制作会社のセキュリティ意識をざっくり見極めたいとき、制作会社のWordPressサイトでブラウザに「/wp-admin」と入力してみるのが、外部からできる簡単なチェック方法です。

その結果「ログイン画面がそのまま表示される」のか、それとも「ベーシック認証が出る／そもそもログイン画面が表示されない」のかで、最低限の対策が入っているかどうか確認ができます。

ただし、このチェックだけで制作会社のセキュリティレベルを決めつけることはできません。内部のWAF設定などは外からは見えないので、あくまで参考程度にしてください。

1.ログイン画面がそのまま出るなら要注意

「/wp-admin」「/admin」などにアクセスして、Basic認証もなくログイン画面が表示されるなら注意が必要です。この状態は攻撃者（主に自動ボット）がログイン試行を繰り返しやすい入口となり、リスクが高まります。

WordPressの管理画面は攻撃の定番標的で、保護が推奨されているので、対策がない場合は制作会社のセキュリティ意識が低い可能性があります。

2.「Basic認証」や「ログイン画面に到達できない」なら対策されている可能性あり

同じ「/wp-admin」や「/admin」にアクセスしても、次のような挙動なら、入口に何らかの制御がかかっている可能性があります。

• Basic認証（HTTP認証）のポップアップが出る
• 404エラーなどでログイン画面に到達できない（URL変更やアクセス制御が入っている可能性）

これらの対策が見られる場合は、少なくとも制作会社のセキュリティ意識が一定レベルはあると見ておいて良いでしょう（本質的には他の対策も必要ですが）。

3. Basic認証がなくても別の対策がある場合も

Basic認証がかかっていなくても、IP制限、2段階認証（2FA）、ログイン試行制限、WAFなど別の方法で守っている設計もあり得ます。

ただ、外部チェックで「Basic認証もない」「ログイン画面がそのまま出る」状態だと、これらの対策まで手が回っていない可能性はあるかと思います。

まとめ

「/wp-admin」チェックは制作会社のセキュリティ意識を測る簡単な目安です。

ログイン画面がそのまま出る場合は要注意サイン、他の運用面も甘い可能性があります。

表面だけでなく、運用設計までしっかり考えている制作会社を見極めるきっかけにしていただければと思います。