個人的に管理しているWordPress環境を運用している中で、
不正ログインを試みた形跡と思われるアクセスログが大量に記録されています。
本記事では、
・実際に確認できたログの内容
・そこから見えてきた現状
について整理します。
特定の対策を推奨することを目的としたものではなく、
現在起きている状況の共有を目的とした記事です。
不正ログインを試みた形跡が大量に残っていた
WordPressのログを確認すると、
管理画面(wp-admin や wp-login.php)に対して、
短時間に繰り返しログインを試みているアクセスが記録されていました。
試行回数は1回や2回ではなく、
一定の間隔で何度も繰り返されており、
人の手による操作というより、
自動化された仕組みで実行されているような挙動でした。
アクセス元は海外クラウドが中心
ログに残っていたアクセス元を確認すると、
海外のグローバルIPアドレスからのものが大半を占めていました。
国や地域は特定しませんが特定の1か所ではなく、
複数の国のクラウドサービス帯のIPアドレスから分散してアクセスされている点も特徴的でした。
この挙動から、
- 特定サイトを狙ったものではない
- インターネット上のWordPressサイトを広く探索している
- ログインできる環境を機械的に探している
といった、
スキャンに近い動きであることが推測されます。
現時点では侵入は防げている
今回確認した環境では、
- 複雑なパスワードの設定
- 二要素認証(第二認証)の導入
- XML-RPC へのアクセス制限
といった対策は実施していました。
そのため、
ログ上は不正ログインの試行が確認できるものの、
実際に管理画面へ侵入された形跡はありません。
ただし、
これらの対策も行っていなかった場合、
突破されていた可能性は否定できません。
同様の事例は個人環境に限った話ではない
今回の件は、
個人的に管理しているWordPress環境で確認されたものですが、
同様の動きは 世間一般でも報告されています。
現在進行形で
- WordPressを狙った不正ログイン・サイト改ざんの増加
- 海外IPからの大量アクセス
- 特定プラグインや設定を狙った攻撃
といった内容の記事や注意喚起が、
複数の技術系メディアやブログで見られるようになっています。
例えば以下のような記事です。
引用元:CCSI
EmEditor 年末年始に不正アクセス マルウェア含むインストーラー配布 WordPress悪用引用元:TokyoBlackHatNews
悪意ある管理者アクセスを可能にするバックドア脆弱性により、2万件のWordPressサイトが侵害引用元:セキュリティ対策Lab
WordPress プラグイン「King Addons for Elementor」に管理者権限を奪取される深刻な脆弱性(CVE-2025-8489)、すでに攻撃が活発化
つまり、
「特定の個人やサイトだけが狙われている状況ではない」という点は、
押さえておく必要があります。
添付しているログについて
本記事には、
実際に記録されていた
- 私個人のサイト(WordPress)への不正ログイン試行のログ画面
- 当サイト(WordPress)への不正ログイン試行のログ画面
を1点づつ添付します。
【当サイトへの不正ログイン試行】
【個人サイトへの不正ログイン試行】
※私個人サイトへの不正ログイン試行が直近もありますね。といいますか、ほぼ毎日あります。
具体的なIPアドレスや詳細は伏せていますが、
短時間に繰り返されるアクセスや、
海外IPからの試行がどのように記録されるかの
参考イメージとして確認できます。
所感
WordPressは利用者が多く、
その分、攻撃対象としても常に狙われやすい状況にあります。
今回のログを確認して感じたのは、
「いつか狙われる」ではなく、
「すでに常に試されている」 という状態が前提になっている、
という点でした。
特別なサイトでなくても、
インターネット上に公開されている以上、
自動化された不正アクセスの対象になる可能性は十分にあります。
個人でWordPressを利用している方も、
業務上WordPressのセキュリティを担当している方も、
本記事が現状を把握するための一つの情報として参考になれば幸いです。
コメント