WordPressの不正ログインを防ぐ2つの対策（Xserverユーザー向け）

はじめに

近年、WordPressの管理画面を標的にした不正アクセスが増加傾向にある。手口としては、他サービスから流出したアカウント情報を転用したログイン試行や、ログイン画面に対して大量のリクエストを自動送信するブルートフォース攻撃などが代表的だ。

管理者アカウントへの侵入を許してしまうと、サイトの内容を書き換えられたり、ユーザーの個人情報が外部に流出したりするリスクがある。本記事では、万が一パスワードが第三者に知られた場合でも被害を抑えるための2つの対策と、Xserverで活用できる機能を整理する。

---

対策1：2段階認証の導入

パスワードだけに頼る認証は、それが漏洩した時点でアカウントへの侵入を許してしまう。2段階認証を設定することで、パスワードに加えて認証コードの入力を求める仕組みとなり、第三者によるログインを大幅に困難にできる。

CloudSecure WP Securityプラグイン

Xserverが開発・提供している無料のWordPressセキュリティプラグイン「CloudSecure WP Security」を使えば、2段階認証の設定が可能だ。ログイン時にユーザー名・パスワードの入力後、6桁のワンタイムコードによる追加認証が要求されるようになる。

認証コードの受け取り方は2種類用意されている。

Google Authenticator 認証 スマートフォンのGoogle Authenticatorアプリと連携し、アプリ上で生成されたコードを入力する方式。アプリのインストールが必要だが、メール遅延の影響を受けないため安定している。

メール認証 ログイン時に登録済みのメールアドレスへ認証コードが送信される方式。専用アプリを別途インストールする必要がなく、手軽に導入できる点が利点だ。

どちらの方式も無料で利用できるため、まず着手しやすい対策といえる。

---

対策2：管理画面へのアクセス元IPアドレス制限

2段階認証と並んで有効な対策が、WordPress管理画面（/wp-admin/）にアクセスできるIPアドレスを絞り込む方法だ。許可したIPアドレス以外からの接続を遮断することで、不特定多数からのログイン試行そのものをブロックできる。

Xserverでは「IPアドレス制限」機能がサーバーパネル上から設定可能で、エックスサーバー・XServerビジネスの双方で利用できる。

注意点

固定IPアドレスを持たないインターネット環境（一般的な家庭用回線など）では、接続のたびにIPアドレスが変わる場合がある。その場合、IPアドレス制限を設定していても自分自身がアクセスできなくなるケースが生じるため、運用を続けるうえでの障壁となりやすい。

---

IPアドレス制限をより安定させる：XServer 固定IPアクセス

上述の課題を解消するために、2026年6月22日より提供が開始されたのが「XServer 固定IPアクセス」だ。このサービスを利用すると、接続元のIPアドレスを固定できるため、IPアドレス制限機能と組み合わせて安定した運用が可能になる。

固定IPアドレスを使用することで得られる主なメリットは以下のとおりだ。

• 場所を問わず同一のIPアドレスで接続できる：自宅・外出先・リモートワーク環境などに関わらず、IPアドレスが変わらないため制限設定を変更する手間が生じない
• 外部委託先からのアクセスにも対応：制作会社や保守担当者など、社外からアクセスする関係者にも固定IPを発行できる
• 内部統制の強化：アクセス元のIPアドレスが明確になるため、法人利用において誰がどこからアクセスしているかを把握しやすくなる

---

まとめ

WordPressへの不正ログイン対策として、特に効果的な組み合わせは次の構成だ。

1. CloudSecure WP Securityで2段階認証を有効化する
2. IPアドレス制限機能で管理画面へのアクセスを絞り込む
3. IPアドレスが変動する環境の場合はXServer 固定IPアクセスで接続元を固定する

どれか一つの対策だけでも一定の効果はあるが、複数を組み合わせることで防御の層が厚くなる。特に管理画面はサイト全体を制御できる重要な入口であるため、早期に対策を講じておくことが望ましい。