WordPressのパスワード設定・変更・忘れた時の再発行方法を状況別に徹底解説

はじめに

WordPressのパスワードを変更したい、忘れてしまった、再発行メールが届かない、管理画面に入れない――このような状況になると、どこから手を付ければよいのか迷いやすいものです。

WordPressのパスワードは、管理画面にログインできるかどうか、登録メールアドレスを使えるかどうか、サーバーやデータベースにアクセスできるかどうかによって対処法が変わります。ログインできる状態なら管理画面から簡単に変更できますが、メールが届かない場合や管理者アカウントに入れない場合は、phpMyAdmin、functions.php、WP-CLI、レンタルサーバーの管理機能などを使った復旧が必要になることもあります。

この記事では、「ワードプレス パスワード」に関する設定・変更・再発行・トラブル対応・安全な管理方法を、状況別にわかりやすく解説します。

1. WordPressのパスワードで最初に確認すべきこと

WordPressのパスワードで困った時は、いきなりデータベースを編集したり、テーマファイルを書き換えたりするのではなく、まず現在の状況を整理することが大切です。状況に合わない方法を試すと、かえってログインできなくなったり、サイトにエラーが出たりする可能性があります。

1-1. 「変更したい」「忘れた」「ログインできない」など状況別に対処法は異なる

WordPressのパスワード対応は、大きく次のように分かれます。

現在ログインできていて、単にパスワードを変更したい場合は、管理画面のプロフィールから変更するのがもっとも安全です。管理者であれば、他のユーザーのパスワードも管理画面から変更できます。

パスワードを忘れたものの、登録メールアドレスを受信できる場合は、ログイン画面の「パスワードをお忘れですか？」から再発行するのが基本です。WordPress公式ドキュメントでも、通常はログイン画面の「Lost your password?」からリセットする方法がもっとも簡単とされています。

一方で、登録メールが使えない、再発行メールが届かない、管理画面に入れないという場合は、サーバー管理画面、phpMyAdmin、WP-CLI、テーマファイルの一時編集など、別の方法を検討します。

1-2. 管理画面・登録メール・サーバー・データベースのどこにアクセスできるか確認する

最初に確認すべきポイントは、次の4つです。

まず、WordPressの管理画面にログインできるかを確認します。ログインできるなら、パスワード変更は管理画面から行うのが基本です。

次に、登録メールアドレスを受信できるかを確認します。メールを受け取れるなら、パスワード再発行機能を使えます。

管理画面にもメールにもアクセスできない場合は、レンタルサーバーの管理画面に入れるかを確認します。サーバーに入れるなら、phpMyAdminやファイルマネージャー、WordPress簡単インストール機能などから復旧できる可能性があります。

最後に、データベースへアクセスできるかを確認します。phpMyAdminでWordPressのデータベースを開ける場合、ユーザーテーブルからパスワードを変更できます。ただし、データベースの直接編集はミスの影響が大きいため、必ずバックアップを取ってから作業します。

1-3. WordPress.orgとWordPress.comでパスワード管理が異なる点に注意する

「WordPress」と一口に言っても、自分でサーバーに設置するWordPress.org版と、ホスティングサービスとして提供されるWordPress.comでは、パスワード管理の考え方が異なります。

自分でレンタルサーバーにインストールしているWordPressは、サーバー、データベース、WordPress管理画面を自分で管理します。そのため、メールが届かない場合でも、サーバーやデータベースにアクセスできれば復旧できる可能性があります。

一方、WordPress.comの場合は、WordPress.comアカウントのパスワードとして管理されます。WordPress.comのサポートでは、ログインできない場合はサイトのホスティング元を確認し、WordPress.comでホストされている場合はWordPress.com側のアカウント復旧手順を使うよう案内しています。

自分のサイトがどちらなのかわからない場合は、契約しているレンタルサーバーがあるか、ログインURLが自分のドメイン配下の「/wp-admin」や「/wp-login.php」か、WordPress.comのアカウントで管理しているかを確認しましょう。

1-4. 管理者・編集者・投稿者などユーザー権限による違いを理解する

WordPressにはユーザー権限があり、誰でも他のユーザーのパスワードを変更できるわけではありません。

WordPressには、標準でスーパー管理者、管理者、編集者、投稿者、寄稿者、購読者などの権限があります。管理者は単一サイトの管理機能にアクセスでき、編集者は投稿や固定ページの管理、投稿者は自分の投稿管理など、権限ごとにできる作業が異なります。

通常、他のユーザーのパスワードを変更できるのは管理者権限を持つユーザーです。編集者や投稿者は、自分のプロフィール情報は変更できても、他ユーザーのパスワードを変更することはできません。

2. WordPressのパスワードを設定する基本方法

WordPressのパスワードは、インストール時、新規ユーザー追加時、プロフィール編集時、再発行時などに設定します。どの場面でも重要なのは、推測されにくく、他サービスで使い回していない強力なパスワードを設定することです。

2-1. WordPressインストール時に管理者パスワードを設定する

WordPressを新規インストールする際は、サイト名、ユーザー名、メールアドレスなどと一緒に、管理者パスワードを設定します。

レンタルサーバーの「WordPress簡単インストール」機能を使う場合も、多くの場合、インストール画面で管理者ユーザー名とパスワードを入力します。この時に設定したパスワードが、最初にWordPress管理画面へログインするためのパスワードです。

初期設定でありがちな失敗は、覚えやすさを優先して短いパスワードや単純な英単語を使ってしまうことです。管理者アカウントはサイト全体を操作できるため、最初から強力なパスワードを設定しましょう。

2-2. 管理画面で新規ユーザーを追加する際にパスワードを設定する

管理者権限でログインしている場合、管理画面の「ユーザー」から新規ユーザーを追加できます。

手順は次の通りです。

WordPress管理画面にログインし、「ユーザー」から「新規追加」を開きます。ユーザー名、メールアドレス、名前、権限グループなどを入力し、パスワード欄で自動生成されたパスワードを使うか、任意のパスワードを設定します。

新規ユーザーにログイン情報を共有する場合は、メールで送る方法もあります。ただし、パスワードを平文でチャットやメールに残すのは避け、初回ログイン後に本人が変更する運用にすると安全です。

2-3. 自動生成パスワードと手動入力パスワードの違い

WordPressでは、パスワード設定時に強力な自動生成パスワードを提案する機能があります。自動生成パスワードは、長く、英数字や記号が混ざった推測されにくい文字列になりやすいため、安全性の面ではおすすめです。

一方、手動入力パスワードは自分で覚えやすい反面、短くなったり、名前・誕生日・サイト名などを含めたりしやすくなります。手動で設定する場合でも、パスワード管理ツールを使って長く複雑な文字列を保存するのが現実的です。

「覚えられるパスワード」よりも、「安全に保存できる強いパスワード」を選ぶことが重要です。

2-4. 安全なパスワードを作るための文字数・英数字・記号の考え方

安全なWordPressパスワードを作る時は、次の考え方を意識しましょう。

まず、文字数はできるだけ長くします。短いパスワードは総当たり攻撃に弱くなります。最低でも12文字以上、可能であれば16文字以上を目安にするとよいでしょう。

次に、英大文字、英小文字、数字、記号を組み合わせます。ただし、複雑に見えても「P@ssw0rd」のような定番の置き換えは推測されやすいため避けます。

また、サイト名、会社名、ユーザー名、誕生日、電話番号、よくある単語を含めないようにします。第三者がSNSや会社情報から推測できる情報は、パスワードに使うべきではありません。

もっとも安全なのは、パスワード管理ツールでランダムな長い文字列を生成し、使い回さずに保管する方法です。

3. ログインできる場合にWordPressのパスワードを変更する方法

現在WordPressにログインできる場合は、管理画面からパスワードを変更するのがもっとも安全で簡単です。データベースやサーバーファイルを触る必要はありません。

3-1. 自分のプロフィール画面からパスワードを変更する手順

自分のWordPressパスワードを変更する手順は次の通りです。

まず、WordPress管理画面にログインします。左メニューの「ユーザー」から「プロフィール」を開きます。画面を下にスクロールし、「アカウント管理」または「新しいパスワード」付近にある「新しいパスワードを設定」をクリックします。

WordPressが自動生成したパスワードをそのまま使うことも、自分で入力し直すこともできます。入力後、画面下部の「プロフィールを更新」をクリックすると、新しいパスワードが有効になります。

WordPress公式ドキュメントでも、管理画面の「Users > All Users」からユーザー編集画面を開き、「Generate Password」を使って更新する流れが紹介されています。

3-2. 管理者が他ユーザーのパスワードを変更する手順

管理者権限を持っている場合は、他のユーザーのパスワードも変更できます。

管理画面の「ユーザー」から「ユーザー一覧」を開き、対象ユーザーにカーソルを合わせて「編集」をクリックします。ユーザー編集画面の「新しいパスワードを設定」をクリックし、新しいパスワードを入力または自動生成します。

最後に「ユーザーを更新」をクリックすると、そのユーザーのパスワードが変更されます。

ただし、本人に無断でパスワードを変更するとログインできなくなるため、社内サイトや複数人運用のメディアでは、事前連絡と変更後の案内を行いましょう。退職者や外部委託先のアカウントを停止する場合は、パスワード変更だけでなく、権限変更やアカウント削除も検討します。

3-3. パスワード変更後に再ログインが必要になるケース

パスワードを変更すると、現在のログインセッションが無効になり、再ログインを求められることがあります。

特に、自分のアカウントのパスワードを変更した場合、別ブラウザ、別端末、スマートフォンアプリなどで再ログインが必要になることがあります。これは不具合ではなく、古いパスワードでログイン状態が継続しないようにするための正常な動作です。

パスワード変更後にログイン画面へ戻された場合は、新しいパスワードでログインし直してください。

3-4. 変更後に届く通知メールの意味と確認すべき内容

WordPressでは、パスワード変更やメールアドレス変更など、アカウントに関わる重要な操作が行われた際に通知メールが届くことがあります。

自分で変更した直後に通知が届いた場合は、内容を確認しておけば問題ありません。しかし、身に覚えのないパスワード変更通知が届いた場合は注意が必要です。第三者が管理画面にアクセスした、別の管理者が変更した、プラグインや外部サービス経由で変更された可能性があります。

身に覚えがない場合は、すぐにパスワードを再変更し、不要なユーザーが追加されていないか、管理者権限のアカウントが増えていないか、セキュリティプラグインのログに不審な記録がないかを確認しましょう。

4. WordPressのパスワードを忘れた時に再発行する方法

WordPressのパスワードを忘れた場合でも、登録メールアドレスを受信できるなら、ログイン画面から簡単に再発行できます。まずはこの方法を試しましょう。

4-1. ログイン画面の「パスワードをお忘れですか？」から再発行する

WordPressのログイン画面は、通常次のようなURLです。

https://example.com/wp-login.php

または、

https://example.com/wp-admin/

ログイン画面を開くと、フォームの下に「パスワードをお忘れですか？」というリンクがあります。このリンクをクリックすると、パスワード再発行画面に進みます。

WordPress公式ドキュメントでも、ログインページに移動し、「Lost your password?」をクリックして、ユーザー名または登録メールアドレスを入力する手順が案内されています。

4-2. ユーザー名または登録メールアドレスを入力してリセットメールを受け取る

パスワード再発行画面では、ユーザー名または登録済みメールアドレスを入力します。

どちらかが正しければ、WordPressからパスワード再設定用のメールが送信されます。ユーザー名を忘れた場合でも、登録メールアドレスがわかれば再発行できます。

入力後は、メールボックスを確認します。件名には「パスワードのリセット」や「Password Reset」などが含まれることが多いです。メールが見当たらない場合は、迷惑メールフォルダやプロモーションタブも確認しましょう。

4-3. パスワード再設定リンクから新しいパスワードを登録する

再発行メールには、パスワード再設定用のリンクが記載されています。そのリンクをクリックすると、新しいパスワードを設定する画面が開きます。

表示された自動生成パスワードを使うか、自分で新しいパスワードを入力します。安全性を高めるため、他サービスで使っているパスワードは使わず、長く複雑なパスワードを設定しましょう。

新しいパスワードを保存すると、以後はそのパスワードでログインできるようになります。

4-4. 再発行後にログインできるか確認する

パスワードを再設定したら、ログイン画面に戻り、新しいパスワードでログインできるか確認します。

ログインできた場合は、プロフィール画面で登録メールアドレスが正しいか、不要な管理者ユーザーがいないか、二段階認証やセキュリティプラグインの設定に問題がないかも確認しておくと安心です。

再設定したにもかかわらずログインできない場合は、ブラウザに古いパスワードが自動入力されていないか、ユーザー名を間違えていないか、ログインURLが正しいかを確認しましょう。

5. パスワード再発行メールが届かない時の対処法

WordPressのパスワード再発行でよくあるトラブルが、「再発行メールが届かない」というものです。原因はメールボックス側、登録メールアドレス、サーバーの送信設定、プラグインなど複数考えられます。

5-1. 迷惑メールフォルダ・受信拒否設定を確認する

まず確認すべきなのは、迷惑メールフォルダです。WordPressからの自動送信メールは、メールサービスによって迷惑メールと判定されることがあります。

Gmailであれば「迷惑メール」「プロモーション」「すべてのメール」を確認します。会社メールの場合は、サーバー側の迷惑メールフィルタや受信拒否設定で止まっていることもあります。

また、ドメイン指定受信を設定している場合は、WordPressサイトのドメインやサーバーからのメールが受信できるように設定を見直します。

5-2. 登録メールアドレスが間違っていないか確認する

再発行メールが届かない原因として、WordPressに登録されているメールアドレスが現在使っているものと違うケースもあります。

過去に使っていたメールアドレス、退職した担当者のメールアドレス、制作会社が設定したメールアドレスなどが登録されていると、現在の担当者には再発行メールが届きません。

管理画面に入れる別の管理者がいる場合は、「ユーザー」から対象アカウントのメールアドレスを確認してもらいましょう。誰も管理画面に入れない場合は、phpMyAdminでユーザーテーブルを確認する方法があります。

5-3. サーバーのメール送信設定やSMTP設定を確認する

WordPressは、サーバーのメール送信機能を使って通知メールやパスワード再発行メールを送ります。そのため、サーバー側のメール送信設定に問題があると、再発行メールが送れません。

特に、独自ドメインメールを使っている場合、SPF、DKIM、DMARCなどのメール認証設定が不十分だと、受信側でブロックされることがあります。また、レンタルサーバーの仕様や制限により、PHPのメール送信がうまく動作しないこともあります。

このような場合は、SMTPプラグインを使って、外部メールサーバー経由で送信する設定に変更すると改善することがあります。

5-4. セキュリティプラグインやメール系プラグインの影響を確認する

セキュリティプラグインやメール送信系プラグインが、パスワード再発行メールに影響していることもあります。

たとえば、ログイン試行回数制限、reCAPTCHA、二段階認証、ログインURL変更、メールテンプレート変更、SMTP設定などの機能が原因で、再発行処理やメール送信が正常に完了しない場合があります。

管理画面に入れる別ユーザーがいる場合は、関連プラグインの設定を確認します。管理画面に入れない場合は、サーバーのファイルマネージャーやFTPで一時的にプラグインフォルダ名を変更し、プラグインを停止して確認する方法もあります。

ただし、セキュリティプラグインを停止すると保護機能も止まるため、作業後は必ず元に戻しましょう。

5-5. メールが使えない場合は別の再設定方法に切り替える

登録メールアドレスが使えない、再発行メールが届かない、メール送信設定の修正もできない場合は、別の方法でパスワードを変更します。

代表的な方法は、phpMyAdminでデータベースを編集する方法、functions.phpに一時的なコードを追加する方法、WP-CLIで変更する方法、レンタルサーバーの管理画面から再設定する方法です。

これらの方法は、管理画面に入れない場合にも使える可能性があります。ただし、データベースやテーマファイルの編集を伴うため、作業前に必ずバックアップを取り、慎重に進めましょう。

6. 管理画面に入れない場合にパスワードを変更する方法

管理画面に入れず、メールでの再発行もできない場合は、サーバー側からWordPressのパスワードを変更します。ここからの作業はサイトに直接影響するため、バックアップを取ったうえで実施してください。

6-1. phpMyAdminでwp_usersテーブルからパスワードを変更する

phpMyAdminにアクセスできる場合、WordPressのユーザーテーブルからパスワードを変更できます。

まず、レンタルサーバーの管理画面からphpMyAdminを開き、WordPressで使用しているデータベースを選択します。データベース名がわからない場合は、WordPressの設置ファイル内にあるwp-config.phpを確認し、DB_NAMEの値を見ます。

次に、wp_usersテーブルを開きます。ただし、環境によっては接頭辞がwp_ではない場合があります。対象ユーザーの行を見つけ、user_loginやuser_emailを確認します。

パスワードはuser_passに保存されていますが、そのまま平文で入力するわけではありません。phpMyAdminの編集画面でuser_passを変更し、関数にMD5を選択して、新しいパスワードを入力します。

例として、SQLで変更する場合は次のようになります。

SQL
UPDATE wp_users
SET user_pass = MD5('新しいパスワード')
WHERE user_login = 'admin';

実行後、WordPressのログイン画面から新しいパスワードでログインします。ログインできたら、管理画面のプロフィールから改めて強力なパスワードに変更しておくと安心です。

6-2. データベースのテーブル接頭辞がwp_以外の場合の確認方法

WordPressのテーブル名は、標準ではwp_users、wp_options、wp_postsのようにwp_から始まります。しかし、セキュリティ対策やインストール時の設定によって、接頭辞が変更されていることがあります。

たとえば、abc_users、site01_users、wp123_usersのような名前になっている場合があります。この場合、wp_usersを探しても見つかりません。

接頭辞を確認するには、wp-config.phpの中にある次のような記述を探します。

PHP
$table_prefix = 'wp_';

この値がabc_であれば、ユーザーテーブルはabc_usersです。phpMyAdminで作業する際は、自分の環境の接頭辞に合わせてテーブル名を読み替えてください。

6-3. functions.phpを一時的に編集して管理者パスワードを変更する

データベースを直接編集したくない場合や、phpMyAdminが使えない場合は、テーマのfunctions.phpを一時的に編集してパスワードを変更する方法もあります。

WordPressにはユーザーのパスワードを更新するwp_set_password()関数があります。開発者向け公式リファレンスでは、この関数は指定したユーザーのパスワードを新しいハッシュに更新するものと説明されています。

作業手順は次の通りです。

まず、サーバーのファイルマネージャーまたはFTPで、現在有効なテーマのfunctions.phpを開きます。ファイルの末尾に、次のようなコードを一時的に追加します。

PHP
add_action('init', function () {
    if (isset($_GET['reset_admin_pw']) && $_GET['reset_admin_pw'] === 'temporary-key') {
        wp_set_password('新しいパスワード', 1);
        exit('Password reset completed.');
    }
});

この例では、ユーザーIDが1のユーザーのパスワードを変更します。追加後、ブラウザで次のようにアクセスします。

https://example.com/?reset_admin_pw=temporary-key

「Password reset completed.」と表示されたら、パスワード変更が完了しています。その後、必ずfunctions.phpに追加したコードを削除してください。

このコードを残したままにすると、URLを知っている人が再度パスワード変更を実行できてしまう危険があります。また、パスワードをファイル内に平文で書くため、作業後はすぐに削除することが重要です。

6-4. WP-CLIでコマンドからパスワードを変更する

サーバーでWP-CLIを使える場合は、コマンドラインからパスワードを変更できます。SSH接続ができ、WordPressのインストールディレクトリに移動できる環境で使える方法です。

まず、WordPressのディレクトリに移動します。

Bash
cd /path/to/wordpress

ユーザー一覧を確認します。

Bash
wp user list

対象ユーザーのIDまたはユーザー名を確認したら、次のようにパスワードを更新します。

Bash
wp user update admin --user_pass='新しいパスワード'

または、ユーザーIDで指定します。

Bash
wp user update 1 --user_pass='新しいパスワード'

WP-CLIはデータベースを直接編集するよりも安全に作業しやすい方法ですが、コマンド履歴にパスワードが残る可能性があります。作業後は履歴の扱いにも注意しましょう。

6-5. レンタルサーバーの管理画面からWordPressパスワードを再設定する

レンタルサーバーによっては、管理画面にWordPressの管理者パスワードを再設定する機能が用意されていることがあります。

たとえば、「WordPress簡単インストール」「WordPress管理」「サイト管理」などのメニューから、インストール済みWordPressの情報を確認し、管理者パスワードを変更できる場合があります。

この方法は、phpMyAdminやファイル編集に慣れていない人にとって比較的安全です。ただし、サーバー会社ごとに画面や手順が異なるため、契約しているレンタルサーバーのマニュアルを確認しながら進めましょう。

6-6. 作業前にバックアップを取るべき理由

管理画面に入れない状態でのパスワード変更は、データベースやテーマファイルを編集することがあります。これらの作業は、少しの入力ミスでもサイト表示エラーやログイン不能につながる可能性があります。

特に、phpMyAdminで誤って別のテーブルを編集したり、functions.phpに構文エラーを入れたりすると、サイト全体が表示されなくなることがあります。

作業前には、最低限データベースとWordPressファイルのバックアップを取りましょう。レンタルサーバーの自動バックアップ機能がある場合は、復元方法も確認しておくと安心です。

7. WordPressのパスワード変更・再発行でよくあるトラブル

WordPressのパスワードを変更・再発行しても、すぐに解決しないケースがあります。ここでは、よくあるトラブルと確認すべきポイントを解説します。

7-1. 新しいパスワードでもログインできない

新しいパスワードを設定したのにログインできない場合、まずブラウザの自動入力を確認します。古いパスワードが自動入力されていると、何度試してもログインできません。

次に、ユーザー名またはメールアドレスが正しいか確認します。複数の管理者アカウントがある場合、別のユーザーでログインしようとしている可能性があります。

また、ログイン試行回数制限により一時的にブロックされていることもあります。この場合は、時間を置くか、セキュリティプラグインの設定を確認します。

キャッシュやCookieの影響も考えられるため、別ブラウザ、シークレットウィンドウ、別端末からログインを試すのも有効です。

7-2. ユーザー名やメールアドレスを忘れてしまった

ユーザー名も登録メールアドレスもわからない場合は、別の管理者に確認してもらうのが最も簡単です。

別の管理者がいない場合は、phpMyAdminでユーザーテーブルを確認します。wp_usersまたは接頭辞付きの○○_usersテーブルを開くと、user_loginにユーザー名、user_emailに登録メールアドレスが保存されています。

ただし、データベースの閲覧にはサーバー管理権限が必要です。自分で判断できない場合は、レンタルサーバーのサポートや制作会社に相談しましょう。

7-3. パスワード再設定リンクが期限切れ・無効になる

パスワード再設定リンクには有効期限があります。時間が経ってからクリックすると、リンクが無効になっていることがあります。

また、複数回パスワード再発行を行った場合、古いメールのリンクは使えなくなることがあります。最新の再発行メールを開いているか確認しましょう。

リンクが無効と表示された場合は、再度ログイン画面から「パスワードをお忘れですか？」を実行し、新しく届いたメールのリンクを使って再設定します。

7-4. ログインURLがわからない

WordPressの標準ログインURLは、通常次のいずれかです。

https://example.com/wp-admin/
https://example.com/wp-login.php

ただし、セキュリティプラグインでログインURLを変更している場合、標準URLにアクセスしてもログイン画面が表示されないことがあります。

ログインURLを忘れた場合は、過去のブックマーク、制作会社からの納品資料、社内マニュアル、サーバー管理画面のWordPress管理メニューを確認します。

ログインURL変更プラグインを使っていてURLが不明な場合は、FTPやファイルマネージャーで該当プラグインを一時停止することで、標準ログインURLに戻せる場合があります。

7-5. 二段階認証やセキュリティプラグインでログインできない

パスワードは合っているのにログインできない場合、二段階認証やセキュリティプラグインが原因のことがあります。

スマートフォンを機種変更して認証アプリが使えない、SMSが届かない、バックアップコードを紛失した、reCAPTCHAが表示されない、ログイン試行制限に引っかかったなどのケースです。

まずはバックアップコードや別の認証方法がないか確認します。どうしても入れない場合は、サーバー側からセキュリティプラグインを一時停止し、ログイン後に再設定します。

プラグインを停止するには、wp-content/plugins内の対象プラグインフォルダ名を一時的に変更します。ログインできたら、設定を見直したうえでフォルダ名を戻します。

7-6. 管理者アカウントが削除・変更されている可能性がある

パスワードを再発行できない、登録メールが変わっている、見覚えのない管理者がいる、急にログインできなくなったという場合は、管理者アカウントが削除・変更されている可能性もあります。

不正アクセスにより管理者メールアドレスが変更されたり、新しい管理者アカウントが追加されたりするケースもあります。

phpMyAdminでユーザーテーブルを確認し、見覚えのない管理者アカウントがないかチェックしましょう。また、wp_usermetaテーブルの権限情報も確認が必要になる場合があります。

不正アクセスが疑われる場合は、パスワード変更だけでなく、全ユーザーの確認、プラグイン・テーマ・WordPress本体の更新、不要ファイルの削除、マルウェアチェック、サーバーパスワードやFTPパスワードの変更も行いましょう。

8. WordPressのパスワードを安全に管理する方法

WordPressのパスワードは、設定して終わりではありません。安全に管理し続けることで、不正ログインやサイト改ざんのリスクを下げられます。

8-1. 推測されやすいパスワードを避ける

推測されやすいパスワードは絶対に避けましょう。

たとえば、次のようなパスワードは危険です。

password
123456
admin123
wordpress
company2026
サイト名＋数字
誕生日
電話番号
ユーザー名と同じ文字列

これらは攻撃者が最初に試す候補になりやすく、機械的なログイン試行でも突破される可能性があります。

WordPressの管理者パスワードには、意味のある単語ではなく、ランダムで長い文字列を使いましょう。

8-2. 他サービスと同じパスワードを使い回さない

WordPressのパスワードを、メール、SNS、レンタルサーバー、FTP、ECサイトなどと使い回すのは危険です。

どこか一つのサービスからパスワードが漏えいすると、同じパスワードを使ってWordPressにもログインされる可能性があります。これをパスワードリスト攻撃といいます。

特に、WordPressの管理者アカウント、サーバー管理画面、FTP、データベース、独自ドメインメールは、すべて別々の強力なパスワードにしましょう。

8-3. パスワード管理ツールを活用する

強力なパスワードをサービスごとに別々に設定すると、自力で覚えるのは難しくなります。そのため、パスワード管理ツールの活用がおすすめです。

パスワード管理ツールを使えば、ランダムで長いパスワードを生成し、安全に保存できます。ログイン時には自動入力もできるため、覚える必要があるのは管理ツール自体のマスターパスワードだけです。

チームでWordPressを運用する場合は、共有機能のあるパスワード管理ツールを使うと、退職者や外部委託先のアクセス権を管理しやすくなります。

8-4. 定期的な変更よりも強力で漏えいしていないパスワードを使う

以前は「パスワードは定期的に変更するべき」と言われることが多くありました。しかし、短い周期で無理に変更すると、かえって覚えやすい単純なパスワードにしたり、末尾の数字だけを変えたりしがちです。

重要なのは、強力で使い回していないパスワードを使うことです。

もちろん、漏えいの疑いがある場合、担当者が退職した場合、外部委託先との契約が終了した場合、不審なログイン履歴がある場合は、すぐに変更すべきです。

8-5. 二段階認証を設定して不正ログインを防ぐ

パスワードだけで守るのではなく、二段階認証を設定すると安全性が高まります。

二段階認証を有効にすると、パスワードに加えて、認証アプリのコード、SMSコード、バックアップコードなどが必要になります。仮にパスワードが漏れても、追加認証がなければログインされにくくなります。

ただし、二段階認証を設定する際は、バックアップコードを必ず安全な場所に保管してください。スマートフォンの故障や機種変更で認証アプリが使えなくなると、自分自身もログインできなくなることがあります。

8-6. 不要なユーザーアカウントを削除・整理する

WordPressの安全性を高めるには、パスワードだけでなくユーザー管理も重要です。

退職者、過去の制作会社、使っていない外部ライター、テスト用アカウントなどが残っていると、不正ログインの入口が増えます。

定期的に「ユーザー一覧」を確認し、不要なアカウントは削除します。削除できない場合でも、権限を下げる、パスワードを変更する、メールアドレスを確認するなどの対応を行いましょう。

特に管理者権限のアカウントは最小限にすることが大切です。記事作成だけを行うユーザーには、投稿者や編集者など必要な権限だけを付与します。

9. WordPressのパスワードに関するよくある質問

ここでは、WordPressのパスワード設定・変更・再発行に関してよくある質問に回答します。

9-1. WordPressの初期パスワードはどこで確認できる？

WordPressの初期パスワードは、インストール方法によって確認場所が異なります。

自分でWordPressをインストールした場合は、インストール時に自分で設定したパスワードが初期パスワードです。レンタルサーバーの簡単インストールを使った場合は、インストール完了画面や完了通知メールに管理者情報が表示されることがあります。

ただし、WordPressでは現在のパスワードを管理画面から確認することはできません。忘れた場合は、確認ではなく再設定を行います。

9-2. 管理者パスワードを変更するとサイト表示に影響はある？

通常、管理者パスワードを変更しても、公開中のサイト表示には影響ありません。記事、固定ページ、画像、テーマ、プラグイン、デザインなどはそのままです。

ただし、外部連携サービスやアプリがその管理者アカウントでログインしている場合、再認証が必要になることがあります。また、複数人で同じ管理者アカウントを共有している場合、他の担当者がログインできなくなるため、事前に連絡しておきましょう。

本来は、複数人で1つの管理者アカウントを共有するのではなく、担当者ごとに個別アカウントを作成するのが安全です。

9-3. パスワードを変更すると他のユーザーにも通知される？

基本的に、パスワード変更の通知は対象ユーザーやサイト管理者に送られることがありますが、すべてのユーザーに一斉通知されるわけではありません。

管理者が他ユーザーのパスワードを変更した場合、対象ユーザーに通知が届くことがあります。通知の有無や内容は、WordPress本体の仕様、プラグイン、カスタマイズによって変わる場合があります。

複数人で運用しているサイトでは、パスワード変更後に本人へ直接連絡し、初回ログイン後に本人が再度パスワードを変更する運用にすると安全です。

9-4. phpMyAdminで変更したパスワードが反映されない時は？

phpMyAdminで変更したパスワードが反映されない場合は、まず編集したテーブルが正しいか確認します。WordPressが複数インストールされているサーバーでは、別サイトのデータベースを編集していることがあります。

次に、テーブル接頭辞が正しいか確認します。wp_usersではなく、abc_usersなど別の接頭辞になっている場合があります。

また、user_loginで指定したユーザーが正しいか、user_passに入力した値が正しいか、MD5関数を選択したかを確認します。

ログインできた後は、管理画面からもう一度パスワードを変更しておくと安心です。

9-5. パスワードを忘れてメールもサーバーも使えない場合はどうする？

WordPressのパスワードを忘れ、登録メールアドレスも使えず、サーバー管理画面やデータベースにもアクセスできない場合、自力で復旧するのはかなり難しくなります。

まず、サーバー契約者、サイト所有者、制作会社、社内の管理担当者に連絡し、サーバー管理画面へアクセスできる人を探します。

WordPress.comを利用している場合は、WordPress.comのアカウント復旧手順を確認します。WordPress.comでは、ログインできない理由に応じて、メール、SMS、アカウント復旧フォームなどの方法が案内されています。

自分でレンタルサーバーに設置したWordPressの場合は、最終的にはサーバー契約者による本人確認や、レンタルサーバーのサポート対応が必要になることがあります。

まとめ

WordPressのパスワードは、状況によって最適な対処法が異なります。

ログインできる場合は、管理画面のプロフィールから変更するのがもっとも安全です。パスワードを忘れた場合でも、登録メールアドレスを受信できるなら、ログイン画面の「パスワードをお忘れですか？」から再発行できます。

再発行メールが届かない場合は、迷惑メール、登録メールアドレス、サーバーのメール送信設定、SMTP設定、セキュリティプラグインの影響を確認します。メールが使えず管理画面にも入れない場合は、phpMyAdmin、functions.php、WP-CLI、レンタルサーバーの管理機能などから再設定する方法があります。

ただし、データベースやファイルを編集する方法はリスクがあるため、必ずバックアップを取ってから作業しましょう。

また、パスワードを再設定できた後は、強力なパスワードの使用、使い回しの禁止、パスワード管理ツールの活用、二段階認証の導入、不要ユーザーの整理まで行うことが重要です。

WordPressのパスワード管理は、サイトの安全性を守る基本です。トラブル時の復旧方法を知っておくだけでなく、日頃から不正ログインを防ぐ運用を整えておきましょう。