初心者がまず守るべき!WordPressログイン画面の安全対策5選
WordPressのログイン画面は、攻撃者にとって最初の突破ポイントです。
特に初心者の方が設定を甘くしてしまうと、サイトが乗っ取られるリスクが高くなります。
この記事では、最低限やっておくべき「5つの安全対策」をわかりやすく解説します。
① 「admin」というユーザー名は今すぐやめよう
攻撃者が最初に狙うのは「ユーザー名:admin」です。これは最も使われている初期設定名で、ブルートフォース攻撃(総当たり)で最も標的になります。
対策:ユーザー名は「admin」以外に変更。既存の投稿は新しいユーザーに移行して、adminアカウントは削除しましょう。
② ログインURLを変更する(wp-login.php対策)
WordPressのログインURL(例:/wp-login.php)は誰でも知っています。攻撃ツールはこのURLを使って自動攻撃を仕掛けてきます。
おすすめプラグイン:「WPS Hide Login」
URLを自分だけが知っているものに変えることで、攻撃対象から外すことができます。
③ ログイン試行回数を制限する
何度もログインを試す「ブルートフォース攻撃」は、制限しないと延々と続きます。
おすすめプラグイン:「Limit Login Attempts Reloaded」
一定回数失敗したら一時的にロックすることで、攻撃を防げます。
④ ログイン通知メールで不正を見抜く
自分以外の誰かがログインしたときに即座に気付けるように、通知設定をしておきましょう。
「WP Activity Log」などを使えば、ログイン履歴を確認することも可能です。
⑤ reCAPTCHAや2段階認証を導入する
ログイン前に「私はロボットではありません」と認証するだけでも、自動攻撃を大幅にブロックできます。
さらにセキュリティを高めたい方は、2段階認証(Google Authenticatorなど)も併用すると非常に効果的です。
まとめ:ログイン画面こそ最大の弱点。まずはここを守ろう!
WordPressは便利な反面、「誰でも入りやすい」状態だと大きなリスクを抱えることになります。
特にログイン画面は、外部から直接アクセスできる唯一の管理入口。しっかり守っておけば、セキュリティの7〜8割は対策済みとも言えます。
初心者の方でもできる設定ばかりなので、ぜひ今日から取り組んでみてください。
次回は「プラグインの選び方と注意点」をお届け予定です!