※本記事にはアフィリエイト広告(プロモーション)が含まれます。
WordPressの不正ログイン対策で最も効果が高いのは、「基本対策5つ+2段階認証」の組み合わせです。WordPressは世界シェアの高さゆえにボットによる総当たり攻撃の標的になりやすく、パスワードだけの防御では突破されるリスクが残ります。本記事では、WEB制作会社のスリードプラスが、保守の現場で実施している不正ログイン対策と、初期費用・月額0円で2段階認証を導入できる方法を解説します。
WordPressが不正ログインに狙われる理由

WordPressが狙われる最大の理由は、ログイン画面の場所が世界共通で知られているからです。初期設定では「wp-login.php」にアクセスすればログイン画面が表示され、ボットはこのURLに対してIDとパスワードの組み合わせを機械的に試し続けます(ブルートフォース攻撃)。突破されると、サイト改ざん・スパムメールの踏み台・個人情報漏洩といった被害につながり、復旧には数十万円規模の費用がかかるケースもあります。攻撃は有名サイトだけでなく、公開直後の小規模サイトにも自動で行われます。
今すぐできる基本の不正ログイン対策5つ
まずは費用をかけずにできる基本対策から始めましょう。当社が納品時に標準で設定しているのは次の5つです。
- ログインURLの変更:wp-login.phpを別のURLに変更し、ボットの入口を隠す
- ログイン試行回数の制限:一定回数失敗したIPを一時ブロックする
- 強力なパスワード:12文字以上・使い回しなしを徹底する
- 本体・プラグインの更新:脆弱性を放置しない
- ユーザー名の秘匿:投稿者アーカイブなどからのユーザー名漏洩を防ぐ
決め手は2段階認証【パスワード漏洩でも突破されない】
基本対策の弱点は、パスワードそのものが漏洩した場合に無力な点です。そこで最後の防壁になるのが2段階認証です。ログイン時にSMSやメールで届く確認コードの入力を必須にするため、万一パスワードが流出しても、攻撃者は本人のスマホ・メールにアクセスできない限りログインできません。総当たり攻撃・パスワードリスト攻撃の両方に効く、費用対効果の高い対策です。
0円から使える本人認証サービス「Value-Auth」

WordPressに2段階認証を導入するなら、GMOデジロックが提供するValue-Authが有力です。初期費用・月額ともに0円で、無料枠として月SMS10通+メール100通まで使えるため、管理者数人の企業サイトなら実質無料で運用できます。超過分も従量課金(SMS1通8.6円〜、メール1,000通110円)と低コストです。WordPress専用プラグイン「Value-Auth Twofactor Login」が用意されており、開発不要で導入できる点が制作・保守の現場では大きなメリットです。
Value-Authの導入手順3ステップ
導入は次の3ステップで、当社の実績では30分程度で完了します。ステップ1:Value-Authに申し込み、管理画面でAPIキーを取得する。ステップ2:WordPressにプラグイン「Value-Auth Twofactor Login」を設置し、APIキーを登録する。ステップ3:テストユーザーでログインし、SMS・メールの確認コードが届くことを確認する。通常はメールの無料枠で十分ですが、より厳格に運用したい場合はSMS認証を選ぶとよいでしょう。
よくある質問(FAQ)
Q. 2段階認証は無料で使えますか?
Value-Authなら初期費用・月額0円で、月SMS10通+メール100通まで無料で使えます。
Q. セキュリティプラグインだけでは不十分ですか?
試行回数制限などは有効ですが、パスワード自体が漏洩すると突破されます。2段階認証の併用を推奨します。
Q. 導入は難しくないですか?
専用プラグインの設置とAPIキーの登録のみで、開発作業は不要です。30分程度で導入できます。
Q. SMSとメールはどちらを使うべきですか?
通常はメールの無料枠で十分です。携帯番号でより厳格に本人確認したい場合はSMSを選びましょう。
まとめ:基本対策+2段階認証で「入口」を固める
WordPressの不正ログイン対策は、ログインURL変更・試行制限などの基本5対策に、Value-Authによる2段階認証を重ねるのが確実です。被害後の復旧費用に比べれば、0円から始められる予防策のコストパフォーマンスは圧倒的です。サイトのセキュリティ診断や保守は、当社スリードプラスでも承っていますので、お気軽にご相談ください。
