WordPressでブルートフォース攻撃を防ぐ方法｜ログイン試行制限と具体的な設定手順

「1日に何千回もログインを試みられている」──WordPressサイトのアクセスログを確認すると、こういったブルートフォース攻撃の痕跡を目にすることは珍しくありません。

ブルートフォース攻撃とは、パスワードを自動的に総当たりで試し続ける攻撃手法です。適切な対策を取らないと、いつかパスワードが突破されてサイトが乗っ取られるリスクがあります。多数のWordPress復旧実績をもつ筆者が、今すぐできる具体的な防御設定を解説します。

ブルートフォース攻撃とは｜仕組みと被害の深刻さ

ブルートフォース攻撃（総当たり攻撃）は、「admin」「password123」「wordpress」など、よく使われるパスワードのリストを使って自動的にログインを試み続ける攻撃です。

1秒間に何百回も試行できる自動化ツールが使われるため、単純なパスワードは数分で突破されます。また「xmlrpc.php」を使えば、1回のリクエストで何万通りものパスワードを同時に試せる「マルチコール攻撃」も可能です。

192.0.2.10 - - [23/Mar/2026:03:00:01 +0900] "POST /wp-login.php HTTP/1.1" 200 3456
192.0.2.10 - - [23/Mar/2026:03:00:02 +0900] "POST /wp-login.php HTTP/1.1" 200 3456
192.0.2.10 - - [23/Mar/2026:03:00:03 +0900] "POST /wp-login.php HTTP/1.1" 200 3456
# 1秒に1回、何千回も繰り返される

ブルートフォース攻撃を防ぐ6つの対策

対策は「攻撃そのものを届かなくする」「届いても突破できなくする」の2つのアプローチがあります。両方を組み合わせることで防御力が格段に上がります。

対策①：ログインURLを変更する（最も効果的）

WordPressのデフォルトログインURL（/wp-login.php）は世界中の攻撃ボットが知っています。URLを変更するだけで、自動攻撃ツールがログインページを見つけられなくなり、攻撃の9割以上を遮断できます。

クイックレスキュー365をインストールすれば、管理画面からワンクリックでログインURLを変更できます。

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

対策②：ログイン試行回数を制限する

一定回数以上ログインに失敗したIPアドレスを自動的にブロックする設定です。例えば「5回失敗したら30分ロック」のように設定することで、総当たり攻撃を実質的に無効化できます。

クイックレスキュー365の不正ログインブロック機能で設定できます。または Wordfence のようなセキュリティプラグインでも「Login Security」設定から試行回数制限が可能です。

対策③：XMLRPCを無効化する

XMLRPCはWordPressの遠隔操作API。Jetpackなど一部プラグインが必要とする場合もありますが、使っていないなら完全に無効化するのが正解です。

.htaccessで無効化する方法：

# XMLRPC.phpへのアクセスをすべて拒否
<Files xmlrpc.php>
  order allow,deny
  deny from all
</Files>

クイックレスキュー365のXMLRPC遮断機能を使えばコード不要で設定できます。

対策④：強力なパスワードと二要素認証を設定する

ログインURL変更・試行回数制限に加えて、パスワード自体を強化することも重要です。12文字以上の英数字記号混在が理想です。さらに二要素認証（2FA）を設定すれば、パスワードが漏洩しても突破されません。

対策⑤：ログインページへのアクセスをIPアドレスで制限する

自分がいつも使うIPアドレス（固定IPの場合）からしかログインページにアクセスできないように制限する方法です。最も強力な対策ですが、モバイルや外出先からのアクセスが必要な場合は運用に制約が出ます。

# wp-login.phpへのアクセスを特定IPのみ許可
<Files wp-login.php>
  order deny,allow
  deny from all
  allow from 123.456.789.0
  # 複数IPを許可する場合は allow from 行を追加
</Files>

クイックレスキュー365の「IPアドレス拒否」機能では、攻撃が多いIPを個別にブロックすることもできます。

対策⑥：ユーザー名「admin」を使わない

ブルートフォース攻撃は「ユーザー名 + パスワード」の組み合わせを試します。ユーザー名が「admin」のままだと、パスワードさえ突破すればよいため攻撃が半分成功した状態です。

WordPressに新しい管理者アカウントを作成し、「admin」ユーザーを削除してください。また、ユーザー名が外部から漏洩しないようクイックレスキュー365の「ユーザー名漏えい防御」機能を有効にしておきましょう。

WordPressハッキング・不正アクセス対策完全ガイド｜原因・侵入手口・防御・復旧方法まで徹底解説

攻撃を受けている時の緊急対処

現在進行形でブルートフォース攻撃を受けていてサーバーが重い・ログインできないという場合は、まず攻撃元のIPアドレスを特定してブロックします。

# 攻撃元IPをブロック（アクセスログで特定したIPを記載）
order allow,deny
deny from 192.0.2.10
deny from 203.0.113.0/24
allow from all

サーバー会社によっては管理画面から「WAF（Webアプリケーションファイアウォール）」を有効化できます。有効にするだけで多くの自動攻撃を遮断できるため、まず確認してみてください。

WordPressの安全性を高める.htaccess設定12選｜コピー＆ペーストで使える実践例

WordPressブルートフォース攻撃対策まとめ

ブルートフォース攻撃への対策は、難しい技術的知識がなくても実施できます。まずログインURLの変更から始めるだけで、大半の自動攻撃を防げます。クイックレスキュー365をインストールすれば関連する複数の設定を一度に完了できます。

WordPressのセキュリティ対策をプロに任せたい時は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

これらでお悩みなら最短30分ですぐに解決します！

いまなら期間限定で