推測されるパスワードは危険！本当にあった不正ログイン

「自分のサイトは狙われるはずがない」「小規模なWordPressサイトだから大丈夫」と思っていませんか？
しかし、実際には個人事業主や中小企業のサイトこそ、不正ログインの標的になりやすいのです。

攻撃者は手当たり次第にサイトを狙い、推測しやすいパスワードや脆弱なセキュリティ設定を突いて侵入を試みます。
しかも、一度侵入されると、サイトの改ざん、個人情報の流出、マルウェアの設置など、重大な被害が発生することも。

本記事では、実際にあった不正ログインの事例を紹介しながら、WordPressサイトを守るために必要なセキュリティ対策を詳しく解説します。

1. 不正ログインの実例 – 小規模サイトも狙われる

「有名サイトならともかく、うちは個人運営のブログだから関係ない」と思っていませんか？
実際に不正ログインの被害に遭ったWordPressサイトの例を紹介します。

事例①：企業サイトが乗っ取られ、フィッシングサイトに改ざん

ある中小企業が運営するWordPressサイトが、不正ログインによって改ざんされました。
攻撃者は管理画面に侵入し、サイトの一部をフィッシングサイトに書き換えました。その結果、サイト訪問者が詐欺サイトへ誘導され、企業の信用が大きく損なわれる事態となったのです。

事例②：個人ブログがスパム投稿の温床に

ある個人事業主のブログサイトでは、不正ログイン後に大量のスパム記事が投稿され、検索エンジンの評価が急落しました。
サイトのSEO評価が下がり、アクセス数が激減。結果的に集客に大きな影響を及ぼしました。

このように、不正ログインは決して他人事ではなく、どんなサイトでも標的になる可能性があるのです。

事例③：企業案内サイトが突然、外国語サイトに

ある企業案内サイトでは、突然、不正ログインされて中国語サイトに改ざんされました。

攻撃者は管理画面に侵入、そして、日本語から中国語に変換。修復までに多くの時間を費やしました。

2. 不正ログインの手口とは？攻撃者はどうやって侵入するのか

不正ログインはどのように行われるのでしょうか？主な手口を解説します。

2-1. ブルートフォース攻撃（総当たり攻撃）

攻撃者は、ログインIDとパスワードを無数に試す「ブルートフォース攻撃」を用いて、正しい組み合わせを見つけようとします。
特に、以下のような単純なパスワードは、すぐに突破されてしまいます。

• 123456
• password123
• admin123
• qwerty
• 電話番号や番地など、ウェブサイトに記載されているもの

WordPressでは、セキュリティ強化対策していないと、ログインURLとユーザーIDはすぐ分かってしまいます。
このようにパスワードが単純となっているとログインされやすいです。

2-2. クレデンシャルスタッフィング攻撃（リスト型攻撃）

他のサイトで流出したID・パスワードのリストを使ってログインを試みる攻撃です。
もし、複数のサービスで同じパスワードを使い回していると、簡単に不正ログインされる可能性があります。

2-3. フィッシング攻撃

攻撃者は偽のログインページを作成し、ユーザーを騙してIDやパスワードを入力させます。
その情報を使って、本物のWordPressサイトに不正ログインするのです。

例えば、「ウェブサイトにログインできなくなりました。再設定するためには以下URLより進めてください」などのようなメールを受信して、偽のログインページにパスワード入力してしまうと、ログイン情報が漏洩して、攻撃される可能性があります。

3. WordPressサイトが狙われやすい理由

WordPressは世界中で利用されている人気のCMS（コンテンツ管理システム）ですが、そのために攻撃者の標的になりやすいという側面もあります。

理由①：管理画面のURLが共通している

WordPressのログインURLは「/wp-admin」や「/wp-login.php」が一般的です。
攻撃者はこれを知っているため、直接アクセスしてログインを試みます。

理由②：初期設定のユーザー名が「admin」のままになっている

新しくWordPressをインストールした際、初期ユーザー名が「admin」のままのことが多いです。
これを変更せずにいると、攻撃者にとってIDを推測する手間が省けてしまいます。

また、サイトURLの末尾へ「/wp-json/wp/v2/users」や「?rest_route=/wp/v2/users」を追加したアドレスでアクセスしてみてください。
表示されたデータの中にはユーザーIDが含まれますので、ユーザー名を知られないように対策する必要があります。

理由③：脆弱なプラグインやテーマの存在

古いプラグインや脆弱なテーマがセキュリティホールとなり、不正ログインの足掛かりになることがあります。

4. 簡単にできる不正ログイン対策

まずは基本的な対策から始めましょう。

• 強力なパスワードを設定する：「英数字・記号を含む12文字以上のランダムなパスワード」を推奨します。例： Xf7@kL#92m!P
• ユーザー名「admin」を変更する：新しい管理ユーザーを作成し、「admin」のアカウントは削除しましょう。
• ログインURLを変更する：「/wp-admin」や「/wp-login.php」を変更するプラグインを活用すると効果的です。

5. 高度なセキュリティ対策 – WordPressをより強固に守る

より強固なセキュリティを実現するための追加対策も検討しましょう。

• 二段階認証の導入：Google Authenticatorなどの二段階認証プラグインを導入すると、セキュリティが大幅に向上します。
• ログイン試行回数の制限：対策プラグインを使用し、一定回数のログイン失敗でアカウントをロックできます。
• IP制限をかける：特定のIPアドレスからのみログインを許可する設定を行うと、不正アクセスを防ぎやすくなります。

6. まとめ

不正ログインは、個人のブログや企業サイトを問わず、誰にでも起こりうる脅威です。
しかし、適切なセキュリティ対策を講じることで、多くのリスクを未然に防ぐことができます。

特に、

• 強力なパスワードを設定する
• 二段階認証を導入する
• ログインURLを変更する
• ログイン試行回数を制限する

などの対策を今すぐ実践しましょう。

WordPressサイトの安全を守るために、今すぐ対策を講じてください。
不正ログイン対策のご相談は「WP保守ガード」まで、お気軽にお問い合わせください。

投稿者プロフィール

遠藤 晃太代表

WordPressを使ったサイト制作は10年以上。
これまでにショッピングサイト、カーショップ、不動産、認定講座、弁護士、生命保険、病院、司法書士、飲食店、運送業、高校案内サイト、留学案内サイト、施設案内サイト、幼稚園、鍼灸院、キャンプ場、大学など、多数のサイト制作してきました。
じっくりと話し合い、お客様にピッタリのご提案やサポートを目指します。

最新の投稿

• AI2025年3月25日AIでホームページ制作は実現可能？業界の未来と注意点を解説
• ピックアップ2025年3月21日WordPressはユーザーIDが丸見え？ セキュリティリスクと対策を徹底解説
• ホームページ保守2025年3月18日ホームページ保守とは？運営に必要な内容を徹底解説
• トラブル・不具合2025年3月17日推測されるパスワードは危険！本当にあった不正ログイン