ログイン試行アラートが多すぎて、メールがスパム状態です

一定回数以上の試行を「アラート」、それ以下を「ログ記録のみ」に分けると軽減できます。SiteGuard で設定可能。

海外からのアクセスを全部止めたい

GeoIP 系プラグイン(IPなどから国を判定)で、特定国からのアクセスを遮断できます。Wordfence Security の Country Blocking など。

友達の WordPress も同じ対策で?

はい。WordPress を運用する人全員に同じ対策を勧めるべきです。「うちは大丈夫」と思っているサイトが、最も狙われています。

ブルートフォース攻撃(不正ログイン試行)から WordPress を守る方法

「ログイン試行アラート」のメールが毎日届く、見覚えのない IP アドレスから何百回もログイン試行が…

これがブルートフォース攻撃(Brute Force Attack)です。WordPress を運用していると、ほぼ全員が経験する厄介な攻撃。

このページでは、ブルートフォースから WordPress(または管理画面のあるサーバー)を守る方法を、具体的に5つ整理します。

ブルートフォース攻撃とは

「総当たり攻撃」のこと。攻撃者が、ありとあらゆるパスワードを片っ端から試して、管理画面に侵入しようとする攻撃です。

admin / admin
admin / password
admin / 123456
admin / qwerty

…と機械的に何百万通りを試行。多くは自動化されたボットによる攻撃で、世界中のサイトに同時に襲いかかります。

なぜ WordPress が狙われやすい?

WordPress は世界中のサイトの 40%を占めるシェア。攻撃者にとっては「成功率が高いターゲット」。

管理画面のURLが固定(/wp-admin/ または /wp-login.php)
初期ユーザー名が「admin」のサイトが多い
脆弱なパスワードを使っている人も多い

これらの「定型」を狙って、自動攻撃が掛けられる。

対策1:強固なパスワード

最も基本的だが最も効く対策。

良いパスワードの条件:

12文字以上
英大文字・小文字・数字・記号を組み合わせ
辞書にない言葉
他のサイトと使い回さない

例:xK9$mP2vL!nQ7bE

パスワードマネージャー(1Password、Bitwarden、LastPass 等)を使えば、複雑なパスワードを覚える必要なし。事業をやるなら導入を強く推奨。

対策2:管理画面のURLを変更

WordPress のデフォルト管理画面URL /wp-admin/ を変更すれば、攻撃者は「どこから攻めればいいか」がそもそも分からなくなります。

SiteGuard WP Plugin(国産)を導入:

プラグインを有効化
「ログインページ変更」をオン
任意のURLを設定(例:/login_secret/)
設定変更後、新URL でログイン

ただし、URL を忘れると自分も入れなくなります。メモを残しておく。

対策3:ログイン試行回数の制限

短時間に複数回のログイン失敗があった IP を、自動的に一時ブロック。

プラグインで実装:

SiteGuard WP Plugin:ログイン失敗時の遅延、IP ブロック
Limit Login Attempts Reloaded:回数制限プラグイン
Wordfence Security:総合セキュリティ、ブルートフォース対策含む

これらを入れるだけで、攻撃の99%は自動防御できます。

対策4:二段階認証(2FA)

パスワードに加えて、別の認証要素を要求する仕組み。

パスワード + 6桁のコード(Google Authenticator)
パスワード + SMS で届くコード
パスワード + メールで届くコード

万が一パスワードが流出しても、追加要素が攻撃者の手元にないので、ログインできません。

WordPress なら:

Wordfence Login Security:無料、2FA 対応
Two-Factor:WordPress 公式の2FAプラグイン

サーバー側のコントロールパネルでも、二段階認証を有効化してください(別記事 server-security-basics 参照)。

対策5:CAPTCHA(人間判定)

ボットを排除する仕組み:

reCAPTCHA(Google提供)
hCaptcha
SiteGuard WP Plugin のピクセル認証(画像を選ぶタイプ)

これらをログイン画面に入れると、ボットによる自動攻撃は無理になります。

「Contact Form 7 + reCAPTCHA」「SiteGuard のピクセル認証」あたりが、設定もシンプルで初心者向け。

攻撃の実例

編集部の運用サイトで、1日のログイン試行数(ピーク時):

12,000回 / 日(SiteGuard 導入前)
400回 / 日(SiteGuard + 管理画面URL変更 + 2FA 後)

劇的に減ります。残った400回も、全てログインに失敗。

万が一、侵入されたら

すでに侵入された場合の対処:

全パスワードを変更(WordPress、サーバー、データベース、メール、SFTP)
WordPress のユーザー一覧を確認、不審なユーザーを削除
プラグイン・テーマを最新化
バックアップから復元(被害が大きい場合)
サーバー会社のサポートに相談

侵入された後の対応より、未然防止のほうが100倍楽。事前対策を。

まとめチェックリスト

WordPress を守るには:

強固なパスワード(12文字以上、複雑)
管理画面URLの変更(SiteGuard)
ログイン試行回数制限
二段階認証(2FA)
CAPTCHA でボット排除
定期的なソフトウェア更新
バックアップ(万が一の保険)

これらを全部やれば、ほぼ完璧。半分でも、攻撃の99%は防御できます。

セキュリティ対策は「やりすぎ」がない領域。手厚すぎることはありません。