ロリポップ固定IPアクセス byGMOペパボ
WordPressのIPアドレス制限を徹底解説|.htaccessの設定例から管理をラクにする固定IP活用法まで

WordPressのIPアドレス制限を徹底解説|.htaccessの設定例から管理をラクにする固定IP活用法まで

基礎知識

WordPressでWebサイトを運用するうえで、もっとも警戒すべきトラブルが管理画面への不正アクセスです。

サイトの改ざんや乗っ取り、個人情報の漏洩など、実際に多くの被害が発生している一方で、IDとパスワードによる認証だけでは、そのリスクを排除しきれません。

そこで有効なのが、接続元を限定する「IPアドレス制限」です。ただし、いざ導入しようとすると「リモートワークのメンバーがアクセスできなくなった」「IPアドレスが変わるたびに設定し直している」といった運用の壁にぶつかりがちです。

この記事では、WordPressにIPアドレス制限をかける3つの方法(.htaccess/サーバー機能/プラグイン)を設定例つきで解説したうえで、その運用負担をまるごと解消できる『ロリポップ!固定IPアクセス』の活用法を、実際の管理画面キャプチャを交えて紹介します。

この記事でわかること

  • WordPressが不正アクセスに狙われやすい理由と、実際に起こる被害
  • IPアドレス制限のやり方3種類(.htaccessの設定例・サーバー機能・プラグイン)と比較
  • リモートワークや外部委託でIPアドレス制限の運用が破綻する理由
  • 固定IPアドレスで「安全対策」と「管理負担の軽減」を両立する具体的な手順

WordPressが不正アクセスに狙われやすい理由

WordPressは、世界のWebサイトの4割以上で使われているといわれる、圧倒的なシェアを持つCMSです。

カスタマイズ性が高く、Web制作やサイト運用に広く利用される一方で、利用者が多いからこそサイバー攻撃の標的になりやすいという宿命を抱えています。

さらにWordPressは、ソースコードが公開されている「オープンソース」のソフトウェアです。誰でも自由に開発・改変できるメリットの裏返しとして、攻撃者にとっても「システムの弱点(脆弱性)や構造を調べやすい」という側面があります。

とくに狙われやすいのが、次の3つの「入り口」です。

狙われる入り口 攻撃の内容
wp-login.php(ログイン画面) URLの構造が全サイト共通のため、ログイン画面の場所が推測されやすく、パスワードの総当たり攻撃(ブルートフォースアタック)を受けやすい。
xmlrpc.php(外部連携用ファイル) スマホアプリ連携などに使われる仕組みを悪用され、通常のログイン画面を経由しない認証試行や、DDoS攻撃の踏み台に使われることがある。
プラグイン・テーマの脆弱性 更新されていないプラグインやテーマの脆弱性を突かれ、管理権限を奪われたり、不正なファイルを設置されたりする。

そして、万が一不正アクセスを許してしまうと、次のような被害につながります。

不正アクセスによる被害例

  • Webサイトの乗っ取り
    ログイン情報を書き換えられて管理画面に入れなくなり、サイトの制御を失う。
  • Webサイトの改ざん・マルウェア配布
    ページを書き換えられ、フィッシングサイトへの誘導や、訪問者の端末をウイルスに感染させる「踏み台」にされる。
  • 機密情報・個人情報の漏洩
    問い合わせデータや会員情報などがデータベースから盗まれ、流出する。
  • SEO・ブランドへのダメージ
    改ざんを検知した検索エンジンやブラウザに「危険なサイト」として警告表示され、検索順位や信頼が大きく毀損される。

被害はサイトの規模を問いません。復旧の手間や費用はもちろん、顧客を巻き込めば損害賠償や取引停止に発展するおそれもあります。だからこそ、WordPressの運用では「侵入されてから対処する」のではなく「入り口で防ぐ」対策が必須なのです。

パスワード認証だけでは防ぎきれない理由

「複雑なパスワードを設定しているから大丈夫」と思われがちですが、IDとパスワードだけに頼る運用には、次のようなリスクが残ります。

パスワード認証に潜むリスク

  • 推測されやすいパスワードの混入
    メンバーの誰か一人でも簡単なパスワードを設定すれば、そこが突破口になる。
  • フィッシング詐欺・使い回しによる流出
    偽のログイン画面や、他サービスから漏れたパスワードの使い回しで認証情報が漏れる。
  • 総当たり攻撃(ブルートフォースアタック)
    自動プログラムがID・パスワードの組み合わせを機械的に試し続け、強引に突破する。

どれほど厳重な社内ルールを定めても、人的ミスや外部からの攻撃をゼロにはできません。「パスワードは漏れる前提」で、その先の防御壁を用意しておくことが重要です。

WordPressの最有力対策「IPアドレス制限」とは

そこで有効性が高いのが、接続元を限定する「IPアドレス制限」です。

IPアドレス制限とは?

あらかじめ許可した特定のIPアドレス(インターネット上の住所)以外から、管理画面へのアクセスを遮断する仕組みです。

WordPressの管理画面(wp-login.phpwp-admin)に設定すれば、許可されていない接続元はログイン画面にすらたどり着けなくなります

IPアドレス制限の仕組み。許可した固定IPアドレスからのアクセスだけがWordPress管理画面に届き、第三者のアクセスは遮断される

IPアドレス制限のイメージ:許可した接続元以外はログイン画面にすら到達できない

この対策の優れている点は、万が一IDやパスワードが漏洩しても、許可されていない場所からは不正ログインできないことです。パスワード認証の手前に、もう1枚の強力な壁を築けます。

メモ:サイトの閲覧者には影響なし

IPアドレス制限をかけるのは管理画面だけです。公開しているサイトのページは、今までどおり世界中の誰でも閲覧できます。「制限したらお客様がサイトを見られなくなるのでは?」という心配は不要です。

WordPressにIPアドレス制限をかける3つの方法

WordPressにIPアドレス制限を導入する方法は、大きく分けて3つあります。それぞれの特徴を比較したうえで、具体的な設定方法を解説します。

方法 難易度 柔軟性 向いているケース
① .htaccessで設定 どのレンタルサーバーでも使える。制限対象やIPを細かく制御したい場合に最適。
② サーバーの機能で設定 利用中のサーバーにIP制限・ログイン保護機能がある場合、画面操作だけで完結。
③ プラグインで設定 サーバー設定を触れない場合の代替策。ただしプラグイン自体の管理も必要になる。

方法1:.htaccessで設定する(設定例つき)

もっとも確実で汎用性が高いのが、サーバーの設定ファイル「.htaccess」による制限です。Apache系のWebサーバーを使うレンタルサーバーであれば、サーバー会社を問わずほぼ共通の書き方で設定できます

ログイン画面(wp-login.php)を制限する

WordPressをインストールしたディレクトリの .htaccess に、以下を追記します。

# wp-login.php へのアクセスを特定IPだけに許可
<Files wp-login.php>
    Require all denied
    Require ip 203.0.113.10  # ←許可する固定IPアドレスに書き換える
</Files>

メモ:Apacheのバージョンによる書き方の違い

上記はApache 2.4系の記法です。古い2.2系のサーバーでは order deny,allow / deny from all / allow from 203.0.113.10 という記法を使います。利用中のサーバーの仕様を確認してください。

管理画面ディレクトリ(wp-admin)を制限する

wp-admin ディレクトリの中に、新しく .htaccess を作成して以下を記述します。

# wp-admin 配下を特定IPだけに許可
Require all denied
Require ip 203.0.113.10

# テーマやプラグインが利用する admin-ajax.php は除外して許可
<Files admin-ajax.php>
    Require all granted
</Files>

ハマりやすいポイント:admin-ajax.php の除外

wp-admin 配下にある admin-ajax.php は、公開ページ側のテーマやプラグイン(お問い合わせフォーム、いいねボタンなど)からも呼び出されます。ここまで制限してしまうとサイトの表示や機能が壊れることがあるため、上記のように除外設定を入れておくのが安全です。

xmlrpc.php も忘れずに制限する

見落とされがちですが、外部連携用の xmlrpc.php も攻撃の常連です。スマホアプリや外部サービスとの連携を使っていなければ、まとめて制限しておきましょう。

# xmlrpc.php へのアクセスを遮断(利用していない場合)
<Files xmlrpc.php>
    Require all denied
</Files>

メモ:ロリポップ!レンタルサーバーの場合

『ロリポップ!レンタルサーバー』なら、FTPソフトを使わなくても「ロリポップ!FTP」やファイルマネージャーから .htaccess をブラウザ上で直接編集できます。編集前にはファイルのバックアップ(コピー)を取っておきましょう。

方法2:レンタルサーバーのセキュリティ機能を使う

多くのレンタルサーバーには、管理画面の操作だけでWordPressのログイン保護やアクセス制限を設定できる機能が用意されています。

たとえば『ロリポップ!レンタルサーバー』には、海外のIPアドレスからのログイン試行を遮断する「海外アタックガード」やWAF(Webアプリケーションファイアウォール)が用意されており、.htaccessを書かずに攻撃の大半を減らせます。他社のサーバーでも、同種のIP制限・ログイン保護機能が提供されている場合があります。

手軽な一方で、設定できる内容や柔軟性はサーバー側の仕様に依存します。「国内の未許可IPからのアクセス」までは防げないケースも多いため、確実に接続元を絞りたい場合は方法1(.htaccess)との併用がおすすめです。

方法3:セキュリティプラグインを使う

「SiteGuard WP Plugin」「All In One WP Security」などのセキュリティプラグインでも、ログインページの保護やIPアドレスによる制限が設定できます。

サーバーの設定ファイルを触らずに導入できる反面、以下の点には注意が必要です。

プラグイン方式の注意点

  • プラグイン自体が攻撃対象になる
    更新が止まったプラグインは脆弱性の温床になります。導入したら必ず最新版を維持しましょう。
  • WordPressに侵入された後では無力
    プラグインはWordPressの内側で動くため、サーバーレベル(.htaccess)の制限より防御の層が浅くなります。
  • 設定ミスで自分が締め出されることがある
    復旧にはFTPでのプラグイン無効化が必要になるため、操作手順を理解してから導入しましょう。

ここまでの3つの方法はいずれも有効ですが、どの方法を選んでも共通してぶつかる壁があります。それが「許可するIPアドレスをどう管理するか」という運用の問題です。

IPアドレス制限の運用が難しくなる理由

オフィスの固定回線からだけWordPressを更新する環境なら、IPアドレス制限の運用はシンプルです。しかし、現代の働き方では次の3つのシーンが大きな課題になります。

運用が破綻しやすい3つのシーン

  • リモートワークの「動的IP」問題
    一般的な自宅回線は接続のたびにIPアドレスが変わる「動的IP」。一度許可しても、数日後には管理画面にアクセスできなくなります。
  • 外部パートナーのIPアドレス管理
    社外のライターや制作会社に更新を委託している場合、全員の接続元IPを正確に把握し続けるのは現実的ではありません。
  • 外出先・出張先からの緊急対応
    モバイル回線や出張先のWi-Fiは当然未許可のため、緊急のサイト修正が必要でもアクセスそのものが遮断されます。

さらに管理者側には、こんな負担がのしかかります。

メンバーのIPが変わるたびに発生する.htaccessやサーバー設定の書き換え作業。退職者・契約終了したパートナーのIPの削除漏れリスク。放置された古い許可IPは、将来まったく別の第三者に割り当てられる可能性があり、削除漏れはセキュリティホールの放置と同じです。

「セキュリティのために導入したIPアドレス制限が、管理者の重荷になって形骸化する」——これがIPアドレス制限の最大の落とし穴です。

なお、リモートワーク環境全体のアクセス管理(SaaSや社内システムを含む)については、関連記事『ロリポップ!固定IPアクセス』でリモートワーク環境のセキュリティを強化する方法で詳しく解説しています。

『ロリポップ!固定IPアクセス』で安全対策と負担軽減を両立

この運用課題をまるごと解決するのが、『ロリポップ!固定IPアクセス』です。

メンバー全員が専用アプリ(WireGuard)経由で接続するだけで、どこから作業しても「同じ1つの固定IPアドレス」からのアクセスに一本化されます。あとはその固定IPだけをWordPress側で許可すれば、IPアドレス制限の運用は完成です。

導入前:メンバーごとに異なる動的IPアドレスで接続しており、許可リストの管理が複雑

導入後:全員が同じ固定IPアドレスで接続するため、WordPress側の許可設定は1つで済む

導入前後の違い:バラバラだった接続元が「1つの固定IP」にまとまる

『ロリポップ!固定IPアクセス』がWordPress運用に向いている理由は、次の5つです。

  1. どこからアクセスしてもIPアドレスが変わらない:自宅・外出先・スマホでも常に同じ固定IP。動的IP問題が消滅します。
  2. .htaccessの設定は初回の1回だけ:以降のメンバー増減でサーバー側の設定変更は不要です。
  3. 退職・端末紛失時は管理画面から即遮断:該当ライセンスの削除や接続情報の再生成だけで対応完了。パスワードの全体変更は不要です。
  4. 高速VPN「WireGuard」採用で作業が快適:国内最安値クラス(月額490円/税込539円〜)※かつVPN接続時の応答速度も最速※。画像アップロードやプレビュー確認の多いWordPress作業でもストレスがありません。
  5. 運用を助ける管理機能が標準搭載:接続情報のメール配布、接続ログのCSV出力(最大6ヶ月保存)、ルーティング設定、IDaaS連携(Okta / Microsoft Entra ID / OneLogin)まで追加費用なし。

※ 国内の主要なVPN型固定IPアドレス提供サービスとの比較・自社調べ(料金:2026年5月18日時点、速度:2026年5月12日〜14日の実測調査に基づく平均値)。詳細は公式サイトの注意事項をご確認ください。

メモ:どのレンタルサーバーのWordPressでも使える

『ロリポップ!固定IPアクセス』は「接続元を固定IP化する」サービスなので、WordPressを運用しているサーバーはロリポップ!以外でもOK。エックスサーバーやさくらインターネットなど、他社サーバーで運用中のサイトにもそのまま導入できます。

ライセンスとは

固定IPアドレスへ接続するために必要な利用枠のこと。接続する端末1台につき、1ライセンスが必要です。1つの固定IPに複数のライセンスを紐づけられるため、チーム全員が同じ固定IPを使えます。

WordPressにIPアドレス制限を導入する手順(固定IP活用版)

ここからは、『ロリポップ!固定IPアクセス』を使ってWordPressにIPアドレス制限を導入する流れを、実際の画面キャプチャを交えて解説します。

導入手順(最短で当日中に完了)

  1. 手順1:【管理者】固定IPを契約し、ライセンスを発行・配布する
  2. 手順2:【利用者】接続用アプリ(WireGuard)を設定する
  3. 手順3:【管理者】WordPress側で固定IPアドレスを許可する
  4. 手順4:【利用者】いつものブラウザでWordPressにログイン

手順1:【管理者】固定IPを契約し、ライセンスを発行・配布する

1

『ロリポップ!固定IPアクセス』に申し込みます。Webで完結し、最短5分で固定IPアドレスが発行されます。契約が完了すると、管理画面に固定IPアドレスが表示されます。

ロリポップ!固定IPアクセスの管理画面。契約した固定IPアドレスとプラン・ライセンス数が一覧表示される
2

固定IPアドレスをクリックしてライセンス一覧を開き、WordPressを更新するメンバーごとにライセンスを割り当てます。「佐藤」「田中」のように利用者が分かる名前を付けておくと管理がラクです。

ライセンス一覧画面。メンバーごとに名前を付けて管理でき、メール送信ボタンから接続情報を配布できる
3

各ライセンスの「メール送信」で、メンバー宛に接続情報を直接配布します。「詳細」からは、PC用の接続設定ファイルのダウンロードや、スマホ用QRコードの表示も可能です。

ライセンス詳細画面。PC用の接続設定ファイルのダウンロードと、モバイル用QRコードの表示ができる(QRコードはサンプルです)

手順2:【利用者】接続用アプリ(WireGuard)を設定する

WordPressを更新するメンバー(社内スタッフ・外部パートナー)各自の端末で行う手順です。WordPress側に制限をかける前に、全員がこの設定を完了させておきましょう

1

お使いの端末にWireGuardアプリ(無料)をインストールします。Windows・macOS・iOS・Androidに対応しています。

2

アプリを起動し、「ファイルからトンネルをインポート」で管理者から届いた接続設定ファイルを読み込みます。スマホの場合はQRコードを読み取るだけです。

WireGuardアプリで「ファイルからトンネルをインポート」をクリックする画面
3

追加されたトンネルの「有効化」をクリックし、状態が「有効」になれば完了。以降、この端末の通信は固定IPアドレス経由になります。

WireGuardのトンネルが有効になった状態の画面

メモ

アプリのインストールと設定は初回のみ。次回以降は、アプリで「有効化」するだけで固定IP経由の接続に切り替わります。

手順3:【管理者】WordPress側で固定IPアドレスを許可する

メンバー全員の接続を確認したら、WordPress側にIPアドレス制限を設定します。前述の3つの方法のいずれでも構いませんが、ここでは汎用性の高い .htaccess での設定例を示します。

# ログイン画面を固定IPアドレスだけに許可
<Files wp-login.php>
    Require all denied
    Require ip 203.0.113.10  # ←契約した固定IPアドレス
</Files>

# 外部連携を使わない場合は xmlrpc.php も遮断
<Files xmlrpc.php>
    Require all denied
</Files>

契約した固定IPアドレスは、管理画面のIPアドレス一覧(手順1)でいつでも確認できます。

業務ストップを防ぐためのポイント

WordPressへのIPアドレス制限を有効化するときは、万が一に備えて以下を徹底してください。

  • メンバー全員の接続確認が終わってから制限をかける
    WireGuardの設定が済んでいないメンバーがいる状態で制限を始めると、その人は管理画面から締め出されます。
  • 業務が落ち着いた時間帯に作業し、まず管理者が検証する
    夜間や休日など更新作業が少ない時間帯を選び、制限直後に管理者自身がログインできることを確認しましょう。
  • すぐに切り戻せる状態を維持する
    編集前の .htaccess のバックアップを残し、トラブル時は即座に元へ戻せるようにしておきます。とくに翌朝、メンバーが一斉にログインするタイミングはエラーが起きやすいので注意が必要です。

手順4:【利用者】いつものブラウザでWordPressにログイン

設定完了後、利用者側での特別な操作は一切ありません。

WireGuardが有効になっていれば、普段使っているブラウザの通信が自動的に固定IPアドレス経由になり、いつもどおりWordPressのログイン画面・管理画面にアクセスできます

一方、未許可の接続元からのアクセスはログイン画面にすら到達できません。これで「使い勝手はそのまま、入り口だけ堅牢」なWordPress運用環境の完成です。

運用開始後のメンテナンス(増員・退職・端末紛失)

導入後のメンテナンスも、すべて『ロリポップ!固定IPアクセス』の管理画面だけで完結します。WordPressや.htaccessの再設定は一切不要です。

ケース 対応方法
メンバーが増えた 管理画面からライセンスを追加し、接続情報を配布するだけ。料金は日割り計算なので増員のタイミングを気にする必要はありません。
メンバーが退職・契約終了 該当ライセンスを削除するだけで、その端末からのアクセスを即遮断。WordPressのパスワード全体変更は不要です(アカウント自体の削除・権限見直しは併せて実施しましょう)。
端末を紛失した 該当ライセンスの「接続情報の再生成」で、紛失端末に残った接続情報を即無効化。新しい接続情報を再配布すれば復旧完了です。

ライセンス追加画面。プランを選択すると注文内容と日割り料金が表示される

ライセンス追加:日割りの支払額を確認しながら数クリックで追加できる

また、ログ機能を有効にすれば接続ログをCSVでダウンロードでき(保存期間は最大6ヶ月)、「退職者のライセンスが使われていないか」「不自然な時間帯の接続がないか」の定期チェックにも役立ちます。

ログ機能の画面。VPNサーバーへの接続ログをCSVで保存・ダウンロードできる

ログ機能:接続ログをCSVで出力して月次の監査に活用できる

IPアドレス制限と併用したいWordPressの基本セキュリティ

IPアドレス制限は「入り口」を守る強力な対策ですが、それだけで万全ではありません。以下の基本対策と組み合わせて、防御を何層にも重ねる「多層防御」を徹底しましょう。

対策 ポイント
本体・プラグイン・テーマの更新 脆弱性対策の基本中の基本。使っていないプラグイン・テーマは削除し、自動更新を活用します。
強力なパスワード+二要素認証 制限されたネットワーク内でも、推測されにくいパスワードを設定。二要素認証プラグインの併用でさらに強固に。
ユーザー権限の最小化 スタッフや外部パートナーには「編集者」「投稿者」など業務に必要な最小限の権限だけを付与します。
WAF・海外アタックガード レンタルサーバー側の防御機能は基本的にすべて有効化しておきましょう。
定期バックアップ 万が一の改ざん・障害に備え、サーバーとデータベースの自動バックアップを設定します。
ログイン履歴・接続ログの確認 WordPressのログイン履歴と固定IPアクセスの接続ログを定期的に確認し、異常を早期発見します。

よくある質問(FAQ)

IPアドレス制限をすると、サイトの閲覧者にも影響がありますか?

影響ありません。制限をかけるのは wp-login.phpwp-admin などの管理画面だけで、公開ページは今までどおり誰でも閲覧できます。

スマートフォンやタブレットからWordPressを更新したい場合は?

スマートフォンにもWireGuardアプリ(無料)をインストールし、管理画面で表示されるQRコードを読み取って接続すれば、外出先からでも固定IPアドレス経由で管理画面にアクセスできます。

外部のライターや制作会社にも使ってもらえますか?

利用できます。外部パートナーにライセンスを1つ割り当て、接続情報をメールで配布するだけです。契約終了時は該当ライセンスを削除すれば、その時点でアクセスを遮断できます。

自宅のIPアドレスをそのまま許可リストに登録してはだめですか?

おすすめしません。一般的な家庭用回線は「動的IP」のため接続のたびにIPアドレスが変わる可能性があり、そのたびに.htaccessの修正が必要になります。また、過去に許可したIPアドレスが将来第三者に割り当てられるリスクもあります。

エックスサーバーなど他社サーバーで運用中のWordPressでも使えますか?

使えます。『ロリポップ!固定IPアクセス』は接続元を固定IP化するサービスなので、WordPressがどのレンタルサーバーにあっても関係ありません。.htaccessやサーバーのIP制限機能で固定IPアドレスを許可すれば、同じ運用が実現できます。

無料で試せますか?

お申し込み月+翌月末まで、最大2ヶ月間無料でお試しできます(ひとつ目の固定IPアドレス・上限10ライセンスまで)。実環境と同じ条件で通信速度や使い勝手を確認してから本格導入できます。

まとめ:WordPressの安全運用は「入り口の制限」から

WordPressの不正アクセス対策として、IPアドレス制限は非常に効果の高い手段です。ポイントを振り返りましょう。

『ロリポップ!固定IPアクセス』は、月額490円(税込539円)から利用でき、最大2ヶ月の無料お試しも可能。国内最安値クラスの料金と高速なWireGuard接続で、WordPressの更新作業を妨げません。

「セキュリティは強く、運用はラクに」。あなたのWordPressサイトの安全な運用環境づくりに、ぜひお役立てください。

リモートワーク全体のアクセス管理を見直したい方は、関連記事『ロリポップ!固定IPアクセス』でリモートワーク環境のセキュリティを強化する方法もあわせてご覧ください。

⇒【ロリポップ!固定IPアクセス】無料で試してみる(最大2ヶ月)

⇒ 導入のご相談・お問い合わせはこちら

※無料お試しはひとつ目の固定IPアドレスが対象です(上限10ライセンスまで)。

おすすめの記事

どこからでも簡単に
固定IPアドレスでアクセス

導入相談