WordPress管理画面への入り方

ワードプレスへログインするのは３ステップ。
またせっかくですので設定済みのセキュリティ対策の説明もしておきます。

• ログインページへアクセス
• IDとパスワードを入力
• セキュリティ対策があれば対応

ログインページへアクセス

初期状態では、「/wp-login.php」「/wp-admin/」です。

https://ドメイン/wp-login.php
https://ドメイン/wp-admin/

しかしこの初期状態では、マルウェアなどのボット攻撃のカモです。
だってログイン画面が丸出しなのですから、金庫の場所がバレているようなもの。

そのためWeb制作時には、セキュリティ対策としてログイン画面は隠します。
クライアントにはセキュリティ対策をしたURLをお伝えしているので、不明な場合はご連絡ください。

IDとパスワードを入力

IDとパスワードは入力するだけ。
いまさらですが、パスワードは強固なものにしておきましょう。

「パスワード自動生成」なんて検索すると簡単につくれます。
今ならAIに作ってもらってもいいでしょう。

ちなみに初期状態だと、https://ドメイン/?author=1 で、ログインIDが表示されます。
こちらのセキュリティ対策もしないと、ログインページとログインIDが公開されているようなものです。

クライアントの方には、強固なパスワードをお伝えしているのでそのまま入力でOK。
ログインID対策もしてあるのでご安心ください。

セキュリティ対策があれば対応

代表的なのが、文字入力です。
ボットによる自動攻撃などを防ぐためのセキュリティ対策です。

特に日本語の場合、日本語CAPTCHAは海外ボットには効果的。
しっかりと設定しておきましょう。

この対策がない場合、ログインページ、IDがわかるので、パスワードの自動攻撃でログインされるリスクがとても高いということですね。

ほか

ログイン状態を保存する

自分のパソコン、スマホ、タブレットなら「ログイン状態を保存する」にチェックしておくと、しばらくはログインしっぱなしになります。

パスワードを忘れたら

パスワード忘れの場合、「パスワードをお忘れですか ?」をクリック。
ユーザー名か登録メアドを入力すると、メールでパスワードリセットができます。

ログインしたら

cromeなどのブラウザでは、ブラウザへログイン情報を記録できます。
保存させておくと便利でしょう。

パスキーや二段階認証

Google Authenticatorによるパスキーや、Authyを使った二段階認証もあります。
しかしここでは、情報発信のブログには手間になると考えて設定していません。

さっぱりログイン情報がわからなくなった

クライアントの場合、ログインURLを忘れた・わからなくなった場合は、お気軽に当社までご連絡ください。すぐに専用URLをお送りします。

プラグイン

現在利用中のワセキュリティプラグインは、「SiteGuard WP Plugin」と「Wordfence Security」です。自動更新も設定済みです。

WordPress管理画面FAQ

🔑 WordPressのログインページはどこにありますか？

WordPressの初期状態では、ログインページは以下のURLです。

• https://ドメイン/wp-login.php
• https://ドメイン/wp-admin/

ただし、このままではボット攻撃の標的になりやすいため、制作時にログインURLを変更している場合があります。クライアントの方は、必ず提供された専用URLをご利用ください。

🛡️ なぜログインURLを隠す必要があるのですか？

初期状態のログインURLは公開されているため、攻撃者にとって「金庫の場所がわかっている」状態です。

• ログインページが公開されている
• ログインIDが推測できる（例：https://ドメイン/?author=1）

この条件が揃うと、パスワード総当たり攻撃を受けるリスクが非常に高まります。そのため、ログインURLを隠すことは必須のセキュリティ対策です。

🔐 パスワードはどのように設定すれば安全ですか？

パスワードは12文字以上で、英数字・記号を組み合わせた強固なものを推奨します。

• 「password123」や「admin」などの単純な文字列は危険です
• 無作為に生成されたパスワードを利用しましょう
• 「パスワード自動生成ツール」やAIを活用すると簡単に作成できます

強固なパスワードは、ログイン攻撃を防ぐ最も基本的な対策です。

🤔 ログインIDは公開されてしまうのですか？

初期状態では、https://ドメイン/?author=1 にアクセスするとログインIDが表示されます。これはセキュリティ上の大きな弱点です。
制作時に設定を変更している場合は公開されません。クライアントの方には、ログインID対策済みの環境を提供していますので安心して利用できます。

🧩 ログイン時に文字入力を求められるのはなぜですか？

これはCAPTCHA認証によるセキュリティ対策です。

• ボットによる自動ログイン攻撃を防ぐ
• 特に日本語CAPTCHAは海外ボットに効果的

この認証がない場合、パスワード総当たり攻撃を受けるリスクが高まります。

📱 ログイン状態を保存しても安全ですか？

自分専用のパソコンやスマホであれば「ログイン状態を保存する」にチェックして問題ありません。
ただし、共有PCや公共の端末では絶対に利用しないでください。セッションは通常2週間程度保持されます。

✉️ パスワードを忘れた場合はどうすればいいですか？

ログイン画面の「パスワードをお忘れですか？」をクリックしてください。

• ユーザー名または登録メールアドレスを入力
• 登録メールにパスワードリセット用リンクが送信されます

この手順で新しいパスワードを設定できます。

🌐 ブラウザにログイン情報を保存してもいいですか？

Chromeなどのブラウザにはログイン情報を保存する機能があります。自分専用の端末であれば便利ですが、セキュリティリスクを考慮して利用してください。共有端末では絶対に保存しないことを推奨します。

🔒 二段階認証は必須ですか？

Google AuthenticatorやAuthyを使った二段階認証は強力なセキュリティ対策です。
ただし、情報発信用のブログでは運用の手間が増えるため、必ずしも必須ではありません。セキュリティレベルと運用負担を考慮して導入を検討してください。

😵 ログイン情報を完全に忘れてしまった場合は？

クライアントの場合、ログインURLや情報を忘れた際は制作会社へ連絡してください。すぐに専用URLを再送してもらえます。

🛠️ どのセキュリティプラグインが導入されていますか？

現在利用中のセキュリティプラグインは以下の2つです。

• SiteGuard WP Plugin
• Wordfence Security

両方とも自動更新が設定済みで、最新の状態を維持しています。

📌 参考リンク

• WordPress公式ログインガイド
• 総務省｜サイバーセキュリティ基本情報

WordPress管理画面への入り方

ワードプレスへログインするのは３ステップ。
またせっかくですので設定済みのセキュリティ対策の説明もしておきます。

• ログインページへアクセス
• IDとパスワードを入力
• セキュリティ対策があれば対応

ログインページへアクセス

初期状態では、「/wp-login.php」「/wp-admin/」です。

https://ドメイン/wp-login.php
https://ドメイン/wp-admin/

しかしこの初期状態では、マルウェアなどのボット攻撃のカモです。
だってログイン画面が丸出しなのですから、金庫の場所がバレているようなもの。

そのためWeb制作時には、セキュリティ対策としてログイン画面は隠します。
クライアントにはセキュリティ対策をしたURLをお伝えしているので、不明な場合はご連絡ください。

IDとパスワードを入力

IDとパスワードは入力するだけ。
いまさらですが、パスワードは強固なものにしておきましょう。

「パスワード自動生成」なんて検索すると簡単につくれます。
今ならAIに作ってもらってもいいでしょう。

ちなみに初期状態だと、https://ドメイン/?author=1 で、ログインIDが表示されます。
こちらのセキュリティ対策もしないと、ログインページとログインIDが公開されているようなものです。

クライアントの方には、強固なパスワードをお伝えしているのでそのまま入力でOK。
ログインID対策もしてあるのでご安心ください。

セキュリティ対策があれば対応

代表的なのが、文字入力です。
ボットによる自動攻撃などを防ぐためのセキュリティ対策です。

特に日本語の場合、日本語CAPTCHAは海外ボットには効果的。
しっかりと設定しておきましょう。

この対策がない場合、ログインページ、IDがわかるので、パスワードの自動攻撃でログインされるリスクがとても高いということですね。

ほか

ログイン状態を保存する

自分のパソコン、スマホ、タブレットなら「ログイン状態を保存する」にチェックしておくと、しばらくはログインしっぱなしになります。

パスワードを忘れたら

パスワード忘れの場合、「パスワードをお忘れですか ?」をクリック。
ユーザー名か登録メアドを入力すると、メールでパスワードリセットができます。

ログインしたら

cromeなどのブラウザでは、ブラウザへログイン情報を記録できます。
保存させておくと便利でしょう。

パスキーや二段階認証

Google Authenticatorによるパスキーや、Authyを使った二段階認証もあります。
しかしここでは、情報発信のブログには手間になると考えて設定していません。

さっぱりログイン情報がわからなくなった

クライアントの場合、ログインURLを忘れた・わからなくなった場合は、お気軽に当社までご連絡ください。すぐに専用URLをお送りします。

プラグイン

現在利用中のワセキュリティプラグインは、「SiteGuard WP Plugin」と「Wordfence Security」です。自動更新も設定済みです。

WordPress管理画面FAQ

🔑 WordPressのログインページはどこにありますか？

WordPressの初期状態では、ログインページは以下のURLです。

• https://ドメイン/wp-login.php
• https://ドメイン/wp-admin/

ただし、このままではボット攻撃の標的になりやすいため、制作時にログインURLを変更している場合があります。クライアントの方は、必ず提供された専用URLをご利用ください。

🛡️ なぜログインURLを隠す必要があるのですか？

初期状態のログインURLは公開されているため、攻撃者にとって「金庫の場所がわかっている」状態です。

• ログインページが公開されている
• ログインIDが推測できる（例：https://ドメイン/?author=1）

この条件が揃うと、パスワード総当たり攻撃を受けるリスクが非常に高まります。そのため、ログインURLを隠すことは必須のセキュリティ対策です。

🔐 パスワードはどのように設定すれば安全ですか？

パスワードは12文字以上で、英数字・記号を組み合わせた強固なものを推奨します。

• 「password123」や「admin」などの単純な文字列は危険です
• 無作為に生成されたパスワードを利用しましょう
• 「パスワード自動生成ツール」やAIを活用すると簡単に作成できます

強固なパスワードは、ログイン攻撃を防ぐ最も基本的な対策です。

🤔 ログインIDは公開されてしまうのですか？

初期状態では、https://ドメイン/?author=1 にアクセスするとログインIDが表示されます。これはセキュリティ上の大きな弱点です。
制作時に設定を変更している場合は公開されません。クライアントの方には、ログインID対策済みの環境を提供していますので安心して利用できます。

🧩 ログイン時に文字入力を求められるのはなぜですか？

これはCAPTCHA認証によるセキュリティ対策です。

• ボットによる自動ログイン攻撃を防ぐ
• 特に日本語CAPTCHAは海外ボットに効果的

この認証がない場合、パスワード総当たり攻撃を受けるリスクが高まります。

📱 ログイン状態を保存しても安全ですか？

自分専用のパソコンやスマホであれば「ログイン状態を保存する」にチェックして問題ありません。
ただし、共有PCや公共の端末では絶対に利用しないでください。セッションは通常2週間程度保持されます。

✉️ パスワードを忘れた場合はどうすればいいですか？

ログイン画面の「パスワードをお忘れですか？」をクリックしてください。

• ユーザー名または登録メールアドレスを入力
• 登録メールにパスワードリセット用リンクが送信されます

この手順で新しいパスワードを設定できます。

🌐 ブラウザにログイン情報を保存してもいいですか？

Chromeなどのブラウザにはログイン情報を保存する機能があります。自分専用の端末であれば便利ですが、セキュリティリスクを考慮して利用してください。共有端末では絶対に保存しないことを推奨します。

🔒 二段階認証は必須ですか？

Google AuthenticatorやAuthyを使った二段階認証は強力なセキュリティ対策です。
ただし、情報発信用のブログでは運用の手間が増えるため、必ずしも必須ではありません。セキュリティレベルと運用負担を考慮して導入を検討してください。

😵 ログイン情報を完全に忘れてしまった場合は？

クライアントの場合、ログインURLや情報を忘れた際は制作会社へ連絡してください。すぐに専用URLを再送してもらえます。

🛠️ どのセキュリティプラグインが導入されていますか？

現在利用中のセキュリティプラグインは以下の2つです。

• SiteGuard WP Plugin
• Wordfence Security

両方とも自動更新が設定済みで、最新の状態を維持しています。

📌 参考リンク

• WordPress公式ログインガイド
• 総務省｜サイバーセキュリティ基本情報

WordPressセキュリティ強化

まずはおさらい的に、基本のこの３つは確認しておきましょう。

• ログインIDを、admin以外にする。
• パスワードは強固なものにする。
• プラグインやテーマなどは最新の状態にする。

今回のセキュリティ設定の目的

比較的かんたんな作業と設定で、高度なセキュリティを行います。
セキュリティに１００％はありませんが、100サイト以上を運営している私の環境でも、防げています。

乗っとり改ざんの上位への対策

セキュリティを突破される原因の上位５つはこれらが原因です。

• 古いWordPressコア/プラグイン/テーマ （プログラムの侵入）
• 弱い管理者パスワード （管理者としてログインされてしまう）
• ファイルアップロードの悪用 （プラグイン経由）
• XML-RPC / REST APIの悪用 （無限にログインチャレンジ）
• サーバーの脆弱性 （サーバーの問題）

※Sucuri 2024レポート（全攻撃の86%が上位3経路）、Wordfence 2025統計。実際の事例: 2024年に10万件以上のWPサイトがプラグイン脆弱性で乗っ取られています。

対策は大きく３つ

• 古いシステムを使わないこと ← 自動更新で対策
• ログインされないこと ← 今回の設定
• 自動攻撃への対策 ← 今回の設定

具体的なセキュリティ設定の作業

ログインされないことと、自動攻撃への対策はプラグインで行います。
利用するプラグインは、SiteGuard と Wordfence です。

【１】functions.phpへの追加

まずはプラグインで重複する機能があるため、衝突を避ける記述を行います。

ワードプレスのテーマ内の「functions.php」へ、下記を追加して保存してください。

// Wordfence + SiteGuard 併用最適化
add_action(‘init’, function() {
if (class_exists(‘WordfenceLS’)) {
remove_action(‘wp_login_failed’, ‘wf_login_attempt_failed’, 10);
}
});
add_filter(‘wordfence_daily_scan_email’, ‘__return_false’);

↓サンプル

【２】SiteGuardでログイン画面をガード

脅威の１つがワードプレスにログインされてしまうこと。
初期の状態では、ドメイン名/wp-admin/ やドメイン名/wp-login.php などでログイン画面が表示されてしまいます。

プログラムでIDとパスワードを組み合わせで、自動ログインにチャレンジされてしまいます。
そこでログイン画面を隠し、ログインに失敗したらアクセス不能にします。

まずはプラグインの新規追加から、SiteGuardを追加し有効化してください。

SiteGuardの設定

左メニューのSiteGuardをクリックすると、メニューが表示されます。

【ログインページ変更】をクリック

変更後のログインページ名のURLを控える。 ※変更も可能
※今後のログインページになります。

「管理画面からログイン画面にリダイレクトしない。」にチェックして、変更をクリック。

次はSiteGuardメニューに戻り、この３つの設定を無効にします。

• ログインアラート
• XMLRPC防御
• 更新通知

最終的にこうなっていればOK！

変更後のログインページ名のURLを、再度確認してくださいね。

SiteGuard設定後のログインチェック

ワードプレスの右上メニューからログアウト。
ここで、変更後のログインページ名のURL にアクセス。

IDとパスワードの下に画像認証が出ていればOK。

そして、ドメイン名/wp-admin/ と ドメイン名/wp-login.php にアクセス。
トップページや「404 NOT FOUND」が表示されればOK。

この設定で、ページを隠して自動攻撃の対策ができました。

• ログインページの秘密化
• ログイン時に画像認証

siteguardの部分はここまでです。

【３】Wordfenceでファイアウォールとマルウェア対策

次にプラグインの新規追加から、Wordfenceを追加し有効化してください。
※表示は Wordfence Security ? Firewall, Malware Scan, and Login Security

有効化すると、ライセンスの入力が求められます。
初めての場合は「ライセンスを入手」
　

freeの「無料ライセンスを取得」をクリック。
↓
「新たな脅威から ～ 問題ありません」をクリック。
↓
メールアドレス入力、メール希望はどちらでも
↓
登録すると、メールでライセンスが届きます。
↓
メール内の「Install My License Automatically」をクリック。
※または記載のライセンスをWordfenceのメニューからインストール
↓
ダッシュボードが表示されればインストール完了！

ファイアウォールの設定

左メニューの「ファイアウォール」をクリック
↓
画面上部に「サイトをできるだけ安全にするために、Wordfence Web アプリケーションファイアウォールを最適化する時間を取ってください: 」と表示されているので、設定をクリック。
↓
htaccess_Backupのバックアップをとり、設定。
正常であればこのhtaccess_Backupはもう不要。

これでファイアウォールの初期設定はOKです。

スキャン

次は左メニューの「スキャン」をクリック。

「新しいスキャンを開始」からスキャンを開始。
問題があれば修復して完了。

ほか

自動更新設定

プラグインページを開き、念のためすべてのプラグインの「自動更新の有効化」。
同じく、テーマの自動更新も設定しておくとよいでしょう。

バックアップ

必要に応じてバックアップ設定も行っておきましょう。
私の場合は、プラグインの「UpdraftPlus」を利用。

更新頻度に合わせて、Googleドライブへ自動バックアップを設定しています。

おわり。

メールにログインURLが書いてある

もうそのまんま、です。
SiteGuardでログインページを変更したら、ちゃんとメールでお知らせしてくれてます。
なので忘れてしまっただけなら、これで解決。

しかし私の場合は違う理由のようでした。
すると公式のヘルプにちゃんとありました。

.htaccessに記述してある

ログインできなくなりました。
https://www.jp-secure.com/siteguard_wp_plugin/faq/

 RewriteRule ^login_xxxxx(.*)$ wp-login.php$1 [L]

この中のlogin_xxxxxという部分が新しいログインページの名前です。

私の場合、同じくURLはわかりましたがダメでした。

でも、結果的にこの「.htaccess」の記述で直りました。

私の場合、リダイレクトの記述が影響していたもよう。
直ったようで、個別ページに404が出ちゃったり。
SiteGuardを入れ直したりして修正したらバッチリ。

SiteGuardでログインできない場合の対処法。

URL忘れなら、メールか「.htaccess」をチェック。
404などの場合は、「.htaccess」の記述を見直しですね。