WordPressの管理画面に毎日のように知らないIPからログインを試された形跡が残っていて、ヒヤッとした経験はありませんか。私はWeb制作を25年やってきて、自分のサイトでも顧客のサイトでも、その不正アクセスの入口が「adminというユーザー名」だったケースを何度も見てきました。
ユーザー名がadminのままだと、攻撃者は「あとはパスワードを当てるだけ」という状態になります。ログインに必要な2つの鍵のうち、片方をこちらから教えてしまっているようなもの。つまり、自分から攻撃の難易度を半分に下げているわけです。これは決して大げさな話ではなく、放置しているサイトほど不正ログインの試行ログがびっしり溜まっていきます。
かつてのWordPressはインストール時の管理者名がデフォルトでadminでした。その名残で今もadmin運用のサイトは多く、攻撃者はそこを狙い撃ちにしてきます。だからこそ、すでに使っているなら早めに作り直しておきたいところです。
この記事では、なぜadminユーザーが狙われるのかを整理したうえで、既存のadminを安全に削除する正しい手順と、あわせてやっておくべき2026年版のセキュリティ対策をまとめて解説します。
手順自体はそれほど難しくありません。ただ、投稿の引き継ぎをひとつ間違えると、何百本もの記事の著者が消し飛ぶという地味に怖い事故が起きます。そこだけは丁寧に進めましょう。WordPress公式ドキュメントの内容を裏取りしながら、初心者の方でも迷わないように書いていきます。読み終えるころには、今日のうちに手を打てる状態になっているはずです。
なぜadminユーザーは狙われるのか
かつてのWordPressは、インストール時の管理者ユーザー名がデフォルトでadminに固定されていました。その名残で、今でもadminのまま運用しているサイトは驚くほど多く残っています。攻撃者はそこを知っているので、まずadminを前提にパスワードを総当たりしてきます。
この「片っ端からパスワードを試す」やり方がブルートフォース攻撃(総当たり攻撃)です。特別な脆弱性を突くわけではなく、考えうる組み合わせをひたすら自動で入力していくという、ある意味で力技の手法です。人力では非現実的でも、プログラムに任せれば短時間で膨大な試行ができてしまいます。
ログインには「ユーザー名」と「パスワード」の2つが必要です。ところがユーザー名がadminだと判明していれば、攻撃者が破るべき鍵は実質パスワードの1つだけ。ユーザー名を推測されにくいものに変えるだけで、攻撃の手間は理屈のうえで何倍にもなります。これがadminを使い続けるべきでない、いちばんシンプルな理由です。
WordPress公式のセキュリティガイド(Hardening WordPress)でも、adminやwebmasterのような推測されやすいユーザー名は避けるよう明記されています。「みんなが使うから安全」ではなく、「みんなが使うから真っ先に狙われる」名前だと考えてください。
ちなみに、ユーザー名は記事の表示名(ニックネーム)とは別物です。表示名はいくらでも好きに変えられますが、ログインに使う「ユーザー名」そのものはWordPressの管理画面から後で変更できません。だからこそ、最初からadminを避けるか、すでに使っているなら作り直す必要があるわけです。
出典:WordPress公式:Hardening WordPress
adminユーザーを安全に削除する手順
前述のとおり、WordPressでは既存ユーザーの「ユーザー名」を管理画面から直接書き換えることはできません。そのため、adminをやめたいときの王道は「新しい管理者アカウントを作る → 投稿の著者をそちらへ引き継ぐ → adminを削除する」という流れになります。
また、ログイン中の自分自身のアカウントは削除できない仕様です。adminで今ログインしているなら、いったん新しい管理者でログインし直してから削除作業をする、という順番が必須になります。ここを知らないと「削除ボタンが見当たらない」と悩むことになります。
手順1:新しい管理者アカウントを作る
まずはadminに代わる管理者を1人用意します。名前は推測されにくいものにしてください(自分の名前そのものやサイト名も避けると無難です)。
- 管理画面の左メニューから「ユーザー」→「新規追加」を開く
- ユーザー名・メールアドレスを入力する(メールはadminと別のものを推奨)
- パスワードは自動生成された強固なものをそのまま使う
- 「権限グループ」で「管理者」を選択する
- 「新規ユーザーを追加」をクリックする
作成できたら、いったんログアウトして新しい管理者アカウントで必ずログインし直してください。ここでログインできることを確認しておかないと、adminを消したあとに「どちらでも入れない」という最悪の事態になりかねません。私は念のため、ブラウザのシークレットウィンドウで新アカウントのログインを別途確認してから次に進むようにしています。
手順2:adminを削除し、投稿を引き継ぐ
新しい管理者でログインできたら、いよいよadminの削除です。このとき表示される「投稿の引き継ぎ」の選択だけは、絶対に間違えないでください。
- 「ユーザー」→「ユーザー一覧」を開く
- ユーザー名「admin」にマウスを合わせ「削除」をクリックする
- 削除確認画面で「すべての投稿を以下のユーザーに割り当てる」を選ぶ
- プルダウンから手順1で作った新しい管理者を選択する
- 「削除を実行」をクリックする
ここで「すべてのコンテンツを削除」のほうを選んでしまうと、adminが書いた投稿・固定ページがまるごと消えます。長く運営したサイトほど記事数は数百〜数千になりますから、引き継ぎを選び忘れると取り返しがつきません。心配な方は、作業前にデータベースとファイルのバックアップを取っておくと安心です。
WordPress公式のユーザー削除機能でも、削除時に「投稿を別ユーザーへ再割り当てする」か「コンテンツごと削除する」かを選ぶ仕様だと案内されています。落ち着いて、必ず「再割り当て」を選んでください。なお、コマンドラインのWP-CLIが使える環境なら、wp user delete に --reassign オプションを付けることで、削除と引き継ぎを一度に実行できます。
# WP-CLIで admin を削除し、投稿を新管理者(ID:2)へ引き継ぐ例
wp user delete admin --reassign=2
出典:WordPress公式:wp user delete(WP-CLI)
adminの削除とあわせてやるべき防御策
ユーザー名を変えるのは大事な一歩ですが、それ単体で安心しきるのは禁物です。攻撃の手口は複数あるので、防御も重ねるのが鉄則です。ここからは、adminの削除とセットでやっておきたい2026年時点のベストプラクティスを紹介します。
強固なパスワードと2要素認証(2FA)
ユーザー名を隠しても、パスワードが弱ければ意味がありません。WordPress公式も、自動生成された長くランダムなパスワードと、強度メーターの活用を推奨しています。辞書に載っている単語、誕生日、サイト名のもじりなどは論外だと思ってください。
そのうえで、公式は2段階認証(2要素認証/2FA)の有効化を「追加の防御策として良い考え」として勧めています。これはパスワードに加えて、スマホアプリのワンタイムコードなどを要求する仕組みです。万が一パスワードが漏れても、もう一つの鍵がなければログインできません。「Two-Factor」「WP 2FA」といった定番プラグインで手軽に導入できます。正直、2FAを入れるだけで不正ログインの不安はかなり減ります。
ログイン試行回数の制限
ブルートフォース攻撃は「何度でも試せる」のが前提です。逆に言えば、試行回数に上限を設ければ攻撃は一気に成立しにくくなります。一定回数ログインに失敗したIPを一時的にロックするプラグイン(「Limit Login Attempts Reloaded」など)を入れておくと、総当たりを物理的に止められます。地味ですが効果は大きい対策です。
wp-loginとXML-RPCの保護
ログイン画面のwp-login.phpや管理画面そのものに、サーバー側でもう一枚の鍵をかけておくと安心です。WordPress公式も、wp-adminにBasic認証(BasicAuth)をかけて防御層を増やす方法を紹介しています。これを入れておくと、攻撃者やボットはまずこの認証で足止めされ、本体のログイン処理にたどり着けません。
もうひとつ気をつけたいのがxmlrpc.phpです。リモート投稿などに使われる仕組みですが、現在ではブルートフォースやDDoSの踏み台として悪用されることがあります。使っていないなら、サーバー設定でアクセスを止めてしまうのが手堅い対策です。Apacheなら.htaccessに次のように書く方法があります。
# xmlrpc.php へのアクセスを拒否する例(.htaccess)
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
ただし、JetpackやモバイルアプリなどXML-RPCを必要とする機能を使っている場合は止めると不具合が出ます。自分の環境で本当に使っていないかを確認してから設定してください。
関連記事:WordPressで特定ページにBasic認証をかける方法。functions.phpの使い方
関連記事:WordPressのPingback悪用DDoS攻撃とは|踏み台にならないための対策まとめ
本体・テーマ・プラグインの更新を欠かさない
セキュリティ対策の土台は、なんといっても更新です。WordPress公式も「常に最新版を保つこと」を強く求めています。古いバージョンには既知の脆弱性が残ったままになり、攻撃者にとっては格好の入口になるからです。本体だけでなく、テーマとプラグインもまとめて最新に保ちましょう。配布元は必ずwordpress.org公式とし、出どころの怪しい配布サイトからは入れないことも公式が注意しています。
信頼できるセキュリティプラグインを使う
ここまでの対策をひとつずつ手で入れるのが大変なら、総合的なセキュリティプラグインに任せるのも現実的です。WordPress公式は例として「Wordfence」「iThemes Security(現Solid Security)」「Shield」などのファイアウォール系プラグインを挙げています。ファイアウォール、ログイン制限、ファイル変更の監視などをまとめて担ってくれるので、初心者の方の最初の一歩としては心強い選択肢です。
あわせて、サーバー側のファイル権限を適切に設定しておくこともWordPress公式が推奨しています。パーミッションの考え方は別記事で詳しく解説しているので、気になる方はそちらも読んでみてください。
関連記事:WordPressのパーミッション設定でセキュリティを強化する方法
出典:WordPress公式:Hardening WordPress
まとめ:adminをやめることが防御の出発点
WordPressのセキュリティというと身構えてしまいがちですが、いちばん効くのは案外シンプルです。「推測されるユーザー名adminをやめる」こと、これが防御の出発点になります。
手順をもう一度おさらいします。新しい管理者アカウントを作り、その新アカウントでログインし直し、adminを削除するときに投稿を必ず新管理者へ「再割り当て」する。この引き継ぎを選び間違えなければ、記事を1本も失わずに安全な構成へ移行できます。作業前のバックアップも忘れずに。
そして、ユーザー名の変更はゴールではなくスタートです。強固なパスワードと2要素認証、ログイン試行回数の制限、wp-loginやXML-RPCの保護、そして本体・テーマ・プラグインの更新維持。この複数の鍵を重ねることで、攻撃者にとって割に合わないサイトになっていきます。一気に全部は大変なので、まずはadminの削除と2FA、自動更新の3つから始めるのがおすすめです。
25年Web制作をやってきた経験から言うと、被害に遭うサイトの多くは「対策をしていなかった」のではなく「基本だけを後回しにしていた」サイトです。高度な攻撃にやられるより、初歩的な隙を突かれて乗っ取られるケースのほうが圧倒的に多い。難しいことに手を出す前に、まずは入口のadminを閉じる。これが費用対効果のいちばん高い一手です。
もし今あなたのサイトのユーザー名がadminのままなら、この記事を閉じる前に新しい管理者アカウントだけでも作っておくことをおすすめします。あとは引き継ぎを選んで削除するだけ。今日できるところから一つずつ手を打って、攻撃者にとって「割に合わないサイト」にしていきましょう。