WordPressを使用してWebサイト制作を行う個人や企業のなかには、ログイン画面の入力情報を初期設定のまま、利用しているケースが少なくありません。しかしサイト制作に精通した弊社から見ると、WordPressのログインURLを初期設定のまま利用していると、セキュリティリスクが高いです。
悪意のある第三者や、コンピュータウイルスなどからサイバー攻撃の被害に遭いやすくなるからです。何も対策をしなければ管理画面への不正アクセスや、乗っ取りなどの不正行為をされる危険性があるでしょう。
そのため、安全にWebサイト運営を行っていくためには、ログインURLを変更する、ログイン方法を複雑にするなど、強固なセキュリティ対策が必要だと考えています。
この記事では、WordPressのログインURLの変更方法や、不正ログインからサイトを守る方法を解説していきます。
Contents
WordPressのログインURLは必ず変更しよう

何も対策をしていないWordPressのログイン画面
WordPressのログインURLの初期設定は「/wp-admin/」または「/wp-login.php」が使用されています。しかしログインURLを初期設定のまま使用していると、不特定多数から簡単に管理ページへのアクセスを許してしまいます。画像のように、「https://サイトドメイン/wp-admin/」・「https://サイトドメイン/wp-login.php」などでアクセスすると、ログイン画面が表示される仕組みです。
このログイン画面は家で例えるところの「玄関」のような存在です。扉がどこにあるかわかると、どのような鍵を使っていて、その鍵の種類ならどのように開くことができるか、専門知識のある人なら分かってしまいます。
そのため、初期設定のままのログインURLでは、ネットに詳しい第三者から攻撃されて、セキュリティ被害に遭う危険性があります。WordPressのログインURLは必ず変更することと、さらにID・パスワードの保護を行い多重防御が大切です。
WordPressのログインURLを変更する方法
WordPressのログインURLが初期設定のままでは、様々なセキュリティリスクの懸念があるため、変更するべきであることはお判りいただけたかと思います。しかし効果的なセキュリティ対策をしたくても、具体的にどのようにしてログインURLを変えられるのかを疑問に思うでしょう。
ここでは、WordPressのログインURLを変更する3つの方法を解説していきます。
プラグインを使う
WordPressのログインURLの変更には、プラグインを使う方法があります。
ログインページのURLの変更だけに限らず、不正ログインからWebサイトを守れるように、様々なセキュリティ機能を備えています。例えば、ログインロック、画像認証、フェールワンス機能、ログインアラート、ユーザー名漏えい防御などです。
プラグインの提供元は海外ですが、日本語での表示も可能なので、ログインURLの変更が簡単に行なえます。ログインURL設定以外のセキュリティ機能を使うには、ある程度のIT知識が必要になるため、中級者以上の人におすすめです。
WordPressのログインURLの変更だけなら、最もシンプルでスピーディーに設定が行えるプラグインです。世界中のユーザーからのインストール数は100万件以上もあり、安全性や信頼性が高いため安心して導入できます。
.htaccessを編集する
「.htaccess」のファイルを編集することにより、WordPressのログインURLの変更あるいは非表示にすることが可能です。「.htaccess」はレンタルサーバーに設置されています。
FTPソフトやソースコードを扱う必要があるため、操作する際は必ずバックアップを取るようにしましょう。プラグインを導入せずにログインURLの変更が可能ですが、初心者の方には難しいので、あまりおすすめはできないやり方になります。
function.phpを編集する
プラグインを使用しないやり方で、ログイン用のPHPファイルを作り「function.php」を編集する、WordPressのログインURLの変更方法もあります。WordPressのテーマファイルの中にある「function.php」を扱うため、こちらも初心者向きの方法とは言えません。
上記のように、WordPressのログインURLの変更は、プラグインまたは手動による方法があります。初心者の方は、安全にセキュリティ対策を行うためにもプラグインを使用するか、セキュリティに強いサイト制作会社に依頼しましょう。
不正ログインからサイトを守る方法
ここまでで、WordPressのログインURLを変更する必要性や方法をお伝えしてきましたが、それだけではセキュリティ対策として不十分です。家の玄関を見えづらくすることはできましたが、これではまだ簡単な鍵しか取り付けられておらず、ピッキングが容易な状態です。
ログイン方法を複雑化することで、さらにセキュリティレベルを高めて不正ログインを防止できます。ここでは、不正ログインからサイトを守る方法を解説していきます。
- 二段階認証を設定する
- 画像認証を設定する
- ログインロックをかける
- ログイン試行回数を制限する
1.二段階認証を設定する

GoogleAuthenticatorを使って、WordPressのログイン認証に二段階認証(ワンタイムパスワード)を導入できます。通常通りメールアドレスとパスワードを入力後、二段階認証コードを入力する画面が表示されます。スマートフォンに登録したGoogleAuthenticatorのワンタイムパスワードを入力することで、ログインが可能になる方法です。
GoogleAuthenticatorはメールアドレスやSMSでの認証も行えるため、二段階認証の効果的な設定が可能です。メールアドレス・パスワードに追加して二段階認証を取り入れると、セキュリティレベルを高めることができます。
2.画像認証を設定する

前章でお伝えした「SiteGuard WP Plugin」のプラグインを活用すると、簡単に画像認証の設定が可能です。ログイン画面で画像が表示され、ユーザー側の入力が必要になります。パスワード、メールアドレス、ユーザー名などをログインページで入力する他に、画像に表示された文字を打ち込みます。正しい文字列を入力しなければ画像認証をパスできない仕組みです。
3.ログインロックをかける
ログイン画面で入力する情報を複数回間違えた時に、一定の時間は認証できないよう、ログインロックをかけることも有効なセキュリティ対策です。ログインロックも「SiteGuard WP Plugin」のプラグインを用いて、詳細設定が可能です。
入力できる回数制限が3回・10回・100回や、ロック時間が30秒・1分・5分などに分けられており、細かな設定が行なえます。例えば、10回のログイン試行回数に失敗したら5分間はログインロックがかかるセキュリティ設定にするなどで、連続したログイン情報の入力を防止できます。
4.ログイン試行回数を制限する
悪意のある第三者はブルートフォースアタック(総当たり攻撃)で、ログイン画面から何回もログインを試みようとします。数うちゃ当たる戦略で何回もパスワードを試せば、そのうち不正ログインされる恐れがあります。
ログインロックと同じ様に「SiteGuard WP Plugin」のプラグインを用いて、3回・10回・100回などログイン試行回数を制限することで無限攻撃を防げます。
まとめ
意外と見落とされがちなのが、WordPressのログイン画面の入力情報を初期設定のまま変更せずに利用しているケースです。IDやパスワードなどが初期設定のままだと、ログインURLが特定される恐れがあります。不特定多数からのアクセスや、サイバー攻撃の被害に遭う危険性があるため、セキュリティ上好ましくありません。
- プラグインを使用する
- .htaccessを編集する
- function.phpを編集する
不正ログインからWebサイトを守るためには、上記でお伝えした方法でWordPressのログインURLを忘れずに変更したり保護したりしましょう。