WordPressでwp-login.php変更は意味があるのか？セキュリティ効果をログから解説

WordPressのセキュリティ対策としてよく紹介されるのが、ログインURLの変更です。

デフォルトのログインページである/wp-login.phpを別のURLに変更することで、攻撃を防げると言われています。

ですが実際にサーバーログを見ていると、少し違う現実が見えてきます。

結論から言うと、wp-login.phpの変更は無意味ではないが、過信は危険です。

この記事では、実際のアクセスログをもとに、

• なぜ効果が限定的なのか
• どこまで意味があるのか

をわかりやすく解説します。

WordPressは公開した直後から、Botによるスキャンが始まります。

この挙動については、実際のアクセスログをもとにこちらの記事で詳しく解説しています。

▶ WordPress公開直後にBotアクセスが来る理由

wp-login.phpとは

wp-login.phpは、WordPressの管理画面にログインするためのページです。

通常は以下のURLでアクセスできます。

https://example.com/wp-login.php

または

https://example.com/wp-admin/

このページは、WordPressを使う上で必ず存在するため、攻撃Botにとっても「まず試す場所」になります。

なぜwp-login.phpが狙われるのか

理由はシンプルで、ログインできればサイトを乗っ取れるからです。

攻撃者（Bot）は以下のような行動を取ります。

• /wp-login.php にアクセス
• ユーザー名・パスワードの総当たり（ブルートフォース）
• 管理画面への侵入を試みる

つまり、wp-login.phpは入口そのものです。

ただし、Botはログインページだけを狙っているわけではありません。

実際には複数のエンドポイント（URL）を同時にスキャンしています。

▶ WordPress公開直後にBotが最初に確認するURL

Botはwp-login.phpだけを見ているわけではない

実際のサーバーログを見てみると、wp-login.phpへのアクセスは確かに存在します。

ただし重要なのはここです。

wp-login.phpだけが狙われているわけではないのです。

例えばこんなアクセスも同時に飛んできます。

• /wp-admin/setup-config.php
• /xmlrpc.php
• /wp-json/wp/v2/users
• /.env
• /.git/config

特にアクセスが多いのが、/wp-admin/setup-config.php のような初期設定ファイルです。

この挙動については、ログをもとに詳しく解説しています。

▶ setup-config.phpスキャンの実態

wp-login.php変更で防げるもの

ログインURLを変更すると、

• /wp-login.phpへの直接アクセス
• 単純なブルートフォース攻撃

はある程度防げます。

これはいわゆる雑な攻撃を減らす効果です。

特に、

• 初期設定状態のWordPress
• パスワードが弱い場合

には一定の効果があります。

wp-login.php変更では防げないもの

ここが一番大事なポイントです。

wp-login.phpを変更しても、以下は普通に来ます。

1. REST APIを使ったユーザー列挙

• /xmlrpc.php
• /wp-json/
• /wp-admin/ 経由

ログインページを変えても、別の入口が存在しているためです。

例えば、/wp-json/wp/v2/users を使ったユーザー名の取得は、ログインURLを変更しても防げません。

▶ WordPressでユーザー名がバレる理由

2. xmlrpcや別ルートからのログイン試行

Botはまずこういう動きをします。

• / にアクセス
• /wp-admin/ を確認
• /wp-login.php を試す

ログインURLを変えても、WordPressっぽいかどうかは別の方法で判定されます。

3. URLの総当たりスキャン

一部のBotは、

• /login
• /admin-login
• /secret-login

のように、変更後のURLも総当たりしてきます。

つまり、URLを変える＝完全に隠れる、ではないということです。

重要なのはログインURL変更以外の対策

ログを見ていると、重要なのはむしろこちらです。

強いパスワード

ブルートフォース対策の基本。

ログイン試行回数制限

無限に試されるのを防ぐ。

WAF（サーバー側防御）

Botの段階で弾く。

不要機能の停止（xmlrpc無効化など）

攻撃面を減らす。

ユーザー名の露出対策

/wp-json/wp/v2/users など。

これらの対策については、実際のログをもとにした最低限のセキュリティ設定をまとめています。

▶ WordPressの基本セキュリティ対策まとめ

WordPressは公開した時点で、Botによるチェックが始まる

WordPressは特定の誰かに狙われているのではなく、インターネット上に公開された瞬間から無差別にスキャンされます。

この前提については、1ヶ月分のログをもとにこちらで解説しています。

▶ WordPress公開1ヶ月間のアクセスログ分析

まとめ｜wp-login.php変更は補助的な対策

wp-login.phpの変更は、雑なBotによるアクセスを減らす効果はあります。

ただし、それ単体では十分な対策にはなりません。

実際のログからも分かる通り、WordPressは公開直後から複数の経路でスキャンされるため、ログインURLだけを変えても攻撃自体は止まりません。

そのため、ログインページへのアクセスを減らす対策（URL変更）と、ログイン突破されても守れる対策（強いパスワード・ログイン試行制限・WAFなど）を組み合わせることが大切です。