ワードプレスサイトで５０４エラーや４０３エラーが多発するようになった原因はブルートフォースアタックかもしれません

投稿:2026年2月4日

ワードプレスサイトで５０４エラーや４０３エラーが多発するようになった原因はブルートフォースアタックかもしれません。こちらの症状や対処方法を解説いたします。

ブルートフォースアタックでサーバーが過負荷に

ブルートフォースアタックとは、ワードプレスの管理者のID(取得は比較的容易です)と、何万件ものよく使われるパスワードの辞書を使い、ログイン施行を繰り返して、そのうちパスワードが合致してログインが成功するのを試みる攻撃手法の事です。

パスワードが十分強力な場合は、ログインが成功することはございませんが、この攻撃を受けると場合によっては何万回ものアクセスが短時間にサーバーに引き起こされる為、５０４エラー(※)や４０３エラーが頻発することになる場合がございます。

５０４エラーや４０３エラーとは？
サーバーが過負荷でデータを取得したりサイトを表示する前に処理を停止してしまうエラーが５０３エラーとなります。サーバーによっては(大手共用サーバー等)、過負荷時に自動的に処理を弾いてしまう４０３エラーになることもございます。

サイトがブルートフォースタックを受けているか調べるには？

ブルートフォースタックを受けているか調べるには、サーバーのログを見る方法があります。wp-login.phpやxmlrpc.phpに過剰なアクセスが記録されている場合ブルートフォースタックを受けている可能性があります。

セキュリティープラグインで、ブルートフォースアタックを検出することも可能です。
【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]　の　ハックモニターを有効にする機能で、ブルートフォースアタックを検出できます。

記録されたブルートフォースアタックは下図のようになります

ブルートフォースアタックによる過負荷を解消するには

いくつかブルートフォースアタックによるサーバーの過負荷を解消する対策をご紹介いたします。

・ログの肥大化を解消します
ブルートフォースアタックにより、サイトのアクセスログやアクセス解析、セキュリティーログが肥大化して、サーバーの負荷を高めてしまっている場合がございます。
(データベースに数百万件のログがあると、新たなログの書き込みするだけでサイトの速度が大きく低下したり５０３エラーが発生することがございます)
この場合、ログを減らしていただいたり、新たなログが記録されないようにする事で、５０３エラーを出にくくすることが可能です。

・ログイン画面を保護します
ワードプレスのブルートフォースアタックを受けているwp-login.phpやxmlrpc.phpへセキュリティプラグイン等でアクセスできないようにしたり、過剰アクセスをできないようにする事によってログイン画面を保護します。
またブルートフォースアタックを行っているIPを直接ブロックすることで、過剰アクセスを引き起こしているハッカーのサイトへのアクセスを遮断することも有効な方法でございます。

参考
ワードプレスのブルートフォースアタックはログイン画面のセキュリティーだけでは防げない理由と対策

・海外からのアクセスをHTACCESSファイルで禁止します
ブルートフォースアタックは多くの場合海外のIP経由で行われます。
https://www.cgis.biz/tools/access
のサイトから、海外からのアクセスを禁止するHTACCESSをダウンロードすることが可能です。こちらの内容をワードプレスの既存のHTACCESSの上にコピペしてサーバーにアップロードします。
ただ、このリストが４０００行以上あり、IPをそれだけ検査してマッチする為、サーバーの速度低下を引き起こす可能性もあり、また、検索エンジン等も弾いてしまう可能性がありあまりお勧めできません。

※ちなみに検索エンジンだけを許可するように上記HTACCESSをカスタマイズすることも可能です。検索エンジンのアクセスを許可するいくつかの行を追加します。

SetEnvIf User-Agent "Googlebot" allowbot←追加
SetEnvIf User-Agent "msnbot" allowbot←追加
SetEnvIf User-Agent "bingbot" allowbot←追加
SetEnvIf User-Agent "Slurp" allowbot←追加

order deny,allow
deny from all

allow from env=allowbot←追加

allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
allow from 1.5.0.0/16
allow from 1.21.0.0/18
.
.
.

ブルートフォースアタックを防ぐには、セキュリティープラグインによるwp-login.phpやxmlrpc.phpの保護機能の活用や、ハッカーのIPを直接アクセス禁止していくことをお勧めいたします。

ご参考になりましたら幸いです。

WordPress ワードプレスのマルウェア駆除や・セキュリティー対策のご相談・ご依頼はWPドクターまでお気軽にお送りください

著者 WPドクターセキュリティチーム (リーダー吉田僚太)

ハッキングされたワードプレスサイトのマルウェア駆除、セキュリティ対策を年間数百件請け負う。ワードプレスサイトのマルウェア感染により、被害を受けるサイトを多数見てきた経験から、ワードプレスサイトのハッキング被害をなんとか減らしたいとの思いから日本で初めてワードプレスのマルウェア検出プログラムを開発。好評を経て数千回ダウンロードされたことから、その後WPドクターマルウェア検出プラグインにプログラム進化させ、リリース。プラグインは現在数万サイトで利用されている。１００万件を超えるマルウェアファイルの収集分析、その検出パターンの生成、脆弱性データベースの構築など、プラグインの機能や検出力強化を担当している。また個別マルウェア駆除の依頼をより高精度に行うための作業フローの開発・洗練や再感染を防ぐ為のセキュリティー対策方法を日々研究している。

著者の記事一覧(カテゴリーセキュリティ・脆弱性・マルウェア駆除)
Wordpress.org公式アカウント