Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPBカップ
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPress管理エリアを保護するための14の重要なヒント(更新)

編集メモ: WPBeginner のパートナーリンクから手数料を得ています。手数料は編集者の意見や評価に影響を与えません。編集プロセスについて詳しく知る。

WordPressの管理エリアを保護する方法をお探しですか?

管理エリアを不正アクセスから保護することで、多くの一般的なセキュリティ脅威をブロックすることができます。WordPressサイトへの攻撃が多い場合に役立ちます。

このチュートリアルでは、WordPress管理エリアを保護するための重要なヒントとハックを紹介します。

Tips and hacks to protect WordPress admin area

多くのヒントを取り上げますので、以下のクイックリンクから各ヒントにジャンプしてください:

1.ファイアウォールを使う

ファイアウォールはサイトのトラフィックを監視し、不審なリクエストをブロックします。

WordPressのファイアウォールプラグインはWordfenceなどいくつかありますが、Sucuriの使用をお勧めします。Sucuriは、クラウドベースのファイアウォールでサイトを保護する、ウェブサイトのセキュリティとモニタリングサービスです。

Website Application Firewall

お客様のサイトのトラフィックはすべて最初にSucuriのクラウドプロキシを通過し、各リクエストを分析し、不審なものがお客様のサイトに到達しないようにブロックします。これにより、ハッキング、フィッシング、マルウェア、その他の悪意のある行為を防ぐことができます。

もう一つの素晴らしいオプションはCloudflareで、これは現在WPBeginnerで使用しているものです。詳しくは、SucuriからCloudflareに乗り換えた理由の投稿をご覧ください。

2.WordPress管理ディレクトリのパスワード保護

WordPressの管理エリアはすでにWordPressのパスワードで保護されています。しかし、WordPress管理ディレクトリにパスワード保護を追加することで、ログインページのセキュリティがさらに強化されます。

まず、WordPressウェブホスティングcPanelダッシュボードにログインし、’パスワード保護ディレクトリ’または’ディレクトリのプライバシー’アイコンをクリックする必要があります。

Directory privacy

次に、通常/public_html/ディレクトリ内にあるwp-adminフォルダーを選択する必要があります。

次の画面では、’Password protect this directory’(このディレクトリをパスワードで保護する)オプションの隣にあるボックスにチェックを入れ、保護するディレクトリの名前を指定する必要があります。

その後、「保存」ボタンをクリックして権限を設定する。

Password protect directory settings

次に、戻るボタンを押して、ユーザーを作成する必要があります。ユーザー名とパスワードを入力し、「保存」ボタンをクリックしてください。

これで、誰かがあなたのサイトのWordPress管理ディレクトリまたはwp-adminディレクトリにアクセスしようとすると、ユーザー名とパスワードの入力を求められます。

Enter password

より詳細な手順については、WordPress管理(wp-admin)ディレクトリをパスワードで保護する方法のガイドを参照してください。

3.常に強力なパスワードを使用する

Always use strong passwords

WordPressサイトを含むすべてのオンラインアカウントには、常に強力なパスワードを使用してください。パスワードには、文字、数字、特殊文字を組み合わせて使用することをお勧めします。こうすることで、ハッカーにパスワードを推測されにくくなります。

初心者の方から、パスワードをすべて覚えるにはどうしたらいいかという質問をよく受けます。最も簡単な答えは、その必要はないということです。コンピューターや携帯電話にインストールできる素晴らしいパスワード管理アプリがあります。

このトピックの詳細については、WordPress初心者に最適なパスワード管理方法のガイドをご覧ください。

4.WordPressログイン画面で二段階認証を使う

WordPress login screen with Google Authenticator enabled

2 要素認証、2 要素認証、または 2FA とも呼ばれる 2 段階認証は、パスワードにもう 1 つのセキュリティ層を追加します。パスワードだけを使用する代わりに、携帯電話のGoogle Authenticatorアプリで生成された確認コードを入力するよう求められます。

WordPress パスワードを推測されても、Google 認証コードを入力する必要があります。

詳しい手順については、Google Authenticator を使用して WordPress で 2 段階認証を設定する方法をご覧ください。

5.ログイン試行を制限する。

Limit login attempts

WordPressの初期設定では、ユーザーは何度でもパスワードを入力することができます。これは、誰かが異なる組み合わせを入力することで、WordPressのパスワードを推測し続けることができることを意味します。また、ハッカーが自動スクリプトを使ってパスワードをクラックすることも可能です。

この問題を解決するには、Limit Login Attempts Reloadedプラグインをインストールして有効化する必要があります。有効化したら、Settings ” Login Lockdownページにアクセスしてプラグイン設定を行います。

詳しい説明は、なぜ WordPress でログイン試行を制限する必要があるのかについてのガイドをご覧ください。さらに詳しくプラグインについて知りたい方は、Limit Login Attempts の詳細なレビューをご覧ください。

6.IPアドレスへのログインアクセスを制限する。

WordPressログインを安全にするもう一つの素晴らしい方法は、特定のIPアドレスへのアクセスを制限することです。このヒントは、あなたや信頼できる少数のユーザーだけが管理エリアにアクセスする必要がある場合に特に役立ちます。

このコードを.htaccessファイルに追加するだけです:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

xxの値を自分のIPアドレスに置き換えることをお忘れなく。インターネットにアクセスするために複数のIPアドレスを使用している場合は、それらのIPアドレスも追加してください。

詳しい手順は、.htaccessを使ってWordPress管理画面へのアクセスを制限する方法をご覧ください。

7.ログインヒントの無効化

Disabled login hints

ログインに失敗すると、WordPressはユーザー名やパスワードが間違っているかどうかを示すエラーを表示します。これらのログインヒントは、ブルートフォース攻撃のような悪意のある試みに使われる可能性があります。

テーマのfunctions.phpファイルに以下のコードを追加するか、WPCodeのようなコードスニペットプラグイン(推奨)を使用することで、これらのログインヒントを簡単に非表示にすることができます:

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

詳しくは、WordPressでサイトを壊さずにカスタムコードを追加する方法をご覧ください。

8.ユーザーに強力なパスワードの使用を必須とする。

複数の投稿者でWordPressサイトを運営している場合、それらのユーザーがユーザーアカウントを編集し、弱いパスワードを使用することができます。これらのパスワードはクラックすることができ、WordPressの管理エリアにアクセスすることができます。

これを解決するには、SolidWP プラグインをインストールして有効化します。その後、WordPress でユーザーに強力なパスワードを強制する方法の完全ガイドの手順に従ってください。

9.すべてのユーザーのパスワードリセット

マルチユーザーWordPressサイトのパスワードのセキュリティが心配ですか?すべてのユーザーにパスワードのリセットを簡単に依頼できます。

まず、Emergency Password Resetプラグインをインストールして有効化する必要があります。有効化したら、ユーザー ” 緊急パスワードリセットページに行き、’すべてのパスワードをリセット’ボタンをクリックします。

Reset all passwords

詳しい手順については、WordPressですべてのユーザーのパスワードをリセットする方法をご覧ください。

10.WordPressを更新し続ける

WordPressは頻繁に新しいバージョンをリリースします。WordPressコアの各新リリースには、重要なバグ修正、新機能、セキュリティ修正が含まれています。

古いバージョンのWordPressをサイトで使用すると、既知のエクスプロイトや潜在的な脆弱性にさらされる可能性があります。これを解決するには、WordPressの最新バージョンを使用していることを本当に〜してもよいですか?

このトピックについては、WordPressの最新バージョンを常に使用すべき理由をご覧ください。

同様に、WordPressプラグインも新機能の導入やセキュリティやその他の問題の修正のために頻繁に更新されます。WordPressのプラグインも最新のものにしておきましょう。

注: WordPressのメンテナンスはプロに任せたいですか?WPBeginnerのメンテナンスサービスでは、更新からマルウェアの駆除まですべてお任せいただけますので、サイト運営に専念していただけます。

11.カスタムログインと登録ページの作成

WordPressサイトの多くは、ユーザー登録が必須です。例えば、会員制サイト学習管理サイトオンラインショップなどでは、ユーザーがアカウントを作成する必要があります。

しかし、これらのユーザーは、WordPress管理エリアにログインするためにアカウントを使用することができます。これは大きな問題ではなく、ユーザーの権限グループによって許可されたことしかできないからです。

しかし、ログインページや登録ページへのアクセスを適切に制限することはできません。ログインページや登録ページは、ユーザーがサインアップしたり、プロフィールを管理したり、ログインするために必要だからです。

これを解決する簡単な方法は、カスタマイザーでログインや登録ページを作成し、ユーザーがあなたのサイトから直接サインアップやログインができるようにすることです。

ステップバイステップの詳しい説明は、WordPressでカスタマイザーログインと登録ページを作成する方法をご覧ください。

12.WordPressのユーザーグループと権限について学ぶ

WordPressには、さまざまなユーザー権限と機能を備えた強力なユーザー管理システムが搭載されています。WordPressサイトに新しいユーザーを追加する際、そのユーザーの権限グループを選択することができます。このユーザー権限グループによって、WordPressサイトでできることが定義されます。

間違ったユーザー権限を割り当てると、必要以上の権限を与えてしまう可能性があります。これを避けるためには、WordPressのさまざまなユーザー権限グループにどのような機能がついているかを理解する必要があります。

このトピックの詳細については、WordPressユーザー権限グループの初心者ガイドを参照してください。

13.WordPressダッシュボードへのアクセスを制限する

WordPressサイトによっては、ダッシュボードへのアクセスが必要なユーザーとそうでないユーザーがいます。しかし、初期設定ではすべて管理エリアにアクセスできます。

これを解決するには、Remove Dashboard Accessプラグインをインストールして有効化する必要があります。有効化したら、設定 ” ダッシュボードアクセスページに行き、どのユーザーグループがあなたのサイトの管理エリアにアクセスできるかを選択します。

より詳細な手順については、WordPressでダッシュボードへのアクセスを制限する方法をご覧ください。

14.アイドルユーザーのログアウト中

Idle user logout

WordPressは、ユーザーが明示的にログアウトするか、ブラウザーウィンドウを閉じるまで、自動的にログアウトしません。これは、機密情報を扱うWordPressサイトにとっては懸念事項です。そのため、金融機関のサイトやアプリでは、ユーザーが有効化していない場合、自動的にログアウトするようになっている。

これを解決するには、Inactive Logoutプラグインをインストールして有効化します。有効化したら、Settings ” Inactive Logoutページに行き、ユーザーを自動的にログアウトさせたい時間を入力してください。

詳しくは、WordPressでアイドルユーザーを自動的にログアウトする方法の投稿をご覧ください。

この投稿が、WordPress管理エリアを保護するための新しいヒントやハックを学ぶのに役立てば幸いです。初心者のための究極のステップバイステップWordPressセキュリティガイドや、専門家が選ぶ最高のWordPressセキュリティプラグインもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

情報開示 私たちのコンテンツは読者支援型です。これは、あなたが私たちのリンクの一部をクリックした場合、私たちはコミッションを得ることができることを意味します。 WPBeginnerの資金源 をご覧ください。3$編集プロセスをご覧ください。

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

究極のWordPressツールキット

ツールキットへの無料アクセス - すべてのプロフェッショナルが持つべきWordPress関連製品とリソースのコレクション!

Reader Interactions

134件のコメント返信を残す

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Moinuddin Waheed says

    Must have tips and tricks for protection of WordPress admin dashboard.
    I have used two factor authentication for admin login and also the login limits for admin access.
    dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
    I didn’t know that we can have these much steps to protect our dashboard.
    Thanks for the exhaustive lists of tips for dashboard protection.

  3. Theo says

    “This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.”

    I know that this is a 3 and a half years old article!

    It would be nice if someone could suggest an alternative! Thank you for your time!

  4. Raksa Sav says

    If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?

  5. Muchsin says

    I want to ask
    I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
    I use the newspaper theme from tagdiv.

  6. Brenda Donovan says

    Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?

  7. Joe says

    Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.

  8. Abhinav S Thakur says

    Can anyone fix this?
    How shall I force SSL only for admin and rest of the site should be http.
    Like wp beginner has non SSL site!
    Running wordpress, cPanel

  9. Pinkey says

    Hi,

    I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.

    Thanks & best Regards,

    Pinkey

  10. Lucy Barret says

    The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.

  11. John says

    Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?

    Help please!

  12. Craig says

    Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.

  13. Lori says

    I’ve also been told to “remove links to the admin page from the site so that the hacking robots can’t just follow a link.” I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?

    (I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)

  14. Emily Johns says

    Great information!

    For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
    From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
    Tested and happy with it!

  15. Barry Richardson says

    I was under the impression that the original username (e.g. “admin”) of a WP site cannot be deleted, so even if we did add a new username, the original “admin” would still be available for a potential hacker to exploit.

  16. Sandeep Jinagal says

    Hyy WPBeginner first of All u are Doing Best OF Best???
    And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.

  17. ifaheem says

    great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!

    My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin :(

    After performing above steps (update them by some research), feeling secure a little.

    Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!

  18. Prince Jain says

    Thank you for such a great post. :)

    But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of WordPress.
    Also can you please suggest a plugin to create custom URL for login window.

  19. Mitchell Miller says

    Stealth Login was removed from WP Plugin repository.

    But changing wp-login.php link is the first step to protecting a WordPress site.

  20. laya rappaport says

    What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?

  21. user4574 says

    One other helpful item not mentioned is database permissions. The WordPress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.

    So if you’re doing it directly in mysql, it would be:
    GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;

    If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.

  22. Tanmoy Das says

    Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.

  23. Derick says

    @Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.

  24. Thorir says

    Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.

    Perhaps this is a helpful factor, security wise?

  25. Mary says

    Hello, I hope you are well!
    This was a great article but a little complicated for me.

    because I need the easy way right now, the wordpress firewall plugin looked good but

    my fear is losing my login page.
    I have spent a long time trying to work with FTP and have not been able to understand it.

    Will this be a good plugin for a scaredy cat?? Thanks Mary

  26. Ed van Dun says

    And what about Bullet Proof Security? It covers some area’s mentioned above and quite a few more.

  27. Guest says

    I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer “officially” compatible with the latest WordPress (3.4.x-3.5)?

  28. Bigdrobek says

    Great turitorial, but please can you update it?

    Few plug-ins is not exist, are old or are hidden by WordPress.org.

    – Stealth Login

    – Login Lockdown

    – Admin SSL

    I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?

  29. mattjwalk says

    You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.

  30. Jermaine says

    The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?

  31. Daniel says

    Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ‘subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!

  32. Jonathan K. Cohen says

    This article needs to be revisited. A number of the plugins suggested have not been maintained, and may be incompatible with the latest version of WP.

    These include #1, #3, and #5.

    • Greg says

      I completely agree with you. I’ve been using the Limit Login Attempts plugin for my WordPress for a while. Today this plugin is outdated. I’ve switched to WP Cerber:

  33. anthony says

    This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!

返信を残す

コメントありがとうございます。すべてのコメントは私たちのコメントポリシーに従ってモデレートされ、あなたのメールアドレスが公開されることはありませんのでご留意ください。名前欄にキーワードを使用しないでください。個人的で有意義な会話をしましょう。