プラグインで簡単！WordPressの管理画面URLを安全に変更する方法

「ログイン攻撃を防ぐにはどうすればいいのだろう」
「WordPressの管理画面のセキュリティが心配」
このようなお悩みはありませんか？

管理画面URLの変更は、不正アクセスを防ぐための有効な対策です。標準のログインURLを使い続けると、攻撃者に狙われやすくなってしまいます。適切に変更し、セキュリティ対策を講じることで、サイトを守ることが可能です。

この記事では、管理画面URLの変更を検討している方へ向けて、具体的な変更方法や注意点、併用すべきセキュリティ対策まで詳しく解説します。WordPressを安全に運用したい方は、ぜひ最後までご覧ください。

ウェブサイトの管理者にとって、管理画面のセキュリティ対策は非常に重要です。特に、WordPressなどのCMS（コンテンツ管理システム）を利用している場合、管理画面への不正アクセスを防ぐことが安全運営の第一歩となります。中でも、管理画面URLの変更は、手軽で効果的な防御手段のひとつとして注目されています。

管理画面URLの変更は、攻撃者の侵入経路を断ち、ログイン試行そのものを未然に防ぐ強力な手段です。

ログイン攻撃（ブルートフォースアタック）とは？

ブルートフォースアタックとは、総当たり攻撃とも呼ばれる不正アクセス手法の一種です。

この攻撃では、攻撃者が自動プログラムを使って以下のような行動を繰り返します。

• 管理画面のログインページにアクセスする
• ユーザー名とパスワードの組み合わせを何度も入力する
• 正しい組み合わせが見つかるまで繰り返す

このように、IDやパスワードの推測に成功すると、ウェブサイトが乗っ取られる危険性があります。

ブルートフォースアタックは非常に単純な方法ですが、自動化しやすいため世界中で多く使われています。特に初期設定のまま運用しているサイトは格好の標的です。

このようなログイン攻撃を防ぐためには、ログインページへのアクセスそのものを難しくする必要があります。

管理画面URLが狙われやすい理由

ほとんどのCMSは、初期設定で決められた共通の管理画面URLを使っています。例えば、WordPressの場合「/wp-admin」や「/wp-login.php」が該当します。

攻撃者はこうした初期URLを熟知しており、世界中のサイトに対して以下のようなスキャンを実施します。

• 共通のURLにアクセスできるか調べる
• アクセス可能ならログイン画面を開く
• そこからパスワードを試行し、突破を狙う

つまり、誰でも知っているURLを放置しているだけで、攻撃対象になりやすくなります。これは、ドアの鍵をかけずに家を出るようなものです。

共通の管理画面URLを使い続ける限り、サイトは常に狙われ続けるリスクを抱えています。

管理画面URLを変更することで得られる効果

管理画面のURLを変更することで、攻撃者がログインページに到達する確率を大幅に下げることができます。

具体的には、以下のような効果があります。

• ログインページを見つけられなくなる
• 自動スキャンによる攻撃を回避できる
• セキュリティ強化の第一歩として有効

例えば、初期の「/wp-login.php」から「/admin12345」などに変更すると、攻撃者は予測できず、ログイン試行そのものが行えなくなります。

これは、「入り口の場所を隠す」ことで泥棒の侵入を防ぐのと同じ考え方です。

管理画面URLの変更は、セキュリティ強化の中でも効果が高く、導入が簡単な対策です。

【CMS別】管理画面URLの変更方法

管理画面のURLを変更することで、ウェブサイトのセキュリティを大きく高めることができます。特にCMSを使って運用している場合、標準のログインURLは攻撃者にとって狙いやすい入口です。そこで、使用しているCMSごとに適切な変更方法を選ぶことが重要です。

CMSに合わせた管理画面URLの変更は、効果的なセキュリティ対策の基本です。

WordPressの管理画面URLを変更する方法（プラグイン使用）

WordPressでは、プラグインを使えば専門的な知識がなくても簡単に管理画面URLを変更できます。

中でも代表的なプラグインは以下の2つです。

• WPS Hide Login
• Loginizer

これらのプラグインは、以下のような操作で使えます。

1. プラグインをインストールして有効化する
2. 「設定」画面にアクセスする
3. 任意のログインURLを指定する
4. 保存して完了

例えば、「/mylogin123」など、自分で決めたURLに変えることで、ブルートフォース攻撃の標的から外すことが可能です。

プラグインを使えば、専門知識がなくても安全性を高めることができます。

WordPressのfunctions.phpを使った変更方法（上級者向け）

より高度な管理をしたい場合や、プラグインを使いたくない場合は、functions.phpを編集する方法があります。

この方法は以下の手順で実行します。

1. テーマフォルダ内のfunctions.phpをバックアップする
2. 特定のURL以外ではログイン画面にアクセスできないようにするコードを追加する
3. 例：特定のGETパラメータがないとwp-login.phpを無効にする

以下はその一例です。

function protect_login_page() {
  if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false && 
      !isset($_GET['mysecret'])) {
    wp_die('このページにはアクセスできません');
  }
}
add_action('init', 'protect_login_page');

このコードにより、「?mysecret=1」のようなパラメータがないと、ログインページは表示されません。

ただし、この方法には以下のような注意点があります。

• コードのミスでサイトが表示されなくなる可能性がある
• テーマ更新でfunctions.phpが上書きされる可能性がある

functions.phpを使った方法は上級者向けですが、より柔軟な制御が可能です。

Movable Type・EC-CUBEなど他CMSでの変更手順

WordPress以外のCMSでも、管理画面URLの変更によってセキュリティを高めることができます。以下に代表的なCMSごとの対応方法を紹介します。

• Movable Type：CGIファイル名「mt.cgi」を変更することで対応
• EC-CUBE：管理画面URL（admin/）のディレクトリ名を変更し、設定ファイルで反映

Movable Typeの場合、「mt.cgi」や「mt-admin.cgi」などのファイル名を「secure-login.cgi」などに変更し、設定ファイルでも一致させる必要があります。

EC-CUBEでは、管理画面のフォルダ名を変更し、「html/install.php」や「html/.htaccess」内の記述を更新することで対応します。公式マニュアルやセキュリティガイドに従って作業することが重要です。

CMSごとの特徴を理解し、正しい手順で変更すれば、安全性を大きく高めることができます。

管理画面URL変更時の注意点と落とし穴

管理画面のURLを変更すると、セキュリティ面では大きな効果があります。しかし、変更作業にはいくつかの注意点があります。設定ミスや情報共有の漏れがあると、自分自身が管理画面に入れなくなったり、チームの業務に支障が出たりする恐れがあります。

URL変更の効果を最大限に活かすためには、事前の準備と確認が不可欠です。

URLを忘れた場合の対処方法

管理画面のURLを変更した後に、そのURLを忘れてしまうケースは意外と多く発生します。特にプラグインや.htaccessなどを使って変更した場合、記録を残していないと復旧が難しくなります。

対処法としては、以下の方法があります。

• FTPでサーバーにアクセスして設定ファイルを確認する
• データベース（例：phpMyAdmin）で設定値を探す
• 使用したプラグインを無効化する

例えば、WordPressの「WPS Hide Login」を使っている場合、FTPでプラグインフォルダを削除すると、URLは元の「wp-login.php」に戻ります。functions.phpで変更していた場合は、そのコードを削除またはコメントアウトすることで復旧できます。

管理画面URLは必ずメモに残し、安全な場所に保管しておくことが基本です。

SEOや内部リンクへの影響はある？

管理画面URLを変更するとき、SEO（検索エンジン最適化）への影響を心配する人もいます。しかし、通常の管理画面URLは検索エンジンにはインデックスされていないため、SEOには直接的な影響はありません。

ただし、以下の点には注意が必要です。

• 内部リンクで管理画面にアクセスしているページがある場合、リンク切れになる
• 外部ツールと連携している場合、再設定が必要になることがある

例えば、Google Search Consoleや広告運用の管理画面と連携している場合、URL変更により再認証が必要となるケースがあります。特にREST APIを利用した連携をしている場合は、エンドポイントが変わることで不具合が生じることもあります。

管理画面URLの変更は、運営上の影響が出ないように全体を見渡して判断することが重要です。

他の管理者との共有方法と注意点

複数の管理者やチームでサイトを運用している場合、管理画面URLの変更は全員に共有する必要があります。共有が不十分だと、ログインできない管理者が発生し、業務が滞る恐れがあります。

安全かつ確実に共有する方法として、以下の手段が有効です。

• パスワード付きのPDFやメモでURLを配布する
• セキュアなチームツール（例：Slack、Notion）で共有する
• ログインURL専用のリダイレクトページを設定する

リダイレクトページとは、旧URLにアクセスした際にログインできない旨と、新しいログインURLへのリンクを表示するページのことです。一定期間だけ用意しておくと、変更後も混乱が少なくなります。

管理画面URLの変更はチーム全体での情報共有が成功のカギとなります。

管理画面URLを変更しても安心できない理由と併用すべき対策

管理画面のURLを変更することで、攻撃者がログイン画面を見つけにくくなり、ブルートフォース攻撃のリスクを下げることができます。しかし、それだけで安全と言い切ることはできません。攻撃者はさまざまな手法で不正アクセスを試みます。だからこそ、複数の対策を組み合わせることが重要です。

管理画面URLの変更だけでは不十分であり、他のセキュリティ対策と併用して初めて万全になります。

ベーシック認証の追加

ベーシック認証とは、ページにアクセスする前にIDとパスワードによる認証を行う仕組みです。これは、ApacheなどのWebサーバー機能を使って簡単に導入できます。

具体的には、以下の2つのファイルを設定することで実現します。

• 「.htaccess」ファイル：認証をかけたいフォルダに設置する
• 「.htpasswd」ファイル：認証に使うIDと暗号化されたパスワードを記述

例えば、管理画面フォルダに「.htaccess」を置き、アクセス前にIDとパスワードを入力させることで、たとえURLが知られても簡単にはログイン画面にたどり着けません。

ベーシック認証を加えることで、管理画面への入り口にもう一段階のロックをかけられます。

ログイン試行回数制限の設定（例：Limit Login Attemptsなど）

ログイン試行回数を制限することで、ブルートフォース攻撃を実質的に防止できます。攻撃者は何度もIDやパスワードを試すことで突破を試みますが、一定回数でロックされると試行が続けられません。

WordPressでは、以下のようなプラグインが代表的です。

• Limit Login Attempts Reloaded
• Login LockDown

これらのプラグインを使えば、以下のような設定が可能です。

• 失敗回数の上限設定（例：3回）
• ロックアウト時間の設定（例：30分）
• IPアドレスの自動ブロック

たとえば、ログインに3回失敗するとそのIPからのアクセスを30分間遮断するといった仕組みが導入できます。

ログイン試行回数を制限することで、総当たり攻撃の成功率を限りなくゼロに近づけられます。

reCAPTCHAや2段階認証の導入

GoogleのreCAPTCHAや2段階認証は、機械的なアクセスを防ぐための非常に効果的な方法です。reCAPTCHAとは、ログインフォームなどに表示される「私はロボットではありません」といったチェック機能のことです。

導入の手順は以下の通りです。

• GoogleのreCAPTCHAサイトでAPIキーを取得
• 使用中のCMSやプラグインにAPIキーを設定
• ログイン画面やコメント欄などに適用

また、2段階認証とは、ログイン時にパスワードに加えてスマートフォンアプリやメールなどで送られる確認コードを入力させる方式です。

たとえば、「Google Authenticator」や「Authy」といったアプリがよく使われています。WordPressの場合、「Two Factor Authentication」などのプラグインで簡単に導入可能です。

reCAPTCHAや2段階認証を使えば、人間以外のアクセスをほぼ完全にブロックできます。

管理画面URL変更後に行うべきセキュリティチェック項目

管理画面のURLを変更しただけで安心してしまうと、重大なセキュリティリスクを見逃す恐れがあります。変更後の状態をしっかりと確認し、不審なアクセスがないかや設定が正しく反映されているかをチェックすることで、安全性を維持できます。

URLの変更は「始まり」であり、変更後の確認と保守がセキュリティ維持に欠かせません。

サーバー側アクセスログの確認

URL変更後に最初に行うべき作業が、サーバーのアクセスログの確認です。アクセスログとは、誰がいつどのページにアクセスしたかを記録したファイルのことです。

このログを確認することで、以下のような情報が把握できます。

• 旧管理画面URLに対するアクセスが継続していないか
• 不審なIPアドレスが繰り返しアクセスしていないか
• 短時間に集中したアクセスがないか

たとえば、URL変更後も「/wp-login.php」へのアクセスが続いている場合、攻撃者が依然として自動スキャンを行っている可能性があります。そのようなIPアドレスは.htaccessなどでブロックする必要があります。

ログ確認を定期的に行うことで、攻撃の兆候を早期に発見できます。

セキュリティ診断ツールでのチェック

管理画面URLを変更しても、他に脆弱性があれば攻撃を防ぎきれません。そのため、セキュリティ診断ツールを使って、サイト全体の安全性を評価しましょう。

代表的なツールは以下の通りです。

• Google Search Consoleの「セキュリティの問題」
• Sucuri SiteCheck（スクリの外部スキャン）
• Wordfence Security（WordPress専用のプラグイン）

これらのツールでは、マルウェア感染や改ざんファイルの有無、不要なポートの開放などをチェックできます。サイトの健康診断のように定期的に実施することが推奨されます。

セキュリティ診断ツールを活用することで、見えない脅威にも対応できます。

定期的なURLの見直しと設定ファイルのバックアップ

管理画面のURLは、一度変更すれば永久に安全というわけではありません。万が一、内部から漏洩したり、攻撃者に発見されたりする可能性もゼロではありません。

そのため、以下の対策を継続的に行う必要があります。

• 定期的にログインURLを見直し、変更する
• 設定ファイル（.htaccessやwp-config.phpなど）のバックアップをとる
• 重要な変更は記録し、安全な場所に保管する

例えば、月に1回、設定ファイルとともにログインURLを確認し、必要に応じて新しいURLに更新するといった習慣を持つと、セキュリティ水準を維持しやすくなります。

継続的な見直しとバックアップが、安全な運用を長く維持する鍵となります。

管理画面URL変更に関するよくある質問【Q&A形式】

管理画面のURLを変更する際には、さまざまな疑問が生じます。ここでは、よくある質問とその回答を紹介します。初心者の方でも安心して対応できるよう、具体的でわかりやすい回答を用意しました。

事前に疑問点を解消しておくことで、トラブルを未然に防げます。

「管理画面のURLはどんな名前にすればいい？」

管理画面のURLは、推測されにくい文字列にすることが重要です。単純な語句や「admin」「login」などの定番単語は避けましょう。

おすすめの命名ルールは以下の通りです。

• 英数字をランダムに組み合わせる（例：/panel8475）
• 社名やプロジェクト名など外部に知られていない語句を使う
• 意味のない単語を組み合わせる（例：/cloud-3gate）

たとえば、「/secure-login」や「/accesspoint123」のように、意味のある単語と数字を組み合わせるだけでも、推測されにくくなります。

想像されにくいURLにすることで、攻撃対象から外れる確率が高まります。

「複数の管理者がいる場合、どう共有すればよい？」

複数の管理者と安全に管理画面URLを共有するには、漏洩リスクを減らす手段を選ぶ必要があります。メールやチャットでの共有には注意が必要です。

安全に共有する方法は以下の通りです。

• パスワード付きのZIPファイルにメモを入れて送る
• 暗号化メモ共有ツール（例：ProtonMail、Signalなど）を使う
• 一時的なパスワード付きページにURLを掲載する

共有後は、誰がいつどこからログインしたかを確認するために、ログイン履歴を取得できるプラグイン（Wordfenceなど）も併用すると安心です。

安全な共有方法を選ぶことで、内部からの情報漏洩リスクを防げます。

「プラグインが動かないときの対処法は？」

URL変更用のプラグインがうまく動作しない場合、原因は以下の3つが考えられます。

• 他のセキュリティ系プラグインとの競合
• キャッシュが影響して旧URLが表示されている
• テーマやサーバー設定との相性の問題

対処法としては、まずプラグインを一時的に無効化してから、デフォルトのURL（例：/wp-login.php）にアクセスしてみてください。それでアクセスできる場合は、設定のやり直しが可能です。

どうしても復旧できないときは、FTPでプラグインを削除し、functions.phpや.htaccessなどを確認して手動で戻す必要があります。

プラグインのトラブル時は、焦らず一つずつ原因を切り分けて対応することが大切です。

まとめ｜管理画面URLの変更でログイン攻撃からサイトを守ろう

管理画面のURLを変更することで、外部からのログイン攻撃を大きく減らすことができます。特にCMSを使っているサイトでは、初期設定のままにしておくとブルートフォース攻撃の対象となりやすく、危険です。URLを変更し、さらに複数のセキュリティ対策を組み合わせることで、安全な運営が実現できます。

最も大切なのは、日々の管理と継続的な見直しを怠らないことです。

今すぐできるセキュリティ対策チェックリスト

これから対策を始める方に向けて、すぐに実行できる項目をチェックリスト形式で整理しました。

• 管理画面URLを推測されにくい文字列に変更した
• ベーシック認証を導入した
• ログイン試行回数に制限を設けた
• reCAPTCHAや2段階認証を設定した
• アクセスログを確認し、不審な動きをチェックしている
• セキュリティ診断ツールで定期的に検査している
• 設定ファイルのバックアップを取っている
• チーム内で安全な方法で情報共有している

このリストをすべて実施することで、管理画面への攻撃リスクを大幅に減らせます。

まずは1つでも多く実行し、サイトの防御力を高めていきましょう。

サイト運営者が持つべきセキュリティ意識とは？

ウェブサイトの安全は、一時的な対策だけでは守れません。攻撃の手口は日々進化しているため、運営者自身がセキュリティ意識を高く持ち続ける必要があります。

意識しておくべきポイントは以下の通りです。

• 「自分のサイトは狙われない」という思い込みを捨てる
• セキュリティは一度きりではなく「継続」が必要であると理解する
• わからないことは放置せず、必ず調べて対応する

たとえば、1年以上前に設定したままのセキュリティ設定が、今も有効だとは限りません。日々変化する攻撃に対応するには、常に「最新情報に目を向ける姿勢」が必要です。

セキュリティ対策は、意識と行動の積み重ねによって成り立っています。