WordPressで海外IPからの攻撃を防ぐ方法|国別IPブロックの設定と注意点を徹底解説

  • 投稿日
  • 著者 よこやま良平
  • カテゴリー Wordpress

WordPressへの不正ログイン試行やブルートフォース攻撃の大半は、海外のサーバーから発信される自動攻撃ツールによるものです。日本国内のユーザーだけを対象としたサイトであれば、海外IPを一括ブロックするだけで攻撃の大部分を遮断できます。

多数のWordPress復旧実績をもつ筆者が、国別IPブロックの仕組み・具体的な設定方法・注意点を解説します。

この記事でわかること
  • 海外IPブロックが有効な理由と仕組み
  • .htaccess・Cloudflare・プラグインそれぞれの設定方法
  • ブロック前に確認すべき注意点(自分がブロックされないために)

使い方から収益化までプロが教える
WordPressの教科書

「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?

「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」

これらの悩みを抱えているのは、
あなただけではありません。

多くのフリーランスや経営者が、
同じ壁にぶつかっています。

その壁を越えるための「本物の解決策」が、ここにあります。

私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。

WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。

「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」

これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!

WordPressの教科書

\先着300名限定!特典付きで無料配布中/

今すぐ無料ダウンロードする

いまなら、先着300部限定で無料プレゼント付です。

今すぐ無料ダウンロードする

海外IPブロックが有効な理由

WordPressを狙う攻撃の多くは、ロシア・中国・東欧などのサーバーから発信される自動化ツールによるものです。日本語サイトで海外ユーザーを対象としていないのであれば、日本以外のIPをブロックすることで攻撃の大半を水際で止められます。

# 中国・ロシア・東欧など海外IPからのwp-login.php連続アクセス
218.x.x.x  - [23/Mar/2026:02:11:00] "POST /wp-login.php" 200
91.x.x.x   - [23/Mar/2026:02:11:01] "POST /wp-login.php" 200
185.x.x.x  - [23/Mar/2026:02:11:02] "POST /xmlrpc.php" 200

# 日本のIPレンジ(JPNICが管理)は 106.x.x.x、153.x.x.x など
ブロック前に確認すべき重要事項
  • 海外ユーザー(訪問者・顧客・取引先)がいる場合はブロック対象から外す必要がある
  • 自分が海外からWordPressを管理する可能性がある場合は /wp-admin・/wp-login.php のみブロックする方法が安全
  • GoogleのクローラーはアメリカIPのため、サイト全体をブロックするとインデックスされなくなる

方法①:.htaccessでログインページのみ国別ブロックする

最もシンプルな方法は、.htaccessで /wp-login.php と /wp-admin/ へのアクセスを日本IPのみに限定することです。サイト本体はすべてのIPから閲覧可能にしつつ、管理者機能だけを守れます。

自分のIPアドレスのみ許可する方法(最もシンプル)

固定IPを持っている場合は、自分のIPアドレスからしかログインできないよう設定するのが最も確実です。

<Files wp-login.php>
  order deny,allow
  deny from all
  allow from 203.0.113.1
  # 複数IPを許可する場合は allow from を追加
  # allow from 198.51.100.0/24
</Files>

<Files xmlrpc.php>
  order deny,allow
  deny from all
</Files>

自分のIPアドレスは cman.jp などで確認できます。モバイル回線は毎回IPが変わるため、この方法は固定IPまたはVPN利用者向けです。

日本のIPレンジを許可リストに追加する方法

固定IPがない場合は、日本のIPアドレス範囲(CIDR)をまとめて許可する方法があります。ただしJPNICが管理する日本のIPレンジは数千件あるため、.htaccessに直接書くと管理が大変です。この用途にはCloudflareまたはプラグインを使う方法が現実的です。

WordPressの安全性を高める.htaccess設定12選|コピー&ペーストで使える実践例

WordPressの安全性を高める.htaccess設定12選|コピー&ペーストで使える実践例

方法②:Cloudflareで国別ブロックを設定する(無料)

Cloudflareは無料プランでも国別のアクセス制御(ファイアウォールルール)が使えます。サーバーに届く前の段階でブロックするため、サーバーへの負荷も軽減できる一石二鳥の方法です。

Cloudflareでの設定手順

  1. Cloudflareにサインアップしてサイトを追加する
  2. ドメインのネームサーバーをCloudflareのものに変更する(ドメイン管理会社で設定)
  3. Cloudflareダッシュボード →「Security」→「WAF」→「Firewall Rules」を開く
  4. 「Create rule」でルールを作成する
# wp-login.php と wp-admin への日本以外からのアクセスをブロック
条件:
  (http.request.uri.path contains "/wp-login.php" or
   http.request.uri.path contains "/wp-admin")
  and ip.geoip.country ne "JP"

アクション: Block
保護と接続-アプリケーション-セキュリティ-WAF
Cloudflareを使う利点
  • 無料プランで国別ブロックが使える
  • サーバーに届く前にブロックするためサーバー負荷が下がる
  • DDoS攻撃への耐性も高まる
  • CDNとしてサイトの表示速度も改善する

方法③:クイックレスキュー365・プラグインでIPブロックする

Cloudflareの導入やDNS変更が難しい場合は、WordPressのプラグインでIPブロックする方法が手軽です。

クイックレスキュー365のIPアドレス拒否機能

クイックレスキュー365は攻撃元のIPアドレスを個別に拒否リストへ追加する機能を持っています。アクセスログで特定した攻撃元IPをプラグインの管理画面から入力するだけでブロックできます。

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

Wordfenceの国別ブロック機能(有料版)

Wordfenceの有料版(Wordfence Premium)には国別ブロック機能が搭載されています。管理画面の「Firewall」→「Blocking」→「Country Blocking」から国を選んでブロックできます。無料版では個別IPのブロックは可能です。

海外IPブロック設定時の注意点

設定前に必ず確認しておくべき注意点があります。誤った設定で自分がブロックされたり、Googleにインデックスされなくなる事態は避けなければなりません。

やってはいけない設定
  • サイト全体(全URLを対象)に海外IPブロックを設定する → GoogleのクローラーがブロックされてSEOに致命的な影響が出る
  • 自分が現在使っているIPをブロックリストに入れる → 自分がWordPressにログインできなくなる
  • 海外の顧客・取引先がいるのに全海外IPをブロックする → ビジネス上の機会損失

ブロック対象はログインページのみに限定する

基本的な方針として「サイトコンテンツ(記事・商品ページ等)はすべてのIPから閲覧可能」「管理機能(wp-login.php・wp-admin)だけを海外IPからブロック」とするのが安全です。

ブロック対象(攻撃を防ぐ):
  /wp-login.php
  /wp-admin/
  /xmlrpc.php

ブロック対象外(Googleクローラー・一般訪問者が必要):
  / (トップページ)
  /wp-json/ (REST API)
  /wp-content/ (画像・CSS・JS)
Q
海外旅行中にWordPressの管理ができなくなりますか?
A

ログインページのみを海外IPブロックしている場合、海外滞在中は管理画面にアクセスできなくなります。対策として①日本のVPNを経由してアクセスする、②一時的にブロックを解除する(旅行期間だけ.htaccessの設定をコメントアウトする)、③Cloudflareのルールを一時的に無効化する、のいずれかで対処できます。

Q
海外IPをブロックしてもまだ攻撃が来ます。なぜですか?
A

日本国内に設置された中継サーバー(VPS・Tor出口ノード)経由で攻撃が来ている場合、国別ブロックは機能しません。この場合はIP個別ブロック・ログイン試行回数制限・ログインURL変更を組み合わせることで対処します。

Q
Cloudflareを導入するとサイトの表示速度に影響しますか?
A

Cloudflareを導入するとCDN(コンテンツデリバリーネットワーク)として機能し、一般的にはサイトの表示速度が向上します。ただし日本国内ユーザーのみを対象としたサイトでは、Cloudflareのサーバーを経由することで若干レイテンシが増加するケースもあります。速度への影響はPageSpeed Insightsなどで導入前後を比較して確認してください。

Q
ブロック設定後に自分がWordPressにログインできなくなった場合はどうすればいいですか?
A

FTPでサーバーにアクセスし、.htaccessの該当設定をコメントアウト(行頭に#を追加)するか削除してください。Cloudflareの場合はダッシュボードからルールを一時無効化します。プラグインによるブロックの場合はFTPでプラグインフォルダをリネームして無効化してください。

WordPress海外IPブロック 設定方法まとめ

状況別おすすめ設定方法
  • 固定IPがある → .htaccessで自IPのみ許可(最も確実)
  • DNS変更ができる・速度も改善したい → Cloudflare(無料)がおすすめ
  • 手軽にIPブロックしたい → クイックレスキュー365のIPアドレス拒否機能
  • ブロック対象は必ず /wp-login.php と /wp-admin のみに限定する
  • サイト全体への海外ブロックはGoogleクローラーも遮断するためNG

海外IPブロックは設定が簡単な割に効果が大きいセキュリティ対策の一つです。ただし「ログインページのみ対象」という原則を守らないと意図しない副作用が生じます。この記事の注意点を確認したうえで自サイトの状況に合った方法を選んでください。

WordPressのセキュリティ対策をプロに任せたい時は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPressのトラブル、マルウェア感染・即解決。ワードプレスを復旧します。即日対応。全額返金保証で安心

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

こんなお悩みはありませんか?

・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている

これらでお悩みなら最短30分ですぐに解決します!

いまなら期間限定で

3つの安心

・万一改善されない場合は全額返金保証で安心!
30日間動作保証で安心!
初期費・調査料 0円で安心!

\無料調査・全額返金保証付き/

今すぐ無料で相談する
IPアドレスブロック IPブロック

この記事を書いた人

よこやま良平

こんにちは!20年以上ITエンジニアとして活動してきた
よこやま良平です。

Wordpress復旧やサイト修復、オンライン講座では
200件以上のレビューを頂いており

「すぐに復旧してくれる!」
「当日行ってくれて助かった!」など

評価は4.9/5.0と非常に高く好評です。

またWordPress、SEO、Officeなど25冊以上の書籍を出版しており、
売上ランキング1位を連続で獲得致しました。

その他これまでに3000以上のサービス・システム・サイトを作成。

多くの方の「できない」や「悩み」を解決してきました。
その観点からわかりやすく解説しています。

記事一覧