WordPressでブルートフォース攻撃を防ぐ方法|ログイン試行制限と具体的な設定手順

  • 投稿日
  • 著者 よこやま良平
  • カテゴリー Wordpress

「1日に何千回もログインを試みられている」──WordPressサイトのアクセスログを確認すると、こういったブルートフォース攻撃の痕跡を目にすることは珍しくありません。

ブルートフォース攻撃とは、パスワードを自動的に総当たりで試し続ける攻撃手法です。適切な対策を取らないと、いつかパスワードが突破されてサイトが乗っ取られるリスクがあります。多数のWordPress復旧実績をもつ筆者が、今すぐできる具体的な防御設定を解説します。

あなたのサイトが狙われているサイン
  • アクセスログに /wp-login.php への大量POSTリクエストがある
  • サーバーの負荷が高くなっている・サイトが重くなっている
  • 身に覚えのないログイン失敗のメール通知が来ている

使い方から収益化までプロが教える
WordPressの教科書

「もう限界かもしれない…」
そんな思いで立ち止まっていませんか?

「収益が一向に増えず、事業を続ける意味に迷い始めている」
「クラウドソーシングや営業して稼げるか不安だ」
「収益化したいけれど、YouTubeや書籍では解決できなかった」
「WordPressでLP制作を頼まれるが、具体的な方法がわからない」
「広告を出稿したが、まったく成果が出なくて悩んでいる」
「仕事でグラフや資料制作を思うように作れない」
「独学の限界を感じ、でも何から学ぶべきかわからない」

これらの悩みを抱えているのは、
あなただけではありません。

多くのフリーランスや経営者が、
同じ壁にぶつかっています。

その壁を越えるための「本物の解決策」が、ここにあります。

私たちはこれまで、
数多くのフリーランスや経営者が収益化に成功するための
お手伝いをしてきました。

WordPressでホームページやブログを作るスキルだけでなく、
広告を最大限活用して集客し、
売上を上げるノウハウを惜しみなくお伝えします。

「成果が出る広告の作り方」
「売れるホームページを構築する秘訣」
「初心者でも成果を上げるための実践的なステップ」

これらを余すことなく提供するWordPressの教科書を、
今なら無料で受け取れます!

WordPressの教科書

\先着300名限定!特典付きで無料配布中/

今すぐ無料ダウンロードする

いまなら、先着300部限定で無料プレゼント付です。

今すぐ無料ダウンロードする

ブルートフォース攻撃とは|仕組みと被害の深刻さ

ブルートフォース攻撃(総当たり攻撃)は、「admin」「password123」「wordpress」など、よく使われるパスワードのリストを使って自動的にログインを試み続ける攻撃です。

1秒間に何百回も試行できる自動化ツールが使われるため、単純なパスワードは数分で突破されます。また「xmlrpc.php」を使えば、1回のリクエストで何万通りものパスワードを同時に試せる「マルチコール攻撃」も可能です。

192.0.2.10 - - [23/Mar/2026:03:00:01 +0900] "POST /wp-login.php HTTP/1.1" 200 3456
192.0.2.10 - - [23/Mar/2026:03:00:02 +0900] "POST /wp-login.php HTTP/1.1" 200 3456
192.0.2.10 - - [23/Mar/2026:03:00:03 +0900] "POST /wp-login.php HTTP/1.1" 200 3456
# 1秒に1回、何千回も繰り返される

ブルートフォース攻撃を防ぐ6つの対策

対策は「攻撃そのものを届かなくする」「届いても突破できなくする」の2つのアプローチがあります。両方を組み合わせることで防御力が格段に上がります。

対策①:ログインURLを変更する(最も効果的)

WordPressのデフォルトログインURL(/wp-login.php)は世界中の攻撃ボットが知っています。URLを変更するだけで、自動攻撃ツールがログインページを見つけられなくなり、攻撃の9割以上を遮断できます。

クイックレスキュー365をインストールすれば、管理画面からワンクリックでログインURLを変更できます。

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

日本製セキュリティ対策で不正アクセスを遮断「クイックレスキュー365」無料ダウンロード

クイックレスキュー365のブルートフォース対策機能
  • ログインURL変更(攻撃ボットにログインページの場所を教えない)
  • 不正ログインブロック(辞書攻撃を自動遮断)
  • XMLRPC遮断(マルチコール攻撃をシャットアウト)
  • ユーザー名漏えい防御(ログインIDを外部から特定させない)
  • ログインエラーメッセージ統一(ヒントを与えない)

対策②:ログイン試行回数を制限する

一定回数以上ログインに失敗したIPアドレスを自動的にブロックする設定です。例えば「5回失敗したら30分ロック」のように設定することで、総当たり攻撃を実質的に無効化できます。

クイックレスキュー365の不正ログインブロック機能で設定できます。または Wordfence のようなセキュリティプラグインでも「Login Security」設定から試行回数制限が可能です。

対策③:XMLRPCを無効化する

XMLRPCはWordPressの遠隔操作API。Jetpackなど一部プラグインが必要とする場合もありますが、使っていないなら完全に無効化するのが正解です。

.htaccessで無効化する方法:

# XMLRPC.phpへのアクセスをすべて拒否
<Files xmlrpc.php>
  order allow,deny
  deny from all
</Files>

クイックレスキュー365のXMLRPC遮断機能を使えばコード不要で設定できます。

対策④:強力なパスワードと二要素認証を設定する

ログインURL変更・試行回数制限に加えて、パスワード自体を強化することも重要です。12文字以上の英数字記号混在が理想です。さらに二要素認証(2FA)を設定すれば、パスワードが漏洩しても突破されません。

すぐに変更すべき危険なパスワードの例
  • admin / password / 123456 / wordpress(辞書攻撃リストの上位常連)
  • サイトのドメイン名・会社名・生年月日(推測が容易)
  • 他のサービスと同じパスワード(1か所漏洩で全滅)

対策⑤:ログインページへのアクセスをIPアドレスで制限する

自分がいつも使うIPアドレス(固定IPの場合)からしかログインページにアクセスできないように制限する方法です。最も強力な対策ですが、モバイルや外出先からのアクセスが必要な場合は運用に制約が出ます。

# wp-login.phpへのアクセスを特定IPのみ許可
<Files wp-login.php>
  order deny,allow
  deny from all
  allow from 123.456.789.0
  # 複数IPを許可する場合は allow from 行を追加
</Files>

クイックレスキュー365の「IPアドレス拒否」機能では、攻撃が多いIPを個別にブロックすることもできます。

対策⑥:ユーザー名「admin」を使わない

ブルートフォース攻撃は「ユーザー名 + パスワード」の組み合わせを試します。ユーザー名が「admin」のままだと、パスワードさえ突破すればよいため攻撃が半分成功した状態です。

WordPressに新しい管理者アカウントを作成し、「admin」ユーザーを削除してください。また、ユーザー名が外部から漏洩しないようクイックレスキュー365の「ユーザー名漏えい防御」機能を有効にしておきましょう。

WordPressハッキング・不正アクセス対策完全ガイド|原因・侵入手口・防御・復旧方法まで徹底解説

WordPressハッキング・不正アクセス対策完全ガイド|原因・侵入手口・防御・復旧方法まで徹底解説

攻撃を受けている時の緊急対処

現在進行形でブルートフォース攻撃を受けていてサーバーが重い・ログインできないという場合は、まず攻撃元のIPアドレスを特定してブロックします。

# 攻撃元IPをブロック(アクセスログで特定したIPを記載)
order allow,deny
deny from 192.0.2.10
deny from 203.0.113.0/24
allow from all

サーバー会社によっては管理画面から「WAF(Webアプリケーションファイアウォール)」を有効化できます。有効にするだけで多くの自動攻撃を遮断できるため、まず確認してみてください。

WordPressの安全性を高める.htaccess設定12選|コピー&ペーストで使える実践例

WordPressの安全性を高める.htaccess設定12選|コピー&ペーストで使える実践例

Q
ブルートフォース攻撃でログインされてしまったかどうか確認できますか?
A

WordPressの管理画面→「ユーザー」→「全ユーザー」で見知らぬアカウントが増えていないか確認してください。また、アクセスログでwp-login.phpへのPOSTが「200」(成功)で返っている記録があれば突破された可能性があります。怪しい場合はすぐにパスワードを変更し、不審なファイルがないかサーバー内を確認してください。

Q
ログインURLを変更するとSEOに影響しますか?
A

ログインページはnoindexが設定されており、検索エンジンにインデックスされません。URLを変更してもSEOへの影響は一切ありません。安心して変更してください。

Q
自分が誤って何度もログインに失敗してロックされた場合はどうすればいいですか?
A

ロックが解除されるまで待つ(設定した時間が経過すると自動解除)か、FTPまたはサーバーの管理画面からプラグインを一時的に無効化してロックを解除できます。自分のIPアドレスをホワイトリストに追加しておくと、誤ロックのリスクを防げます。

Q
海外からの攻撃が多い場合、国別にアクセスを制限できますか?
A

可能です。Wordfenceの有料版では国別ブロック機能があります。また、レンタルサーバーのWAF機能やCloudflare(無料プランあり)でも国別アクセス制限を設定できます。日本国内のみを対象としたサイトであれば、海外IPを一括ブロックするだけで攻撃の大半を防げます。

WordPressブルートフォース攻撃対策まとめ

今すぐできるブルートフォース対策チェックリスト
  • ログインURLを変更した(クイックレスキュー365推奨)
  • ログイン試行回数制限を設定した
  • XMLRPC.phpを無効化した
  • パスワードを12文字以上の強力なものに変更した
  • ユーザー名「admin」を削除した
  • ユーザー名漏えい防御を設定した

ブルートフォース攻撃への対策は、難しい技術的知識がなくても実施できます。まずログインURLの変更から始めるだけで、大半の自動攻撃を防げます。クイックレスキュー365をインストールすれば関連する複数の設定を一度に完了できます。

WordPressのセキュリティ対策をプロに任せたい時は

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPress保守・不正アクセス対策・マルウェア駆除・WordPressクイックレスキュー365

WordPressのトラブル、マルウェア感染・即解決。ワードプレスを復旧します。即日対応。全額返金保証で安心

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。

こんなお悩みはありませんか?

・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている

これらでお悩みなら最短30分ですぐに解決します!

いまなら期間限定で

3つの安心

・万一改善されない場合は全額返金保証で安心!
30日間動作保証で安心!
初期費・調査料 0円で安心!

\無料調査・全額返金保証付き/

今すぐ無料で相談する
ブルートフォース

この記事を書いた人

よこやま良平

こんにちは!20年以上ITエンジニアとして活動してきた
よこやま良平です。

Wordpress復旧やサイト修復、オンライン講座では
200件以上のレビューを頂いており

「すぐに復旧してくれる!」
「当日行ってくれて助かった!」など

評価は4.9/5.0と非常に高く好評です。

またWordPress、SEO、Officeなど25冊以上の書籍を出版しており、
売上ランキング1位を連続で獲得致しました。

その他これまでに3000以上のサービス・システム・サイトを作成。

多くの方の「できない」や「悩み」を解決してきました。
その観点からわかりやすく解説しています。

記事一覧