セキュリティ強化の第一歩！WordPressのログインURLを変更する方法

2025.08.12

なぜログインURLの変更がセキュリティ対策に有効なのか？

WordPressのセキュリティ対策と聞いて、まず何が思い浮かびますか？

パスワードの強化、不要なプラグインの削除など様々ですが、最も手軽で効果が高い対策の一つが「ログインURLの変更」です。

この記事では、なぜそれが有効なのか、そして具体的な変更方法を2つ、初心者から上級者向けまで分かりやすく解説します。

総当たり攻撃（ブルートフォースアタック）のリスクを大幅に軽減

WordPressのデフォルトのログインURL（/wp-login.phpや/wp-admin）は、世界中の誰もが知っています。攻撃者はこの共通のURLに対し、プログラムを使って無数のパスワードを試す「総当たり攻撃（ブルートフォースアタック）」を仕掛けてきます。

ログインURLを独自の文字列に変更することは、攻撃者に「建物の玄関の場所を教えない」のと同じです。これにより、機械的な攻撃の大半を未然に防ぐことができます。

この記事で解説する2つの具体的な変更方法

この記事では、以下の2つの方法をご紹介します。

プラグインを利用する方法：専門知識がなくても、安全かつ簡単に設定できます。（初心者向け）
.htaccessファイルを編集する方法：プラグインを追加したくない、より高度なカスタマイズをしたい方向けです。（中〜上級者向け）

あなたに最適な方法は？プラグイン vs .htaccess

どちらの方法を選ぶべきか、メリット・デメリットを比較してみましょう。

	プラグインを利用する方法	.htaccessを編集する方法
手軽さ	◎ 非常に簡単	△ 専門知識が必要
安全性	◎ ミスが起きにくい	× コードの記述ミスでサイトが表示されなくなる危険性あり
サイト速度	△ わずかに負荷がかかる可能性	◎ 影響なし
総合評価	初心者・一般ユーザーに強く推奨	サーバー知識のある上級者向け

手軽さと安全性を求めるなら「プラグイン」

特別な理由がない限り、ほとんどのユーザーにとってプラグインを利用する方法が最適です。設定ミスによるトラブルのリスクがほとんどなく、安心して導入できます。

表示速度やカスタマイズ性を重視するなら「.htaccess」

サイトのパフォーマンスを1ミリ秒でも追求したい開発者や、プラグインを極力増やしたくないポリシーを持つ方には、.htaccessを編集する方法が適しています。ただし、作業は自己責任で慎重に行う必要があります。

方法1：プラグイン「WPS Hide Login」で変更する（初心者向け）

最も有名で信頼性の高いプラグインの一つ「WPS Hide Login」を使った方法です。

メリット：専門知識不要で、わずか数分で設定完了

管理画面から数クリックするだけで、誰でも簡単にログインURLを変更できます。

デメリット：プラグインの追加による僅かな負荷と、更新管理の手間

プラグインを一つ追加することになるため、サイトの表示速度に極めて微細な影響が出る可能性があります。また、今後プラグインの更新管理が必要になります。

Step1：プラグインのインストールと有効化

WordPressのダッシュボードで「プラグイン」→「新規追加」をクリックします。
検索窓に「WPS Hide Login」と入力し、表示されたプラグインの「今すぐインストール」をクリックします。
インストールが完了したら、「有効化」ボタンをクリックします。

Step2：設定画面で新しいログインURLを指定する

ダッシュボードの「設定」→「一般」をクリックし、ページの一番下までスクロールします。
「WPS Hide Login」という項目が追加されています。「ログインURL」の欄に、新しいログインページのURLとして使いたい文字列（例：my-special-login）を入力します。
「リダイレクトURL」は、誰かが古いログインURL（/wp-admin/）にアクセスした際に飛ばされるページです。通常はデフォルトの「404」のままで問題ありません。
「変更を保存」ボタンをクリックします。

注意：この時点で自動的にログアウトされ、新しいログインページへリダイレクトされます。

Step3：正しく変更されたか確認する

新しいログインURL（例：https://example.com/my-special-login）をブラウザのアドレスバーに入力し、見慣れたログイン画面が表示されることを確認します。
【重要】古いログインURL（https://example.com/wp-login.php）にアクセスし、404エラーページが表示される（ログイン画面が表示されない）ことを確認します。
新しいログインURLは忘れないように、ブックマークするかパスワード管理ツールに保存しておきましょう。

方法2：.htaccessを編集して変更する（中〜上級者向け）

この方法はサイトのコアなファイルに触れるため、十分な知識と注意が必要です。

メリット：プラグイン不要でサイトが軽量。より柔軟な設定が可能

プラグインに依存せず、サイトのパフォーマンスへの影響がゼロです。

デメリット：コードの記述ミスがサイト表示エラーに直結するリスク

.htaccessやfunctions.phpの記述を1文字でも間違えると、サイト全体が真っ白になる「500 Internal Server Error」を引き起こす可能性があります。

【最重要】作業前のバックアップを必ず取得する

作業に着手する前に、必ず以下の2つのバックアップを取得してください。

FTPソフトで.htaccessファイルとwp-config.phpをPCにダウンロードする。
使用しているテーマのfunctions.phpファイルをPCにダウンロードする。

問題が発生した場合は、これらのオリジナルファイルをサーバーに上書きアップロードすることで元に戻せます。

Step1：新しいログイン用のファイル名（例：my-login.php）を決める

このファイル名が、実質的な新しいログインURLの代わりとなります。推測されにくい名前にしましょう。

Step2：.htaccessにリダイレクトとアクセス制限のルールを記述する

.htaccessファイル（WordPressのルートディレクトリにあります）に、以下のコードを追記します。

<IfModule mod_rewrite.c>
RewriteEngine On
# /wp-login.php への直接アクセスを禁止
RewriteCond %{SCRIPT_FILENAME} =/path/to/your/wordpress/wp-login.php [NC]
RewriteCond %{QUERY_STRING} !^action=logout
RewriteRule ^.*$ - [F,L]
# 新しいログインURLへの書き換え
RewriteRule ^my-login\.php$ wp-login.php [L]
</IfModule>

注意：/path/to/your/wordpress/の部分は、ご自身のサーバーの絶対パスに書き換える必要があります。

Step3：wp-login.phpのURLをフィルタリングするコードをfunctions.phpに記述する

使用中のテーマのfunctions.phpに、以下のコードを追記します。これにより、WordPressが生成するすべてのログイン関連URLが、新しいURLに置き換えられます。

add_filter( 'login_url', 'my_login_url', 10, 3 );
function my_login_url( $login_url, $redirect, $force_reauth ) {
    return home_url( 'my-login.php' );
}

ログインURL変更後に必ず確認すべき3つの注意点

注意点1：新しいログインURLを忘れてしまった場合の対処法

万が一URLを忘れてしまった場合は、FTPソフトでサーバーに接続し、以下の対応を行います。

プラグインの場合：/wp-content/plugins/ディレクトリ内にあるwps-hide-loginフォルダの名前を変更（例：wps-hide-login_old）すると、プラグインが強制的に無効化され、デフォルトのログインURLに戻ります。
.htaccessの場合：バックアップしておいた元のファイルで上書きします。