wp-adminはなぜ狙われるのか│WordPressで最もスキャンされるURLの正体【Security Log #14】

vivisec
wp-adminはなぜ狙われるのか│WordPressで最もスキャンされるURLの正体

アクセスログを見ていると、ほぼ必ず出てくるのが /wp-admin/ へのアクセスです。

何度もリクエストが来ていると、「自分のサイトが狙われているのではないか」と不安になるかもしれません。

実際のログでも、次のようなアクセスが確認できます。

/wp-admin/setup-config.php
/wordpress/wp-admin/setup-config.php

しかし、これらのアクセスは特定のサイトを狙ったものではありません。

WordPressを公開している以上、誰でも同じように受けるものです。

WordPressの管理画面「wp-admin」とは

wp-adminは、WordPressの管理画面にアクセスするためのURLです。

投稿の作成や設定変更など、サイトの操作はすべてこの管理画面から行います。

そのため、外部から見ると管理権限に関係する入口にあたる場所です。

実際のサーバーログ「/wp-admin」へのアクセス例

今回のログでは、wp-adminに関連する複数のリクエストが確認できます。

vivisec.net 172.68.10.78 - - [25/Feb/2026:12:04:14 +0900]
"GET /wordpress/wp-admin/setup-config.php
HTTP/1.1" 403 1795 "-"
www.vivisec.net 172.71.184.120 - - [25/Feb/2026:12:04:34 +0900]
"GET /wp-admin/setup-config.php
HTTP/2.0" 403 1790 "-"

これらは、WordPressの初期設定ファイルにアクセスできるかどうかを確認するためのリクエストです。

「/wp-admin」アクセスの意味

これらのアクセスが意味しているのは、「このサイトに未設定のWordPressや設定ミスが残っていないか」というチェックです。

ただし重要なのは、実際にそのファイルが存在するかどうかは関係ないという点です。

攻撃側は、あらかじめ用意されたURLパターンを機械的に試しているだけです。

なぜ攻撃Botは「wp-admin」を探すのか

理由は単純で、WordPressの構造が共通だからです。

  • /wp-admin/
  • /wp-login.php

といったURLは、ほぼすべてのWordPressサイトで共通しています。

そのため攻撃Botは、個別のサイトを分析するのではなく、「WordPressならここにあるはず」という前提でアクセスを送っています。

つまり、機械的に試行されているだけです。

「/wp-admin/」ではなく「setup-config.php」アクセスが多い理由

ログを見ると、/wp-admin/ そのものよりも、/wp-admin/setup-config.php へのアクセスが目立ちます。

これは、管理画面へのログインを狙っているのではなく、未設定のWordPressを探しているためです。

setup-config.phpが開ける状態であれば、

  • まだ初期設定が完了していない
  • 設定ミスで公開されている

可能性があります。

このような状態のサイトは、ログイン突破よりも簡単に乗っ取れる可能性があります。

そのため攻撃Botは、まず未設定のWordPressがないかを優先して探します。

setup-config.phpについて詳しくは以下の記事でも解説しています。

WordPressの /setup-config.php を探すBotアクセス|アクセスログ分析【Security Log #7】

今回のログで攻撃は成功していない

今回のログでは、これらのリクエストに対して正常にアクセスできている形跡はありません。

つまり、

  • ファイルは存在しない
  • または適切に保護されている

状態です。

このようなスキャンは日常的に行われていますが、アクセスされている=侵入されているではありません。

「wp-admin」だけが狙われているわけではない

ログを見ると分かるように、攻撃はwp-adminだけに向けられているわけではありません。

  • wp-login.php
  • setup-config.php
  • その他の既知パス

など、複数のURLが同時に試されています。

つまり、特定のページが狙われているのではなく、WordPress全体に対して無差別にスキャンが行われています。

WordPressでは、管理画面だけでなくログインページも同様にスキャン対象になります。

ログインページへのアクセスについては、こちらの記事で詳しく解説しています。

WordPressの「/wp-login.php」スキャンとは│アクセスログ分析【Security Log #9】

WordPressで「wp-admin」を守る基本的なセキュリティ対策

wp-adminへのアクセスは避けられませんが、対策は可能です。

基本的なポイントは以下の通りです。

  • 強固なパスワードを設定する
  • 不要なユーザーや権限を整理する
  • 基本的なセキュリティ設定を行う

また、ログインURLの変更やIPアドレス制限も一定の効果はありますが、補助的な対策として考えるのが現実的です。

WordPressの基本的なセキュリティ対策については、こちらで詳しくまとめています。

WordPressのセキュリティ対策は何からやるべきか│初心者向けに最低限の設定を解説

まとめ|wp-adminは常にスキャンされている

  • wp-adminはWordPress共通のURLである
  • そのため公開直後からスキャン対象になる
  • アクセスは無差別に行われている
  • 存在しないURLでも関係なく試される

wp-adminへのアクセスは、公開されているサイトであれば自然に発生するものです。

重要なのは、アクセスを制限することではなく、スキャンが来る前提で適切に対策することです。

このブログの運営環境

  • WordPress
  • GeneratePress
  • エックスサーバー

エックスサーバー公式サイト