/wp-login.phpを放置すると危険？中小企業サイトが今すぐやるべきWordPressログイン防御10選【2026年版】

「うちのサイトは大企業じゃないから、狙われないはず」

この認識は、WordPress運用では危険です。実際の攻撃の多くは、特定企業を狙う“人力のハッキング”ではなく、/wp-login.php や /xmlrpc.php を機械的にスキャンする自動攻撃（ボット）だからです。つまり、知名度や会社規模に関係なく、公開しているだけでログイン画面は毎日試される、というのが現実です。

しかも近年は、単純な総当たりだけでなく、流出済みID・パスワードを使うクレデンシャルスタッフィング（使い回し認証情報の悪用）が増えています。正しい対策を複数組み合わせないと、1つの穴から侵入される可能性があります。

本記事では、2025〜2026年の脅威動向を踏まえ、WordPressログイン画面を守るための実践策を「設定手順」「メリット・デメリット」「実装難度」まで含めて解説します。Web専任者がいない中小企業でも、今日から着手できる内容に絞っています。

なぜWordPressのログイン画面が狙われ続けるのか

WordPressは世界中で利用されているCMSであり、攻撃者にとって「効率のよい標的」です。攻撃スクリプトを1つ作れば、多数のサイトに横展開できるためです。

まず押さえたいのは、ログイン関連の代表的な攻撃手法の違いです。

• ブルートフォース攻撃: 文字列の組み合わせを総当たりで試す手法
• 辞書攻撃: よく使われる単語・パスワード候補を順に試す手法
• クレデンシャルスタッフィング: 他サービス流出情報（メールアドレス＋パスワード）を流用する手法

とくに企業サイトでは、担当者アカウントのパスワード使い回しがあると、WordPress自体に脆弱性がなくても突破されることがあります。

また xmlrpc.php を悪用した多重試行（system.multicall）や、脆弱なプラグイン経由でユーザー名を列挙してからログイン試行する流れも、依然として観測されています。

2025〜2026年の脅威動向（ログイン周り）

最新の公開レポートや注意喚起を見ると、次の傾向が共通しています。

• 自動化の進行: ボットネットによるログイン試行が継続的に増加
• 認証情報悪用の一般化: フィッシング・情報漏えい由来の資格情報が再利用される
• 多層防御の必要性: 1つの施策（例: URL変更のみ）では防ぎ切れない
• プラグイン設定ミスの悪用: 導入済みでも設定が甘いと突破される

ポイントは、「攻撃をゼロにする」のではなく「侵入成功確率を現実的に下げる」ことです。次章から、実務で効果が高い10施策を優先度順に解説します。

はじめに選ぶなら SiteGuard WP Plugin が手堅い

「何から入れればいいか分からない」という場合、まず SiteGuard WP Plugin を試してみるのがおすすめです。JP-Secure（現: EGセキュアソリューションズ）提供の国産プラグインで、日本語UIで設定項目が直感的、しかも無料で使えます。

本記事で解説する「ログインURL変更」「ログインロック」「画像認証（CAPTCHA）」「ログイン通知」「XML-RPC対策」などを、これ1つでひととおり設定できるのが嬉しいポイント。複数のプラグインを組み合わせて管理するよりシンプルで、初心者でもつまずきにくい構成です。

以降では個別の対策ごとに SiteGuard のどの機能が該当するかも併記しています。まずはこれを入れて、そのうえで足りない部分を他のプラグインで補う、という流れが現実的です。

まず優先して実装したい10のログイン防御策

1) ログインURL変更（/wp-admin / /wp-login.php の秘匿化）

何をするか

既定のログインURLを推測されにくいURLへ変更します。

推奨プラグイン例

• WPS Hide Login
• SiteGuard WP Plugin（ログインページ変更 / 管理ページアクセス制限）

設定手順（例）

1. プラグインを有効化
2. 設定 > 一般 の「Login url」を任意文字列に変更（例: /company-portal-login）
3. 新URLをパスワードマネージャーに保存し、関係者へ安全に共有

SiteGuard WP Plugin を使う場合は、ログインページ変更 で login_ から始まるランダム文字列URL（例: login_ab12cd）への変更が可能です。あわせて 管理ページアクセス制限 を有効にすると、wp-admin への直接アクセスを抑制できます。

メリット

• ボットの無差別アクセスを大幅に減らせる
• サーバー負荷軽減につながる

デメリット / 注意点

• 「見つかりにくくする」施策であり、単体では不十分
• URL共有ミスで担当者がログインできなくなることがある

実装難度: 低

2) 2段階認証（2FA）の導入

何をするか

ID・パスワードに加え、ワンタイムコード（認証アプリ等）を必須化します。

推奨プラグイン例

• Wordfence Login Security
• Two-Factor（WordPress.org公式）

設定手順（例）

1. プラグイン有効化後、管理者ユーザーから2FAを登録
2. Google Authenticator / Microsoft Authenticator などでQR読取
3. 管理者 と 編集者 以上に2FA必須ポリシーを適用
4. バックアップコードをオフライン保管

メリット

• パスワード漏えい時の侵入を強力に防止
• クレデンシャルスタッフィング対策として有効

デメリット / 注意点

• 初期導入時に運用ルール整備が必要
• 端末紛失時の復旧フローを決めておく必要がある

実装難度: 中

3) ログイン試行回数の制限

何をするか

連続失敗時に一定時間ロックし、総当たりを止めます。

推奨プラグイン例

• Limit Login Attempts Reloaded
• SiteGuard WP Plugin（ログインロック / フェールワンス）

設定手順（例）

1. allowed retries を3〜5回に設定
2. lockout time を15〜30分に設定
3. Notify on lockout（通知）を有効化
4. ホワイトリストIPを必要最小限で登録

SiteGuard WP Plugin では ログインロック で同様の試行回数制限を設定できます。さらに フェールワンス を使うと、初回のログイン試行を無条件で失敗させる追加防御も可能です。通知面は ログインアラート を併用すると、ログイン成功・失敗イベントの早期把握に役立ちます。

メリット

• ブルートフォース・辞書攻撃に即効性が高い

デメリット / 注意点

• 正規ユーザーの入力ミスでもロックされる
• 共有IP環境では運用設計が必要

実装難度: 低

4) 強固なパスワード運用 + パスワードマネージャー

何をするか

長くランダムなパスワードを、使い回しなしで管理します。

設定手順（運用）

1. 最低12〜16文字以上、英大小・数字・記号を組み合わせる
2. 役職アカウントでも個人ごとに発行（共用IDを避ける）
3. 退職・異動時は即時ローテーション
4. 1Password / Bitwarden などで安全共有

メリット

• 低コストで効果が高い基本対策

デメリット / 注意点

• 人手管理だと形骸化しやすい
• ルールだけでなくツール導入が前提

実装難度: 低

5) 管理者ユーザー名を admin 以外にする

何をするか

推測されやすいユーザー名を廃止し、攻撃者の前提情報を減らします。

設定手順（安全な移行）

1. 新しい管理者ユーザーを作成（推測困難なユーザー名）
2. 新ユーザーでログイン確認
3. 旧 admin を削除し、投稿の帰属先を新ユーザーへ引き継ぐ

メリット

• ユーザー名列挙後の攻撃成功率を下げる

デメリット / 注意点

• これ単体では防御力は限定的

実装難度: 低

6) reCAPTCHA の導入

何をするか

ログインフォームに人間判定を追加し、ボットの試行を抑制します。

推奨プラグイン例

• Advanced Google reCAPTCHA
• Login No Captcha reCAPTCHA
• SiteGuard WP Plugin（画像認証 / ピンコード）

設定手順（例）

1. Google reCAPTCHAでサイトキー/シークレットキー取得
2. プラグインにキー登録
3. 対象画面を Login / Lost Password / Register に適用
4. 実運用前にログイン成功可否を必ずテスト

SiteGuard WP Plugin では、Google reCAPTCHA連携ではなく 画像認証（CAPTCHA）をログイン関連画面に追加できます。必要に応じて ピンコード を併用し、入力突破の難度を上げる運用も可能です。

メリット

• ボットによる大量試行の抑止に有効

デメリット / 注意点

• UX低下の可能性（特に画像選択型）
• 認証サービス障害時の影響を考慮

実装難度: 中

7) IPアドレス制限（.htaccess）

何をするか

特定IPのみ wp-login.php / wp-admin へアクセス許可します。

設定例（Apache）

<Files wp-login.php>
  Require ip 203.0.113.10
</Files>

<Directory /var/www/html/wp-admin>
  Require ip 203.0.113.10
</Directory>

※複数拠点・在宅勤務がある場合はVPN併用が現実的です。

メリット

• 不要アクセスを入口で遮断できる

デメリット / 注意点

• 固定IPがない環境では運用負荷が高い
• 設定ミスで自社も入れなくなる

実装難度: 中〜高

8) XML-RPC の無効化（必要な場合のみ有効）

何をするか

不要なら xmlrpc.php を無効化し、攻撃面を減らします。

設定手順（例）

1. Jetpack連携や外部アプリ投稿など利用要件を確認
2. 不要なら Disable XML-RPC 系プラグイン導入、またはWAF/サーバー設定で遮断
3. https://example.com/xmlrpc.php へアクセスし無効化状態を確認

SiteGuard WP Plugin を使う場合は XMLRPC防御 を有効化することで、xmlrpc.php を悪用する攻撃の抑止をまとめて設定できます。

メリット

• system.multicall 由来の大量試行を抑制しやすい

デメリット / 注意点

• 必要機能まで止めるリスクがある

実装難度: 低〜中

9) SSL/TLS（HTTPS）の強制

何をするか

ログイン情報を平文送信させないよう、管理画面を必ずHTTPS化します。

設定手順（例）

1. サーバー証明書を設定（Let’s Encrypt等）
2. 設定 > 一般 のURLを https:// に統一
3. 常時SSLリダイレクトを設定
4. 混在コンテンツ（http読込）を修正

メリット

• 盗聴・改ざんリスクを大幅低減
• ブラウザ警告回避で信頼性も向上

デメリット / 注意点

• 証明書更新漏れ・混在コンテンツ対応が必要

実装難度: 中

10) 信頼できるセキュリティプラグインの選定と比較

多機能プラグインは「入れるだけ」でなく、役割を決めて最小構成で使うことが重要です。

中小企業・日本語サイトでの第一候補

運用担当が少ない現場では、まず SiteGuard WP Plugin を第一候補にし、足りない要件（例: 高度なWAF分析やマルウェア検査）だけを他ツールで補う構成が現実的です。

SiteGuard WP Plugin でまとめて設定しやすい主な機能

• 管理ページアクセス制限（wp-admin への不要アクセス抑制）
• ログインページ変更（login_* 形式のランダムURLへ変更）
• 画像認証 / ピンコード（CAPTCHA系防御）
• ログイン詳細エラーメッセージの無効化
• ログインロック / ログインアラート / フェールワンス
• XMLRPC防御
• 更新通知（更新見落とし防止）
• WAFチューニングサポート（誤検知時の調整支援）

選定のコツ

• まず「2FA」「試行回数制限」「ログ通知」を確実に有効化
• 似た機能のプラグインを重複導入しない（不具合防止）
• 本番反映前にステージングで検証

施策の優先順位（最短で事故確率を下げる）

時間がない場合は、次の順で進めると効果が出やすいです。

1. 2FA導入
2. 試行回数制限
3. 強固なパスワード運用 + admin 廃止
4. ログインURL変更
5. reCAPTCHA / XML-RPC無効化
6. IP制限、WAF調整

「まず5割の対策」ではなく「突破されやすい順に潰す」ことが重要です。

運用で差がつく監視ポイント（導入後に放置しない）

設定後に次を月次で確認すると、被害の早期発見につながります。

• ロックアウト件数の急増（攻撃波の兆候）
• 存在しないユーザー名への試行
• 深夜帯・海外IPからの管理者ログイン
• プラグイン設定の無効化や改変
• SiteGuard WP Plugin 利用時は ログインアラート の通知先が個人依存になっていないか

可能なら、通知先を個人メールだけでなくチーム共有（例: セキュリティ用メーリングリスト）にして、担当者不在時でも気づける体制を作りましょう。

どこまで自社でやるべきか？判断の目安

以下に当てはまる場合、スポット支援や運用保守の併用を検討する価値があります。

• 担当者が1名で、引き継ぎドキュメントがない
• 退職・異動時のアカウント棚卸しが不定期
• 夜間障害時の初動ルールがない
• 「設定したはずだが今どうなっているか不明」な項目が多い

WordPressのログイン防御は、初期設定よりも「継続運用」で差がつきます。自社だけで難しい部分は、外部の専門家を適切に使う方が、結果としてコストとリスクの両面で合理的です。

まとめ：ログイン画面は“サイトの玄関”。多層防御で守る

WordPressのログイン画面は、攻撃者から見れば最初に試す入口です。だからこそ、URL変更や試行回数制限のような軽量施策だけでなく、2FAや運用監視まで含めた多層防御が必要です。

WP Axisでは、WordPressの復旧・高速化・運用保守を提供しており、ログイン防御の初期設計から運用ルール整備、緊急時対応まで支援しています。社内で抱え込みすぎず、必要な範囲だけ外部を活用することで、事業を止めないWeb運用を実現できます。

「今の設定で本当に十分か不安」「担当者依存を減らしたい」という場合は、現状診断から段階的に進めるのがおすすめです。

参考情報（公開レポート・ガイドライン）

• SiteGuard WP Plugin 公式: https://www.jp-secure.com/siteguard_wp_plugin/
• WordPress.org（SiteGuard WP Plugin）: https://ja.wordpress.org/plugins/siteguard/
• Wordfence Threat Intelligence: https://www.wordfence.com/threat-intel/
• Wordfence Research/Blog: https://www.wordfence.com/blog/category/research/
• Sucuri Reports: https://sucuri.net/reports/
• WPScan Research Blog: https://wpscan.com/blog/
• JPCERT/CC 注意喚起: https://www.jpcert.or.jp/at/
• IPA（情報処理推進機構）情報セキュリティ10大脅威: https://www.ipa.go.jp/security/10threats.html
• OWASP Authentication Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html

※レポートは毎年更新されるため、社内手順書に転記する際は最新版の発行年を確認してください。