はじめに:ログインページは最前線
攻撃者の多くは ログインページ(/wp-login.php)を狙います。特に総当たり攻撃(ブルートフォース)は毎日のように発生しています。ここを固めることが、WordPress防御の第一歩です。
ログインページを守る具体策
- ログイン試行回数の制限
→ プラグイン「Limit Login Attempts Reloaded」で設定可能。 - 多要素認証(MFA)の導入
→ パスワード+スマホ認証で不正ログインを防止。 - ログインURLの変更
→/wp-adminや/wp-login.phpを隠すことで攻撃の入り口を減らす。 - reCAPTCHAの導入
→ ボットによる攻撃をブロック。 - IP制限や.htaccess制御
→ 社内からのみログイン可能に設定すればさらに強固。
SMBの実例
- 飲食店サイト:試行制限なしでブルートフォース攻撃 → サイト改ざん
- 士業サイト:MFA導入により不正アクセス試行がゼロに
- ECサイト:ログインURL変更+reCAPTCHA導入で攻撃大幅減少
最低限のチェックリスト
- ✅ MFAを有効化しているか
- ✅ ログイン試行制限を設定しているか
- ✅ 定期的にログイン履歴を確認しているか
まとめ
ログインページは「玄関口」。
ここを守るだけで、多くの攻撃を未然に防げます。MFA+試行制限+URL変更の3点セットは必ず実装しましょう。
FAQ
Q1. ログインURLを変更しても安全ですか?
はい。セキュリティ強度を高める“目くらまし”効果があります。
Q2. 試行制限をかけすぎると正規ユーザーも困る?
はい。適切な回数(例:5回まで)に設定しましょう。
Q3. reCAPTCHAは必須ですか?
必須ではありませんが、ボット攻撃が多い場合は導入推奨です。
How-To:ログインページ保護5ステップ
- プラグインで試行制限を設定
- MFAを導入
- ログインURLを変更
- reCAPTCHAを追加
- ログイン履歴を定期チェック
🚪
WordPressの“玄関口”を鉄壁にしませんか?
Kumidiaはログイン保護、MFA導入、試行制限設定まで包括的に支援します。
導入ガイド-300x300.jpeg)