WordPressでセキュアなログイン制御を実装する方法

ログインページはWordPressの中でも最も狙われやすいポイントのひとつです。この記事では、不正ログインを防ぐためのセキュアなログイン制御の方法について、具体的なコードや設定例を交えて解説します。

ログインURLを変更する

WordPressのデフォルトログインURL(/wp-login.php または /wp-admin)は広く知られており、攻撃の対象になりやすいです。セキュリティを高めるにはログインURLを変更するのが有効です。

プラグイン例:WPS Hide Login

  • プラグインをインストールし有効化
  • 「設定」→「一般」から新しいログインURLを設定可能

functions.php による対策(推奨はプラグイン)

独自の方法で wp-login.php を隠すのは非推奨ですが、リライトルールである程度制御できます。

// functions.php に記載(応用編)
add_action('init', function() {
    if (strpos($_SERVER['REQUEST_URI'], 'my-login') !== false) {
        include ABSPATH . 'wp-login.php';
        exit;
    }
});

ログイン試行の回数制限を設ける

総当たり攻撃(ブルートフォース)を防ぐには、ログイン試行回数の制限が必須です。

プラグイン例:Limit Login Attempts Reloaded

  • 試行回数、ロックアウト時間、通知メールなどの設定が可能
  • GDPR対応もあり安心

その他プラグイン例

  • Login LockDown
  • WP Cerber Security

reCAPTCHAの導入でボット対策

ログインフォームにGoogleのreCAPTCHAを導入することで、自動攻撃から守ることができます。

プラグイン例:Advanced Google reCAPTCHA

  • v2(チェックボックス型)とv3(非表示型)に対応
  • ログイン、コメント、登録フォームなど複数箇所に対応可能

Google reCAPTCHAキーの取得手順

  1. https://www.google.com/recaptcha にアクセス
  2. サイトを登録し、v2またはv3を選択
  3. サイトキーとシークレットキーを取得
  4. プラグイン設定画面にキーを入力

XML-RPC機能の無効化

XML-RPCは外部アプリとの連携に使われますが、不正アクセスの経路にもなり得ます。

無効化の方法

// functions.php に追加
add_filter('xmlrpc_enabled', '__return_false');

または、.htaccess に以下を追加:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

二要素認証(2FA)の導入

IDとパスワードに加えてスマートフォン認証を導入すると、さらに安全性が高まります。

プラグイン例:Two Factor

  • メールコード、TOTP(Google Authenticator)、U2F(物理キー)に対応
  • ユーザーごとに設定可能

管理画面へのIP制限

.htaccessやサーバー設定で、特定のIPアドレス以外からのアクセスを拒否する方法です。

.htaccessでの設定例

<Files wp-login.php>
    order deny,allow
    deny from all
    allow from xxx.xxx.xxx.xxx
</Files>

複数のIPを許可する場合:

allow from 111.222.333.444
allow from 123.456.789.012

All in One Security(AIOS)で一括対策

セキュリティ強化の設定を一括で管理したい場合、「All in One Security(旧:All in One WP Security & Firewall)」がおすすめです。

主な機能

  • ログインURL変更、試行回数制限、CAPTCHAの設定
  • XML-RPCの無効化やREST API制御
  • 2FA、IPブロック、.htaccess自動編集
  • セキュリティスコアで設定状況の可視化

メリット

  • 多機能なのに直感的なUI
  • 一部日本語化されており初心者でも扱いやすい
  • 個別にプラグインを入れなくてもこれ1つでカバー可能

特に複数のセキュリティ対策をまとめて導入したい場合には非常に有効です。

まとめ:段階的な防御が鍵

セキュアなログイン制御は、単一の対策ではなく「多層防御(Defense in Depth)」が重要です。

  • ログインURLの変更 → アクセス対象を減らす
  • 試行回数制限 → 攻撃成功の確率を下げる
  • reCAPTCHA → 自動化攻撃を防ぐ
  • XML-RPC無効化 → 外部からの抜け道を塞ぐ
  • 2FA → パスワード漏洩時の最終防衛線
  • IP制限 → 管理者アクセスを限定
  • All in One Security → 総合的なセキュリティ対策の一元管理

複数の対策を組み合わせて、あなたのWordPressサイトを守りましょう。

小堤 直樹

Written by

小堤 直樹Naoki Kozutsumi

株式会社コナックス 代表取締役
一級ウェブデザイン技能士 兼 ウェブデザイン技能検定検定委員

関連記事

WordPressで閲覧数ランキングを自作する方法:週間・月間の人気記事を表示する

WordPressで人気記事ランキングを表示するには、専用プラグインを使う方法が一般的ですが、「自由度が低い」「postmetaが肥大化する」などの課題もあります。この記事では、独自テーブルを使って週間・月間の閲覧数を集計し、テンプレート内で表示するランキング機能を自作する方法を、具体的なコード例とともに解説します。

WordPressフック入門:アクションとフィルターの違い・使いどころまとめ

WordPressの開発で頻繁に登場する「フック」は、プラグインやテーマを拡張・カスタマイズするうえで欠かせない仕組みです。この記事では、WordPressの2大フック「アクションフック」と「フィルターフック」の違いと、それぞれの使いどころを具体的なコード例とともに解説します。

ブロックエディタ(Gutenberg)に独自ブロックを追加する方法

WordPressのブロックエディタ(Gutenberg)では、標準ブロック以外にも独自のブロックを追加して編集体験を拡張できます。この記事では、独自ブロックを作成する手順や基本構成、開発時のポイントを具体例付きで解説します。

WordPressのマルチサイト機能とは?導入手順と注意点

WordPressには、1つのWordPressインストールで複数のサイトを管理できる「マルチサイト」機能があります。企業のグループサイトや多言語サイトの展開など、管理を一元化したいケースに非常に有効です。本記事では、WordPressマルチサイト機能の概要、導入手順、注意点について詳しく解説します。

WP_Queryチートシート:条件別によく使うカスタマイズ例まとめ

WordPressで高度なカスタマイズを行う際に欠かせないのが「WP_Query」です。投稿の一覧を自由自在に取得できる一方、条件が複雑になると記述ミスもしばしば。本記事では、WP_Queryの基本から応用まで、条件別に実用的なカスタマイズ例を紹介します。コピペで使えるコード付きなので、日々の開発にぜひお役立てください。

ブロックテーマ vs クラシックテーマ:どちらを選ぶべき?

WordPress 5.9以降、「ブロックテーマ」という新しいテーマ形式が登場し、従来の「クラシックテーマ」との違いに戸惑う方も多いのではないでしょうか。本記事では、それぞれの特徴や利点、注意点をわかりやすく解説し、どちらを選ぶべきか判断するためのヒントを提供します。

functions.phpとは?初心者のための役割と使い方入門

WordPressテーマの中でよく見かける「functions.php」。名前からして難しそうに感じるかもしれませんが、実はWordPressサイトにさまざまな便利な機能を追加できる、とても重要なファイルです。この記事では、functions.phpの基本的な役割や使い方を初心者向けにわかりやすく解説します。

WordPress REST APIの使い方:外部連携・フロント開発の基礎

WordPress REST APIは、WordPressのデータにHTTP経由でアクセスできる仕組みであり、他のサービスやフロントエンドアプリケーションとの連携を可能にします。この記事では、REST APIの基本的な使い方や、外部連携やフロント開発での実用例を具体的に解説します。

WordPressでSEO対策を強化するための必須設定まとめ

WordPressサイトの検索順位を上げるためには、コンテンツの質だけでなく、基本的なSEO設定も欠かせません。この記事では、初心者から中級者まで知っておきたい「SEO対策に必須のWordPress設定」をわかりやすく解説します。プラグインの活用からURL設計、メタ情報の設定まで、今日からすぐに実践できる内容です。

Advanced Custom Fields(ACF)のリピーター・ギャラリー・フレキシブルコンテンツの使い分け

Webサイト制作でコンテンツの自由度を高めるために欠かせない「Advanced Custom Fields(ACF)」。中でも「リピーター」「ギャラリー」「フレキシブルコンテンツ」はよく使われる強力なフィールドタイプですが、使い分けを誤ると管理画面が煩雑になったり、表示が非効率になったりします。本記事ではそれぞれの特徴と使い分け方を実例とともに解説します。

Contact

ウェブサイトの制作や運用に関わる
お悩みやご相談
お気軽にお問い合わせ下さい

ウェブサイトと一口に言っても、企業サイトやECサイト、ブログ、SNSなど、その“カタチ”は目的に応じてさまざまであり、構築方法や使用する技術も大きく異なります。株式会社コナックスでは、お客様のご要望やブランドの個性を丁寧に汲み取り、最適なウェブサイトの“カタチ”をご提案いたします。

デザイン、ユーザビリティ、SEO対策はもちろん、コンテンツ制作やマーケティング戦略に至るまで、あらゆるフェーズでお客様のビジネスに寄り添い、成果につながるウェブサイトづくりをサポートいたします。私たちは、ウェブサイトの公開をゴールではなくスタートと捉え、お客様のビジネスの成功に向けて共に伴走してまいります。

お問い合わせフォーム