WordPressログインURL変更完全ガイド！おすすめプラグイン、トラブル対応など徹底解説！

2025年8月15日2025年8月21日

Webサイトのセキュリティ強化を考え始めたあなたへ──

「またブルートフォースで攻撃を受けてしまった……」
「wp-login.phpに誰でもアクセスできるのが不安……」
「プラグインで変えたはずなのに、うまく動かなくて困っている」

そんなお悩みを抱える声が多く寄せられています。

初期設定のままのログインURLは攻撃者にとって格好の的。

本記事では、初心者でも迷わず実践できるよう、

ログインURLを変更すべき理由
おすすめプラグインと設定手順
トラブル発生時の復旧方法

をわかりやすく解説します。🔒✨

これを読めば、もう「どこから変えればいいの？」と悩む必要はありません！

なぜログインURLを変更すべきか

WordPressのデフォルトログインURL（例：https://example.com/wp-login.php）は世界中に知られており、狙われやすいポイントです。

以下の理由から、まずはログインURLを変更することが重要です。

初期のログインアドレスが狙われやすい理由

ブルートフォース攻撃が容易
- 攻撃者は自動ツールで「wp-login.php」や「wp-admin」へ大量のログイン試行を行います。
- デフォルトURLをそのままにしておくと、不正アクセスの的になりやすいです。🔓
既知のパスを狙われるリスク
- プラグインやテーマの脆弱性を突く攻撃と組み合わされる場合も。
- 管理画面へ到達できればプラグインの導入や設定変更をされる危険があります。

変更しない場合のリスクと被害例

スクロールできます

リスク	被害例
ブルートフォース攻撃	サイトの管理者アカウントが突破され、改ざんやウイルス埋め込み
辞書アタック（パスワード総当たり）	簡単なパスワードを解析され、管理画面への不正ログイン
ボットによるログイン試行	サーバー負荷増大で表示速度低下やサーバーダウン
標的型攻撃	特定のサイト運営者を狙い撃ちし、顧客情報や会員データの漏洩

まとめ：

デフォルトURLを放置すると、攻撃ツールの“的”になりやすい
ログインURLを変えるだけで、こうした自動攻撃の大半を回避可能✨
まずは「なぜ変えるのか」「何が起きるのか」を理解し、安全対策の第一歩を踏み出しましょう！🔒

現行ログインアドレスの確認方法

WordPressサイトを安全に運用するためには、まず現在のログインURLを正しく把握する必要があります。

以下の手順で確認しましょう。

デフォルトURLの見つけ方（サブディレクトリ／サブドメイン対応）

ブラウザで直接アクセス
- メインサイトが https://example.com/ の場合
  - サブディレクトリ型：
https://example.com/wp-login.php https://example.com/wp-admin/* サブドメイン型（例：blog.example.com）：https://blog.example.com/wp-login.php https://blog.example.com/wp-admin/
- ログイン画面が表示されれば、そこが現行のURLです✅
管理画面メニューから確認
- サイト管理者でログイン済みの場合
  1. ダッシュボード左下の「サイトを表示」をクリック
  2. アドレスバーに表示されるURLに /wp-admin/ を付与
  3. ログイン画面にリダイレクトされたURLで確認
URLが変更されていてアクセスできない場合
- デフォルトの場所に飛ばされず404やリダイレクトが起きると、何らかの変更が適用されています⚠️

.htaccess／プラグインフォルダ名からのチェック

スクロールできます

方法	手順の概要
.htaccess ファイルの確認	1. サーバー（FTP/SFTP）でルートディレクトリを開く 2. `.htaccess` をテキストエディタで開く 3. `RewriteRule` に `wp-login.php` 以外のエントリがないか探す
プラグインフォルダ名の確認	1. `wp-content/plugins/` フォルダを一覧表示 2. 「login」「hide」「security」など名称のプラグインを特定 3. フォルダ名をメモしておき、有効化されている場合はそのプラグイン設定を確認

.htaccessの例

  # ログインURLを /secret-login/ に変更する例
  RewriteRule ^secret-login/?$ wp-login.php [QSA,L]

`^secret-login/?$` の部分が現在のログインURLです🔍

プラグインフォルダ名から見当をつける
- フォルダ名が wps-hide-login → WPS Hide Login プラグイン
- フォルダ名が siteguard → SiteGuard WP Plugin
- それぞれのプラグイン設定画面（ダッシュボード > プラグイン > 設定）で実際のURLを確認できます✨

ポイントまとめ

標準の /wp-login.php／/wp-admin/ が生きていれば、それが現行ログインURL
アクセス異常時は .htaccess やプラグイン設定をチェック
プラグイン名や RewriteRule の中身を手がかりに、実際のログインURLを掴みましょう🔑

変更方法の全体像

WordPressのログインURLを書き換えるには、大きく分けて以下の3つのアプローチがあります。

それぞれにメリット・デメリットがあり、運用環境や技術レベルに応じて選択してください。

スクロールできます

方法	手軽さ	カスタマイズ性	リスク
プラグイン利用	★★★★★	★★☆☆☆	プラグイン依存、更新時に機能停止の可能性
.htaccess編集	★★★☆☆	★★★★☆	記述ミスで全サイトが404になる危険がある
functions.php＆専用ファイル作成	★★☆☆☆	★★★★★	テーマ更新時にコードが上書きされる可能性がある

プラグインで手軽に書き換える手順

プラグインを選ぶ
- WPS Hide Login や SiteGuard など、信頼性のあるものを選択👍
インストール＆有効化
- 管理画面＞プラグイン＞新規追加で検索し、［今すぐインストール］→［有効化］
設定画面へ移動
- ダッシュボードのプラグイン一覧から［設定］をクリック
新しいログインURLを入力
- 任意のスラッグ（例：/my-login）を指定し、保存
動作確認
- 新URLにアクセスし、ログイン画面が表示されれば完了✅

.htaccessを編集してリダイレクト設定

バックアップを取得
- 変更前に必ず .htaccess のコピーを保存しておく📂
RewriteRuleを追加

   # 例：/secret-login/ へリダイレクト
   RewriteRule ^secret-login/?$ wp-login.php [QSA,L]

デフォルトURLへのアクセス遮断（オプション）

   RewriteCond %{REQUEST_URI} ^/wp-login\.php$
   RewriteRule .* - [R=404,L]

動作確認とトラブル対応
- 新URLでログイン画面が出るかチェック
- 404や無限ループが起きた場合は、バックアップを戻して再調整⚠️

3-3. functions.phpを使った独自ログインページ作成

子テーマを用意
- 編集したコードが更新で消えないよう、子テーマを推奨📝
functions.phpにリダイレクトコードを追加

   function custom_login_page() {
     if (strpos($_SERVER['REQUEST_URI'], '/custom-login') !== false) {
       require_once ABSPATH . 'wp-login.php';
       exit;
     }
   }
   add_action('init', 'custom_login_page');

新規ログインファイルを作成
- 例：wp-content/wp-login-custom.php を用意し、wp-login.php のコードをコピー
不要なデフォルトURLの無効化

   add_action('login_init', function() {
     if ($_SERVER['REQUEST_URI'] === '/wp-login.php') {
       wp_redirect(home_url());
       exit;
     }
   });

動作確認
- /custom-login でログイン可能か確認し、古いURLがリダイレクトされることをチェック✅

プラグイン名	カスタマイズ性	初心者向け	追加セキュリティ機能	無料版の制限
WPS Hide Login	★★☆☆☆	★★★★★	URL変更のみ	制限なし
SiteGuard WP Plugin	★★★★☆	★★★★☆	ログイン試行制限・通知機能	無料版で十分
Login Rebuilder	★★★☆☆	★★★☆☆	カスタムエラーページ設定	高度設定は有料
All‑In‑One Security (AIOS)	★★★★☆	★★★☆☆	ファイアウォール・マルウェア検査	一部機能は有料
CloudSecure WP Security	★★★☆☆	★★☆☆☆	ブロックリスト・レート制限	設定がやや複雑

プラグイン別：導入から設定までの手順

共通①：プラグインのインストール＆有効化

ダッシュボードにログイン
左メニューから プラグイン > 新規追加 をクリック
画面右上の検索ボックスにプラグイン名を入力
該当プラグインが表示されたら［今すぐインストール］→［有効化］
一覧画面で「有効化済み」になっていることを確認✅

WPS Hide Loginの設定方法

ダッシュボード左メニューの 設定 > WPS Hide Login を開く
Login URL 欄に新しく使いたいスラッグ（例：my-login-page）を入力
Redirection URL（旧URLアクセス時の遷移先）を選択
- 例：404ページ、トップページなど
［変更を保存］をクリック
新URL（https://example.com/my-login-page）でログイン画面が表示されるか確認🔍

SiteGuardでログインURLを指定する方法

SiteGuard WP Plugin の設定画面を開く
- ダッシュボード左メニュー → SiteGuard
タブメニューから ログインページ変更 を選択
ログインページスラッグ 欄に任意の文字列（例：secure-entry）を入力
［変更を反映］をクリック
テスト：旧URL（/wp-login.php）にアクセスし、リダイレクトされるか確認⚙️

Login Rebuilderのカスタマイズポイント

ログインパス設定
- 設定画面で カスタムログインURL を入力
エラーページのデザイン
- ログイン失敗時に表示する カスタム404ページ を指定可能
- メッセージや背景画像を独自設定して、攻撃者を混乱させる効果あり🎨
リダイレクト制御
- 成功時／失敗時それぞれのリダイレクト先を細かく設定
- 例：失敗時はホームへ、成功時は管理画面へ
高度設定（有料オプション）
- IP制限やアクセス制御の追加モジュールを利用するとさらにセキュリティ強化

ポイントまとめ

基本操作は共通 → インストール→有効化→設定画面へ
入力するスラッグは短め＆推測されにくい文字列 にするのがおすすめ🔑
設定後は必ず 新URLでログイン確認 を行い、旧URLはアクセス遮断されているかチェックしましょう⚡

.htaccessを使ったURL変更手順

サーバー側でログインURLを制御したい場合、.htaccess にリダイレクトルールを追加する方法が有効です。

以下の手順で設定しましょう。

サーバーパネルからの編集

バックアップを忘れずに
- 今の .htaccess をローカルにコピーしておく📂
サーバーパネルにログイン
- レンタルサーバーの管理画面（Plesk／cPanelなど）にアクセス
ファイルマネージャーを開く
- ドキュメントルート（public_html など）内の .htaccess を選択
編集モードで開く
- 直接編集できる画面を起動し、下記コードを追加する準備

ログインリダイレクト用コードの追記

以下は、/secret-login/ という新しいログインURLに誘導し、元の wp-login.php にはアクセスできないようにする例です。

# ————————————————
# カスタムログインURL設定
# ————————————————
# 新しいログインURL： /secret-login/
RewriteRule ^secret-login/?$ wp-login.php [QSA,L]

# デフォルトURLへの直接アクセスをブロック
RewriteCond %{REQUEST_URI} ^/wp-login\.php$
RewriteRule .* - [R=404,L]

RewriteRule
- ^secret-login/?$：ブラウザからの /secret-login/ へのリクエストをキャッチ
- wp-login.php：内部的に本来のログイン処理を実行
RewriteCond + 404
- wp-login.php への直接アクセスを404（Not Found）にして遮断

設定後の確認ポイント

✅ /secret-login/ にアクセスしてログイン画面が表示されるか
❌ /wp-login.php で404エラーが出るか
問題があれば、バックアップした .htaccess を復元して再チェックしましょう🔄

これで、サーバーレベルでのログインURL変更が完了です！🚀

functions.phpによるログインページ自作手順

WordPress本体を直接触らずに、子テーマの functions.php と独自ファイルでログインページを作ることで、アップデート時の上書きを防ぎつつ高度なカスタマイズが可能です。

テーマエディターでのコード追加

子テーマを有効化
- 親テーマの更新で消えないよう、必ず子テーマを使いましょう✨
管理画面 > 外観 > テーマファイルエディター で子テーマの functions.php を開く
以下コード を末尾に追加

   // カスタムログインURLを /custom-login/ に設定
   function add_custom_login_rewrite() {
     add_rewrite_rule(
       '^custom-login/?$',
       'wp-login.php',
       'top'
     );
   }
   add_action('init', 'add_custom_login_rewrite');

   // デフォルトURL wp-login.php へのアクセスをブロック
   function block_default_login() {
     if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false) {
       wp_redirect(home_url());
       exit;
     }
   }
   add_action('login_init', 'block_default_login');

パーマリンク更新
- 管理画面 > 設定 > パーマリンクで［変更を保存］をクリックし、リライトルールを再生成

スクロールできます

作業内容	ポイント
コード追加	必ず子テーマの `functions.php` に
パーマリンク再保存	リライトルール反映のため必須

新規ログイン用ファイル（例：wp-login-new.php）の設置

ファイルのコピー
- FTP/SFTP で wp-login.php をダウンロードし、名前を wp-login-new.php にリネーム
カスタマイズ（任意）
- 見た目を変えたい場合は、フォームのHTML/CSSを直接編集可能🎨
URLマッピング
- functions.php のリライトルールを以下のように書き換え
add_rewrite_rule( '^custom-login/?$', 'wp-login-new.php', 'top' );
ファイルをアップロード
- リネームした wp-login-new.php をサーバーのルート直下（public_html など）に配置
動作確認
- https://example.com/custom-login にアクセスし、ログインフォームが表示されるかチェック✅
- デフォルトURLは自動的にトップページへリダイレクトされます

この方法のメリット・デメリット

スクロールできます

メリット	デメリット
テーマ更新時も上書きされず、安定して動作	初回設定がやや手間（FTP操作＋パーマリンク再保存）
フォームHTMLを自由に編集でき、デザインの統一感を出せる	PHPファイルを増やすため管理が煩雑になる可能性あり

以上で、functions.php と独自ファイルを組み合わせた完全オリジナルのログインページが完成します！🚀

トラブル対応：アクセス不可／URL忘れ時の復旧策

ログインURLを変更したあと、万が一アクセスできなくなったり新URLを忘れてしまった場合は、以下の方法で復旧を試みましょう。

プラグインフォルダ名を戻して初期化

FTP/SFTPで接続
- サーバーにFTPクライアントで接続し、wp-content/plugins/ ディレクトリを開く🔌
対象プラグインのフォルダ名を変更
- 例：wps-hide-login → wps-hide-login-disabled
- siteguard → siteguard-disabled など、末尾に -disabled を付与
自動で無効化＆初期URLに復帰
- プラグインが読み込まれなくなるため、変更前の /wp-login.php にアクセス可能に
管理画面で設定をリセット
- ダッシュボードの「プラグイン」画面で該当プラグインを再有効化し、設定をやり直す

.htaccessから元URLを再確認する方法

バックアップファイルの復元
- ログインURL変更前に保存しておいた .htaccess.bak があれば、それをリネームして上書き
FTP/SFTPで .htaccess を直接確認
- ルートフォルダ（public_html 等）にある .htaccess を開く
リライトルールを探す

スクロールできます

設定内容	見つけ方のヒント
カスタムURL設定	`RewriteRule ^（任意の文字列）/?$ wp-login.php`
元URLブロック設定	`RewriteCond %{REQUEST_URI} ^/wp-login\.php$`

該当行をコメントアウト

   # RewriteRule ^secret-login/?$ wp-login.php [QSA,L]
   # RewriteCond %{REQUEST_URI} ^/wp-login\.php$
   # RewriteRule .* - [R=404,L]

行頭に `#` を付けて無効化することで、デフォルトログインURLが復活

動作確認
- https://example.com/wp-login.php にアクセスし、ログイン画面が表示されることをチェック✅

復旧のポイント

必ずバックアップを用意：設定変更前の状態に戻せるようにしましょう
プラグイン無効化と .htaccess コメントアウト が最も手軽
復旧後は、新URLのメモを残すか パスワードマネージャ に登録して再発防止！🔑

パスワード紛失時のリセット手順

ログインURLを忘れていなくても、パスワードを紛失すると管理画面に入れません。以下の方法で再設定しましょう。

phpMyAdminで直接パスワード更新

phpMyAdminにログイン
- サーバーの管理画面からphpMyAdminを開く🔑
データベースを選択
- 該当サイトのデータベースをクリック
wp_users テーブルを開く
- 一覧から wp_users（プレフィックスは環境により異なる）を選択
該当ユーザーの「編集」画面へ
- ユーザー名を確認し、行の右端にある［編集］をクリック
user_pass フィールドを変更

スクロールできます

項目	設定例
関数	MD5
値（パス）	`new_password123`

保存して完了
- 下部の［実行］をクリックし、管理画面で新パスワードでログインできるか確認✅

WP‑CLIでコマンドからリセット

SSHでサーバーに接続
- ターミナル（Mac/Linux）やPuTTY等でリモートログイン🔌
WordPressルートディレクトリへ移動

   cd /path/to/wordpress

パスワードリセットコマンドを実行

   wp user update <ユーザーIDまたはログイン名> --user_pass="new_password123"

例：`wp user update admin –user_pass=”Secure!Pass456″`

確認
- 管理画面にアクセスし、新しいパスワードでログインできればOK✅
安全対策
- 使い捨ての強力なパスワードを生成し、パスワードマネージャに登録すると安心です🔐

まとめ

phpMyAdmin：GUI操作で直感的に更新可能
WP‑CLI：ターミナル上で即時反映＆自動化スクリプトの一部にも利用可

どちらの方法も覚えておくと、いざというときに素早く復旧できます！🚀

追加で導入したいセキュリティ対策

ログインURL変更だけでは防ぎきれない攻撃もあります。以下の3つの対策を組み合わせると、さらに強固にサイトを守れます🔐

ログイン試行回数の制限

自動ツールによるブルートフォース攻撃を防ぐには、一定回数を超えたログイン試行をロックアウトする設定が有効です。

スクロールできます

設定項目	推奨値	説明
最大試行回数	3～5回	これ以上はロックアウト
ロックアウト時間	15分～30分	ブルートフォースの効力を大きく削減
ロックアウト後の通知	有効	管理者にメールで警告を送る（プラグイン機能）

導入例（プラグイン）：Limit Login Attempts Reloaded
ポイント：
1. インストール＆有効化
2. 設定画面で「最大試行回数」「ロックアウト時間」を入力
3. ［変更を保存］→テストアタックで意図どおりロックされるか確認✅

二段階認証（2FA）の設定

パスワード漏洩時でも、ログインにはワンタイムコードが必要になるため、不正ログインを大幅に防止できます✨

主な方式
- 認証アプリ（TOTP）：Google Authenticator、Authy など
- メール／SMS：コードを受信して入力
導入手順（認証アプリ方式の例）
1. プラグインをインストール（例：Two Factor Authentication）
2. プラグイン設定で「TOTP」を有効化
3. スマホの認証アプリでQRコードをスキャン
4. 管理画面でバックアップコードを保存
5. ログアウト後、ログイン時にワンタイムパスコードを入力

ヒント：バックアップコードを紛失しないよう、印刷または安全なパスワード管理ツールに登録しましょう📋

CAPTCHA／画像認証の導入

ログインフォームにCAPTCHAを加えることで、自動ボットのアクセスをシャットアウトします。

スクロールできます

CAPTCHA方式	メリット	デメリット
Google reCAPTCHA	信頼性が高く、自動学習で精度向上	APIキー取得と設定が必要
シンプル画像問題	実装が簡単	セキュリティ強度は低め
math CAPTCHA	数式を解かせる仕組みでボット対策に有効	視覚的負担がある場合がある

導入例（プラグイン）：reCAPTCHA by BestWebSoft
設定手順
1. Google reCAPTCHA のサイトで APIキー を取得
2. プラグインをインストール＆有効化
3. プラグイン設定画面で「サイトキー」「シークレットキー」を貼り付け
4. ログインフォームへの適用を有効にし、テストログインで表示を確認✅

まとめ

ログイン試行制限：まずはブルートフォースをブロック
二段階認証：パスワード漏洩時の安全網
CAPTCHA：ボットによる自動ログインを防止

これらを組み合わせることで、WordPressの管理画面をより強固に保護できます！🚀

安全な運営のために

WordPressのログインURL変更から派生する各種セキュリティ対策を実践すれば、攻撃の入り口を大きく狭めることができます。

以下のポイントを押さえて、安全なサイト運営を心がけましょう。

最適な方法の選び方

手軽さ重視：
- WPS Hide Loginなど、設定がシンプルなプラグインを活用
総合的な対策：
- SiteGuardやAll‑In‑One SecurityでログインURL変更＋ログイン試行制限や通知も同時導入
高度カスタマイズ：
- functions.php＋専用ファイルでオリジナルのログインページを構築
サーバーレベル制御：
- .htaccessでリダイレクト＆ブロックを実装し、WordPress以外の環境でも制限可能

スクロールできます

選び方	利点	注意点
プラグイン利用	短時間で導入＆設定が完了	プラグイン更新時の互換性に注意
.htaccess編集	サーバー側での強制制御が可能	記述ミスでサイト全体に影響が出る恐れ
functions.phpカスタマイズ	高い自由度で独自仕様を実現	テーマ更新時のコード上書きリスクがある

定期的な見直しポイント

ログインURLの動作確認
- 変更後も想定どおりにアクセスできるか、月に一度はチェック🕒
プラグインのアップデート
- セキュリティ関連プラグインは最新版を維持し、新機能や脆弱性修正を取り込む
セキュリティログの確認
- ログイン試行やアクセスエラーのログに不審な動きがないか定期監視📈
追加対策の検討
- CAPTCHAや2FAの有効状況、サーバーのファイアウォール設定も合わせて見直す

✨ 一度設定したら終わりではなく、定期的なメンテナンスと状況把握がサイトの安全性を維持するカギ です！

今日ご紹介したステップを踏んで、安心・安全なWordPress運営を目指しましょう。

まとめ

ログインURLの変更はセキュリティの第一歩。デフォルトの「wp-login.php」をそのまま使い続けると、攻撃ツールに狙われやすくなります。
プラグイン利用（WPS Hide Login, SiteGuardなど）で簡単に変更でき、初心者でも5分以内に設定完了可能。
.htaccess編集やfunctions.phpカスタマイズでサーバー／テーマレベルの制御も実現できるため、より頑強な仕組みを構築したい方におすすめ。
トラブル時は落ち着いて対処。プラグイン無効化やバックアップからの復旧手順を押さえれば、アクセス不能やURL忘れにも迅速に対応できます。
定期的な見直しと追加対策（ログイン試行制限、2FA、CAPTCHAなど）を組み合わせることで、長期間安全に運営できるサイトが完成します。

今すぐ本ガイドを参考に、あなたのWordPressサイトをしっかり守りましょう！🚀🔐