WordPressはどのディレクトリに入れるのが正解か？管理画面の露出対策と安全運用

こんにちは、ウェブロードの山口です。

お客様のWordPressサイトを制作する際に、サーバーのFTPディレクトリを確認させていただいています。その際、FTP内のフォルダの整理具合で、WordPressをインストールする場所を決定しています。

お客様が今後もウェブを活用して行かれる方か、あるだけのサイトで問題ない方か、既に様々なシステムファイルをサーバー内で展開している会社か、それによって提案が異なる場合があります。

契約しているサーバーの、どのディレクトリにWordPressを設置すればよいのでしょうか？

具体的には、ドメイン直下（ルートディレクトリ）にそのまま配置するか、それともフォルダを一つ作ってそこに入れるべきかの 2種類の選択肢があります。

今回はこのテーマについて、URLの基本構造から管理画面のセキュリティリスク、そして私たちが現場で推奨している実務的な配置パターンについて、最新の事情も交えて整理してお伝えします。

URLとディレクトリの基本と結論

Webサイトのトップページ（例：https://example.com/）にアクセスしたとき、裏側では自動的に index.php や index.html というファイルが読み込まれています。

WordPressを何も考えずに標準インストールすると、ドメインの最も上の階層（ドキュメントルート）にシステムファイル一式が展開されます。

その場合、WordPressの管理画面は /wp-admin/、ログイン画面は /wp-login.php という場所に配置されます。

結論から書きますと、ドメイン直下にインストールしても運用自体に問題は全くありません。

しかし、長くサイトを運用する場合やセキュリティ管理を考慮すると、「1階層下に入れる（サブディレクトリに入れる）」構成の方が圧倒的におすすめです。

具体的には、公開URLは https://example.com/ のままにしつつ、WordPressのシステム本体は /wp/ などのディレクトリ下に入れて管理する形です。

これはWordPress公式ドキュメントでも推奨されている構成の一つです。

→　WordPress を専用ディレクトリに配置する
公式URL（日本語版）： https://ja.wordpress.org/support/article/giving-wordpress-its-own-directory/

弊社でも、お客様サイトのリニューアルの際に、専用ディレクトリを設けて、テストサイトを構築することがほとんどです。

これは同じサーバー環境での制作になり、制作時に技術的な問題が起きにくく、公開までの手順も、お客様の確認もスムーズに進めることができるからです。

ちなみに弊社でのリニューアルの手順やディレクトリの使いかたはこちらの記事でご紹介しております。

【WordPress技術的な補足（上記記事をご参照ください）】

この構成を実現するには、WordPressの管理画面設定で「WordPressアドレス（URL）」を /wp 付きにし、「サイトアドレス（URL）」をドメイン直下に設定します。

その上で、/wp ディレクトリにある index.php をドメイン直下にコピーし、その中の記述（パス）を修正してシステムを読み込ませる手順を踏みます。

これにより、システムファイルが散乱せず、ユーザーにはスッキリしたURLを見せることができます。

なぜ「1階層ディレクトリをかませる」のが良いか？

弊社がサブディレクトリへのインストールを推奨する理由は、主に「保守性」「事故防止」「セキュリティ」の3点に集約されます。

まず保守性ですが、ドメイン直下というのは意外とファイルが「散らかりやすい」場所です。

Googleの所有権確認ファイルや、サーバー証明書関連のファイル、あるいは将来的にランディングページ（LP）や別システム（ショップ機能など）を追加したくなった時、WordPressの膨大なファイル群が直下にあると、どれがどのファイルか判別しづらくなります。

本体をフォルダに収納しておけば、直下は常にスッキリした状態を保てます。

次に事故防止です。 FTPソフトなどでサーバーを操作する際、重要なシステムファイルを誤って上書きしたり削除してしまうリスクを減らせます。

「このフォルダはWordPress本体だから触らない」という明確な区切りができるため、運用ミスを防ぐ防波堤になります。

3つ目はセキュリティです。 攻撃者は、機械的に wp-config.php などの重要ファイルを探しに来ます。

ディレクトリを分けておくことで、ファイルの場所を推測されにくくし、防御策を講じやすくなるメリットがあります。

最大の弱点「管理画面」への対策

ただし、ディレクトリを変えただけでは防げない大きな問題があります。

それは「ログイン画面の場所がバレている」という点です。

WordPressは世界中で使われているため、ドメインの後ろに /wp-admin や /wp-login.php をつければログイン画面が出てくることは、攻撃者（ボット）にとって「常識」です。

ここに対してIDとパスワードを総当たりで試す「ブルートフォース攻撃（IDとパスワードのあらゆる組み合わせを試して不正ログインを試みるサイバー攻撃）」が絶えません。

根本的な解決策は、ディレクトリの配置場所だけでなく、「ログインへの入り口そのものを隠す」ことです。

実践策：ログインURLを変更して露出を断つ

ここで有効なのが、「SiteGuard WP Plugin」や「CloudSecure WP Security」などのセキュリティ系プラグインの導入です。

これらを使うと、ログインURLを /login-gdf:fH9sF8ras78 のような、管理者しか知らない独自の文字列に変更できます。

これを行うだけで、既知のパス（wp-login.php）への攻撃アクセスは劇的に減少します。

【運用上のポイント】

変更後のログインURLはブックマーク等で厳重に保管してください。

また、管理者IDに「admin」を使わない、パスワードを複雑にする、といった基本的な対策に加え、可能であれば「2要素認証」や「IPアドレス制限」を組み合わせると、堅牢性は飛躍的に高まります。

すでに直下で運用している場合は？

「うちはもう直下にインストールして何年も経っているけれど、どうすれば？」と心配される方もいるかもしれません。

現行サイトが安定して稼働しているなら、無理に構成を変更する必要はありません。

ディレクトリ構造の変更は、リンク切れやダウンタイムのリスクを伴う大手術になります。

「今すぐできる対策」として、先ほど触れたログインURLの変更や、WAF（Webアプリケーションファイアウォール）の設定見直し、バックアップ体制の強化を優先してください。

もし構成を整理したい場合は、サイトリニューアルやサーバー移転のタイミングで行うのが最も安全で現実的です。

まとめ

WordPressのインストール場所に唯一の正解はありませんが、「拡張性（メンテナンスのしやすさ）」と「導線の秘匿（セキュリティ）」の両立を考えるなら、以下の構成がベストプラクティスと言えます。

1. WordPress本体は /wp/ などのサブディレクトリに収納する
2. ログインURLをプラグイン等で変更し、既知の入り口を塞ぐ

この土台の上に、IP制限や2要素認証などを積み重ねていくことで、中小規模のサイトであっても大企業並みの堅牢なサイト運用が可能になります。

これからサイトを作る方、あるいはリニューアルを検討されている方は、ぜひこの構成を検討してみてください。

ウェブロードでは、こうした現場の実践的な知見を基に、安全で長く使えるWebサイト制作・運用をサポートしています。

投稿者プロフィール

山口 敦

2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界20年の知識と経験を生かして、自治体案件等の大型案件のWebディレクターや中小企業・個人事業主へのWeb全般のアドバイザー、SEO/AIOのコンサルタントとしても活動中。　プロフィールはこちら

最新の投稿

• コンテンツ制作2026年1月16日異業種の事業者はどんな記事で集客できているのか？
• お知らせ2026年1月6日【2026年最新】Webサイト運営の外注依頼ベストテン
• お知らせ2026年1月4日【2026年版】ChatGPT、GeminiとGoogle検索の使い分け
• お知らせ2025年12月25日WordPressはどのディレクトリに入れるのが正解か？管理画面の露出対策と安全運用