キーボードと鍵

WordPressの不正ログイン対策におすすめのプラグインを紹介


WordPressのログイン画面や管理画面は、標準の設定ではURLが誰でも分かるため、不正アクセスや攻撃の対象になりやすい状態です。
ユーザー名(またはメールアドレス)とパスワードのみの認証方式であるため、総当たり攻撃(ブルートフォースアタック)やパスワードリスト攻撃などによって、不正ログインされるリスクが高いといえます。

個人が運営するような小規模で無名のサイトでも、このような攻撃の標的になることは珍しくありません。不正ログイン対策はプラグインの導入により簡単に実装できるため、サイトの公開時には導入を検討しましょう。

ここでは、WordPressの不正ログイン対策としておすすめのプラグインのほか、目的別に選べる効果的なプラグインについても紹介します。

実施しておきたい不正ログイン対策

まず、これだけは実施しておくべきという必須の不正ログイン対策を紹介します。

パスワードの強化

パスワードを強化することは不正ログイン対策の基本です。
次のような強化策を実施しましょう。

  • 12文字以上で大文字・小文字・数字・記号を組み合わせた複雑なパスワードを使用する
  • サイトごとに固有のパスワードを設定する(使い回しを避ける)
  • パスワード管理にパスワードマネージャー(ブラウザの機能・Bitwarden・1Passwordなど)を活用する
  • 複数人で管理する場合は各自で異なるパスワードを設定する
  • 不審なログインが確認されたときはパスワードを変更する

ボット対策(総当たり攻撃への対策)

ボットとはプログラムによる自動処理を指します。総当たり攻撃(ブルートフォースアタック)は不特定多数のサイトに対してボットによる攻撃が行われるため、どのようなWebサイトでも攻撃の対象となり得ます。

一般的に対策として考えられるのが次の方法です。

  • 画像認証などのCAPTCHA(人間とボットを区別する機能)をログイン画面に追加し、自動攻撃を防ぐ
  • ログイン試行回数を制限し、一定回数失敗すると自動でロックアウトする仕組みを導入する(人間に対しても有効)
  • XML-RPCを無効化する
  • ログインページのURLを変更して標準のwp-login.phpを隠す

SiteGuardプラグインのひらがな認証は日本ユーザー向けに有効です。
XML-RPCとはコンピューター間でXML形式のデータをやり取りする仕組みで、外部アプリからWordPressを操作する目的などで使用されます。

CloudFlareやレンタルサーバー会社が提供するWAF(Webアプリケーション・ファイアウォール)を併用すると、ボット対策はさらに強固になります。

二要素認証の導入

パスワードだけでは漏えい時のリスクが高いため、第二の認証要素を追加することが重要です。
認証アプリ(Google Authenticator、Authyなど)を使用する方法がおすすめです。

メールやSMSによる認証は利便性が高いものの、アプリ方式よりやや安全性が劣ります。
管理画面を使用するユーザーが複数の場合、管理者権限のユーザーには強制適用し、他のユーザーへの展開も検討しましょう。
導入時は必ずバックアップコード(リカバリーコード)を安全な場所に保存してください。

WordPressの不正ログイン対策におすすめのプラグイン

プラグインにはWordPressに対する包括的なセキュリティ対策を行うものと、個別の対策に特化したものがあります。
対策ごとに特化した専用のプラグインは、次のようなメリットがあります。

  • 個々の対策の効果を高めやすい
  • 動作を軽くできる
  • トラブルの際に原因の切り分けがしやすい

前述の3つの不正ログイン対策のうち、「ボット対策」と「二要素認証」に対して個別にプラグインを導入する方法がおすすめです。ボット対策で不正なアクセスを限定し、二要素認証で本人以外がログインできないようにします。

以下のプラグインを使用することで、不正ログインを強力に防御できます。

Limit Login Attempts Security|ボット対策におすすめ

Limit Login Attempts Security

総当たり攻撃に特化し、ログイン試行制限とIPブロックに優れていることや、余分な機能がなく軽量である点がおすすめできます。
アクティブインストール数は100万を超えており、信頼性のあるプラグインです。

機能は後述の概要を参考にしてください。

WP 2FA|二要素認証におすすめ

WP 2FA

ワンタイムパスワードを使用した認証アプリやメール認証に対応するほか、パスキーにも対応する点が先進的でおすすめです。

初期インストールで有効化した際に表示されるセットアップウィザードは、説明が親切で初心者でも導入しやすいでしょう。ただし、二要素認証がどのようなものかをある程度理解しておく必要があります。

機能は後述の概要を参考にしてください。

WordPressの不正ログイン対策で人気のプラグイン一覧

上記のおすすめプラグインを含め、不正ログイン対策で人気のあるプラグインを一覧で紹介します。
総合プラグインは1つ導入すれば包括的な対策が行える点で便利ですが、機能が多いため動作が重くなる傾向があります。また、個々の機能を理解して適切に設定することが、効果を得るために不可欠です。

個々の機能や効果について詳しくは以降のセクションで解説します。

種類プラグイン名効果日本語評価
Install数
総当たり攻撃防止Limit Login Attempts Securityログイン試行回数制限・IPブロック・ロックアウト機能などブルートフォース対策に特化。★4.9
100万+
SiteGuard WP PluginログインURL変更・画像認証・ログイン試行回数制限に対応。日本製。⚪︎★4.5
50万+
二要素認証WP 2FA認証アプリ・メール・パスキーによる二要素認証に対応。⚪︎★4.7
10万+
Two Factor認証アプリ・メールによる二要素認証に対応。
WordPressコミュニティが提供。シンプルで信頼性が高い。
⚪︎★4.8
10万+
総合Wordfence Securityログインセキュリティを含む包括的保護(ブルートフォース対策+ファイアウォール+マルウェアスキャン)⚪︎★4.7
500万+
All In One Security (AIOS)ブルートフォース対策+ファイアウォール+コメントスパム検知+二要素認証など多機能。⚪︎★4.7
100万+

※ 評価(星数)など、内容は2026年6月時点のもの

Limit Login Attempts Security

Limit Login Attempts Security

総当たり攻撃やパスワードリスト攻撃を効果的にブロックします。軽量でシンプルに動作し、小規模サイトでも導入しやすいプラグインです。セットアップウィザードは英語ですが、初期設定が簡単にできるため利用がおすすめです。

二要素認証はオプションで設定できますが、簡易的なものです。本格的に導入する場合は後述のWP 2FATwo Factorを検討してください。

設定内容やヘルプは部分的に日本語で表示されますが、基本的には英語表記です。使いにくいと感じる場合は後述のSiteGuard WP Pluginを検討するとよいでしょう。

主な機能:

  • ログイン試行回数の制限
  • 一定回数失敗時のIPロックアウト
  • ロックアウト時間の段階的延長
  • ログインアラート
  • GDPRメッセージ対応
  • 二要素認証:メールのみ・対象ユーザー権限を選択可能
  • IPアドレス許可・拒否設定

プラグインのURL:https://wordpress.org/plugins/limit-login-attempts-reloaded/

SiteGuard WP Plugin

SiteGuard WP Plugin

日本のユーザー向けに最適化されたログイン保護プラグインです。ボットが突破しにくい画像認証やURL変更など、総当たり攻撃を防ぐ機能が充実しています。

ただし、設定をすべて有効にすると日常的な管理に支障が出やすいため、使い勝手とのバランスを考えて設定するのがおすすめです。

主な機能:

  • 管理ページアクセス制限
  • ログインページURL変更
  • 画像認証(ひらがな入力対応)
  • 詳細エラーメッセージ無効化
  • ログイン制限
  • ログイン通知
  • フェールワンス(1回目のログインを失敗させる)
  • XML-RPC無効化
  • ユーザー名漏えい防止
  • WAF検知除外設定
  • ログイン履歴

プラグインのURL:https://wordpress.org/plugins/siteguard/

WP 2FA

WP 2FA

二要素認証が導入しやすく、今後の発展も期待できるプラグインです。
複数ユーザーでの運用や、パスキーを利用したい場合、とくに役に立つでしょう。日本語セットアップウィザードで分かりやすく設定できます。

主な機能:

  • 認証アプリ
  • メール認証
  • パスキー対応
  • バックアップコード
  • 対象ユーザー権限の選択

プラグインのURL:https://wordpress.org/plugins/wp-2fa/

Two Factor

Two Factor

WordPressコミュニティが提供する二要素認証プラグインで、必要最低限の機能を実装できます。
シンプルな設定画面で動作も軽量です。安定した運用ができるでしょう。

主な機能:

  • 認証アプリによる認証
  • メールによる認証
  • バックアップコードによる認証
  • ダミーメソッド(移行期間の混乱を防ぐ機能)

プラグインのURL:https://wordpress.org/plugins/two-factor/

Wordfence Security

Wordfence Security

ログインだけでなくサイト全体の脅威を包括的に防御する高機能なプラグインです。
500万以上のダウンロード数を誇る人気のプラグインといえます。
無料版でもログイン保護機能が充実していますが、常にライセンス取得を促されるため、取得して運用するのがおすすめです。

マルウェアスキャンなど、サーバーに負荷をかける機能を装備しているため、パフォーマンスの低いサーバーでは利用を控えたほうがよいでしょう。

主な機能:

  • ログイン保護
  • ファイアウォール
  • マルウェアスキャン
  • トラフィック監視
  • 画像認証

プラグインのURL:https://wordpress.org/plugins/wordfence/

All In One Security (AIOS)

All In One Security

ログイン試行制限やロックアウト、ファイル変更の保護、コメントスパム検出など、入力に対する総合的な防御機能を持つプラグインです。セキュリティの状態をスコアで確認できます。

二要素認証は認証アプリのみの対応となるため、他の方式を利用したい場合は別途、プラグインを追加する必要があるでしょう。

主な機能:

  • ログイン試行制限・ロックアウト
  • ログインページ名称変更
  • ユーザーID保護
  • スパム防止
  • ファイアウォール(IPブロック・XML-RPCブロックその他)
  • ファイル変更検知・保護・権限管理
  • データベースバックアップ
  • コメントスパム検出
  • 二要素認証(認証アプリ)・対象権限の選択
  • CAPTCHAフォーム
  • セキュリティスコアリング

プラグインのURL:https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

プラグインを使用した不正ログイン対策の注意点

不正ログイン対策にプラグインを導入する際は、機能の特性を理解したうえで正しく運用することが重要です。誤った使い方をすると、サイトの運用に支障が出る可能性があります。
ここでは、とくに注意すべきポイントを解説します。

小規模・無名サイトでも攻撃対象になることを認識する

「うちのサイトは小さいから大丈夫」と考えるのは危険です。攻撃者は無差別にWordPressサイトを狙っており、規模や知名度に関係なく不正ログインの標的になります。

とくに公開直後はセキュリティ対策が不十分な状態になりやすいため、サイトを公開すると同時に不正ログイン対策を実施することを徹底しましょう。後回しにすると、思わぬタイミングで攻撃を受けるリスクが高まります。

機能が重複するプラグインを同時に有効化しない

ログイン制限機能を持つプラグインを複数有効化すると、ロックアウトの処理が競合して思わぬトラブルを引き起こすことがあります。

たとえば、2つのブルートフォース対策プラグインを同時に使っていると、片方のプラグインがロックアウトしたIPを、もう片方のプラグインが解除してしまうケースや、逆に過剰にロックアウトされてしまうケースが見られます。役割が重複するプラグインは同時に有効化しないようにしましょう。

設定変更前にサイトのバックアップを取得する

プラグインの導入や設定変更は、サイトに何らかの影響を与える可能性があります。
とくにログイン関連の設定を変更すると、誤った設定で自分自身がログインできなくなるリスクもあります。

設定を変更する前には、必ず最新のバックアップを取得しておくことを習慣にしましょう。

二要素認証でリカバリーコードを保存する

二要素認証を導入する際は、必ずリカバリーコード(バックアップコード)を安全な場所に保存してください。

スマホの紛失や認証アプリの削除、機種変更などで一時的に二要素認証が使えなくなった場合、リカバリーコードが唯一のログイン手段になることがあります。印刷して保管するか、パスワードマネージャーなどに安全に保存しておきましょう。

設定後は必ずテストを行う

プラグインを導入したり設定を変更したりした後は、必ず自分のアカウントでログインとログアウトをテストしましょう。
意図しないロックアウトが発生していないか、正常にログインできるかを確認することが重要です。

二要素認証を導入した場合、スマホの紛失などを想定してリカバリーコードでのログインをテストしておくことをおすすめします。ただし、複数発行されるリカバリーコードは使用した分だけ使えるコードが減るため、最小限のテスト回数で済ませましょう。

プラグインを定期的に更新する

セキュリティプラグインは、発見された脆弱性を修正するために頻繁に更新されます。更新を放置すると、かえってセキュリティホールになる可能性があります。

WordPressの管理画面で更新通知が出たら内容を確認し、WordPressのバックアップを行ったうえで速やかに更新しましょう。

複数人で管理する場合は二要素認証を全員に適用する

サイトを複数人で管理している場合、管理者アカウントの一部だけに二要素認証を適用するのは不十分です。

パスワードが漏洩したアカウントから不正ログインされると、サイト全体が危険にさらされます。管理者権限を持つすべてのアカウントに二要素認証を適用し、共有アカウントの使用は避けましょう。

自身のIPを除外する機能を活用する

多くのログイン制限プラグインには、自分自身のIPアドレスを除外リストに登録できる機能が備わっています。この機能を活用すると、設定変更時やメンテナンス作業中に誤って自分をロックアウトしてしまうリスクを減らすことができます。

固定IPアドレスをお持ちの方は、プラグインの設定画面で自分のIPアドレスを除外リストに登録しておくことをおすすめします。

ただし、この機能はIPアドレスが固定されている場合にのみ有効です。
モバイル回線や多くの家庭用回線のようにIPアドレスが変動する環境では、考えられるアドレスの範囲を網羅する必要があります。この場合、サーバー側(.htaccessやWAF)でのIP制限を検討するとよいでしょう。

固定IPアドレスを取得するメリット・デメリット

プロバイダーで固定IPアドレスを取得する場合、以下のようなメリット・デメリットがあります。

メリットデメリット
・IPアドレスが変わらないため、ログイン制限プラグインの除外機能が安定して機能する
・メンテナンス作業時などに誤ロックアウトされる心配が少なく、運用がしやすい
・固定IPの取得には月額料金がかかるのが一般的
・プロバイダーによっては固定IPサービスを提供していない場合もある
・自分の端末が攻撃の標的としてマークされやすい

固定IPアドレスの取得は、費用対効果を考慮して判断しましょう。

まとめ:WordPressの不正ログイン対策は早めに実施しよう

不正ログイン対策にはプラグインの導入がおすすめですが、プラグインを導入すれば完了するわけではありません。パスワード強化・ボット対策・二要素認証の3つの対策を組み合わせ、適切に設定することで効果を高められます。

まずは Limit Login Attempts Security や SiteGuard WP Plugin から試し、必要に応じて二要素認証(2FA)を追加する方法をとるのが始めやすいでしょう。早めの実施でサイトの安全性を確保することが優先されます。


Back to top