Cloudflare Zero Trust を導入すると、WordPress 管理画面へのアクセスも強固に保護できる一方で
- 毎回認証が求められて面倒
- 社内メンバーから「ログインしづらい」と言われる
- 管理者だけ例外にしたいが、セキュリティは落としたくない
といった悩みが出てきます。
この記事では、Cloudflare Zero Trust を使いながら、WordPress のログインを楽かつ安全に運用する方法を整理します。
Zero Trust 導入後に起きがちな問題
Cloudflare Access を /wp-admin や /wp-login.php に適用すると、次のような状態になりがちです。
- 毎回 SSO / メール認証が必要
- 短時間でセッションが切れる
- 管理者も編集者も同じ厳しい条件になる
- モバイルや外出先からのログインが困難
セキュリティとしては正しい一方、日常運用のコストが一気に上がる原因になります。
基本方針:セキュリティは落とさず「条件を分ける」
重要なのは
すべてを厳しくするのではなく、
人・場所・端末ごとにポリシーを分ける
という考え方です。
Zero Trust では次のような軸で制御できます。
- ユーザー(メール、グループ)
- デバイス(WARP / デバイス証明書)
- IP アドレス
- パス(/wp-admin のみ対象など)
これらで「管理者は楽に」「不特定アクセスは厳しく」という設計にします。
方法① 社内IP・固定IPからは認証を緩和する
まず現実的で効果が高いのがこれです。
例
- 自宅・オフィスの固定IPからは
- Access 認証をスキップ or セッション長め
- それ以外のIPからは
- 通常の Zero Trust 認証を要求
Cloudflare Access のポリシー例:
- Include:
- IP Range = 自社固定IP
- Action:
- Bypass / Allow
これだけで、
- 社内ではほぼ素通り
- 外部からは強固に保護
という状態が作れます。
方法② /wp-admin 用に専用ポリシーを分ける
よくある失敗は、
- サイト全体に同じ Access ポリシーをかけている
ことです。
おすすめは、
/wp-admin*/wp-login.php
専用の Application を作り、ポリシーを分離することです。
例:
- 管理者グループ:
- セッション 12時間
- MFA 省略可
- 編集者・外部:
- 通常の Zero Trust 認証
これにより、管理者の運用負荷だけを下げることができます。
方法③ WordPress 側のセキュリティと併用する
Zero Trust に任せきりにせず、WordPress 側でも最低限の対策を併用します。
おすすめの組み合わせ:
- WordPress
- 管理画面 URL の変更
- ログイン試行制限
- 二段階認証(管理者のみ)
- Cloudflare
- Zero Trust で入口を制限
- Bot 管理でブルートフォース防止
これにより、
外側(Cloudflare)で入口を絞り
内側(WordPress)で最後の鍵をかける
という二重構造になります。
運用上の注意点
実運用でよくある注意点です。
- セッションを長くしすぎない
- 8〜12時間程度が現実的
- 管理者だけ例外にしすぎない
- IP・デバイス条件とセットで緩和する
- 非常用の回避手段を用意する
- Zero Trust 誤設定時の復旧手順
「自分だけ入れなくなる事故」は起こりやすいので注意が必要です。
まとめ
Cloudflare Zero Trust を使っていても、
WordPress のログインは 設計次第で快適にすることが可能です。
3つのポイント
- 人・場所・端末ごとにポリシーを分ける
- /wp-admin 専用の Access 設定を作る
- WordPress 側のセキュリティと併用する
「全部厳しくする」よりも、
「危険なところだけ厳しくする」方が、現実の運用ではうまく回ります。
コメントを残す