理画面URL・現在のログイン方法(2FA有無)、サーバー情報、 導入済みセキュリティ機能(WAF/プラグイン名)、 「こうなったら困る」業務上の要件(深夜メンテ不可 等) |
不正ログイン対策は「強いパスワード」×「試行制限」×「2FA」の三点セットが土台になります。ここにボット対策・XML-RPC/RESTの最小化・IP制限・通知/監視を重ねると、日常の攻撃にはしっかり効きます。
赤は外注で一気に初期セット、オレンジは優先順位どおりに段階導入、緑は多層防御+運用ルールを整えて“破られにくい状態”を維持しましょう。
迷ったら早めの相談をおすすめします。被害が出てからより、予防に投資する方が結果的に安く、安心です。
初心者 … ログインなど基本も不安
基本操作 … 投稿OK/更新は不安
投稿メイン … 記事更新・差替えはできる
更新ユーザー … テーマ/プラグイン更新経験あり
データ操作 … DBやバックアップを理解
カスタマイザー … 子テーマ・CSS修正が可能
マスター … コード/サーバーまで自走可能