企業担当者様向けWordPressの相談室

HOME ご相談

WordPressのアクセスログに不正アクセスが多い

WordPressでコーポレートサイトを運用していますが、アクセスログに不審なアクセスが多く見られました。不安です。どうすればよいでしょうか?

最終更新日:2024.10.22

回答者:エンジニア

アクセスログに不審なアクセスが多い場合、WordPressサイトへの不正アクセスが試みられているかもしれません。そのためセキュリティ対策を施しておくことが重要になります。

WordPressは世界中で最も利用されているCMSであるため、便利な反面、脆弱性が見つかると攻撃者に狙われやすいというリスクがあります。WordPressサイトが不正アクセスされると、サイトが改ざんされたり個人情報が漏洩するなどの重大なインシデントにつながる場合があります。

しかし、有効な施策をいくつか組み合わせておくと、セキュリティリスクを大幅に軽減することができます

不正アクセスを防ぐ有効な施策

ユーザー名・パスワードを複雑なものに設定する

基本的な対策になりますが、ログインユーザー名やパスワードを複雑なものにしておくことは重要です。

実際に管理画面へ不正ログインが試みられたケースのログを見ると、ユーザー名が「admin」や「user」などであることがあります。ユーザー名は単純でないものにしておきましょう。

また、パスワードはさらに複雑なものに設定しておくことが重要です。WordPressインストール時にパスワードを自動生成することができますが、一番強力なものを選んでおくとよいでしょう。

WordPressサイトへの不正アクセスはそのほとんどが脆弱なパスワードが原因ともいわれており、基本ではありますがパスワードを複雑にしておくことは重要な対策になります。

管理画面にIP制限をかける

強力な方法として、WordPressの管理画面にIPアドレス制限をかけることです。

基本的にWordPressサイトに権限のある管理者が管理画面にアクセスする場合、会社オフィスなど特定の場所で行うはずですので、自ずとIPアドレスは限定されるはずです。

仮に不審なアクセスログを見つけた場合、そのIPアドレスを遮断することにはあまり効果がありません。IPアドレスは容易に変更可能であること、他の攻撃者からも狙われるリスクがあることから、効果は期待できません。

攻撃者のIPを都度除外するのではなく、アクセス可能なIPアドレスをあらかじめ絞っておくことで、不正なアクセスを防げる可能性が高くなります。

IPアドレス制限を行うには専門の知識が必要になりますので、ウェブ制作に関する専門家に依頼することをおすすめします。

ログイン画面を推測されにくいURLに変更する

WordPressの初期設定では、ログインページのURLは下記のようになっています

https://ドメイン名/wp-login.php

そのため、ウェブサイトのドメインさえわかれば、簡単にログインページにアクセスできてしまいます

初期設定のURLを複雑なログインページURLへ変更するには、プラグイン「SiteGuard WP Plugin」を使うことによって実現できます。

管理画面から簡単な操作で任意のURLに設定することができます。詳細については以下の記事も参照してください。

こちらの記事も御覧ください。
WordPressの管理画面へのログインURLを変更したい

2段階認証(2要素認証)を利用する

2段階認証(2要素認証)とは、IDとパスワード入力のほかに、認証のためのもう1ステップを設けることで、正規のユーザー以外が不正に情報にアクセスすることを防止する仕組みです

2段階認証にも様々な種類がありますが、WordPressの2段階認証として採用されている方法は下記があります。

  • ランダムにセキュリティーコードをメールに送信する
  • ロボットによる操作ではないことを確認「CAPTCHA」認証
  • 画像選択
  • Google認証

2段階の認証にしておくことによって、万が一IDとパスワードが流出しても、不正アクセスを防ぐことができます。

WordPressのログインに2段階認証設定は、プラグインを利用することにより可能になります。

代表的なプラグインとして「Two Factor」や「Google Authenticator」などがあります。

まとめ

WordPressサイトで不正なアクセスを防ぐ方法の一部を紹介しました。

このほか、WordPressの本体、テーマ、プラグインのアップデートをこまめに行う、万が一に備えて定期的にバックアップをとることも重要です。

すでにセキュリティ対策を実施している場合でも、プラスして他の対策も検討することでさらに強力なセキュリティ対策になります。

不正なアクセスログが多い場合、放置せずにセキュリティ対策を見直してみてください。

こちらの記事を閲覧した方は
以下も閲覧しています
WordPressサイトをバックアップから復旧したい
WordPressの管理画面へのログインURLを変更したい
マルウェアに感染したWordPressサイトを復旧したい
記事が役に立った!という方は
「Good Job」ボタンを!

★弊社が取材されました!

(マイナビ/Web Designing 2023年4月号掲載)

無料
企業担当者様 必読!
WordPressサイト改修のための事前チェックシート

安全に効率よくWordPressサイトを「改修」するためのポイントをまとめました。

ダウンロードはこちらから
  • 事前チェックシート1
  • 事前チェックシート2
  • 事前チェックシート3
  • 事前チェックシート4
  • 事前チェックシート5

CONTENTS

企業の方の相談

企業の方の相談

企業関連のWordPressサイトのお悩みは、大別すると6つのジャンルに分けられます。

リニューアル

サーバのスペック不足やPHPのバージョンアップ等、WordPressのサイト移設(引っ越し/リニューアル)に関するよくあるお悩みをまとめました。

コンテンツ更新(操作)

「新たな更新機能を実装したいけど、どうしたらいいかわからない……」。プラグイン関連も含めてコンテンツ更新に関するお悩みをまとめました。

バージョンアップ

WordPress本体やプラグインのバージョンアップなど、WordPressの場合、「バージョンアップ」のお悩みは尽きません。こちらにまとめました。

SEO(集客)

ホームページ開始時にはあまり意識していなかった「SEO」。でも今になってその重要性に気づいてきた…。WordPressサイトと「SEO」についてまとめました。

セキュリティ

動的CMSであるWordPressの宿命ともいえる「セキュリテイ」問題(脆弱性)。ただし、問題のポイントを理解すれば回避する方法はいくらでもあります。

その他

どこのカテゴリーに収めたらよいか迷った「お悩み」をこちらにまとめました。

個人事業の方の相談

個人事業の方の相談

個人事業主様のWordPressサイトのお悩みは、大別すると4つのジャンルに分けられます。

SEO(集客)

「集客」に強いWordPressテーマです……とすすめられて導入したけど、その仕組や強化方法についてもっと詳しく知りたい。そんなお悩みをまとめました。

カスタマイズ・機能追加

サービス形態の変更にともなってカレンダータイプの「予約機能」を取り入れたくなったり…。カスタマイズや機能追加に関するお悩みをまとめました。

保守

月額払いとなることが多いWordPressの「保守契約」。コストを下げたいから契約はしていないという方も多いと思います。「保守」に関するお悩みをまとめました。

その他

どこのカテゴリーに収めたらよいか迷った「お悩み」をこちらにまとめました。

Page Top