wildhawk
WordPressサイトを安全に守る!
セキュリティ強化の基本と実践チェックリスト
セキュリティ強化の基本と実践チェックリスト
WordPressにはセキュリティ対策は必須!!!
WordPressは、世界で最も多く利用されているCMS(コンテンツ管理システム)です。
その人気の高さゆえに、サイバー攻撃の標的になりやすいという現実もあります。
実際に、古いプラグインやテーマの脆弱性を狙った不正アクセス、改ざん、スパム投稿、個人情報の漏えいなどが日常的に報告されています。
しかし、正しい知識を持ち、基本的な対策を取ることで、これらのリスクを大幅に軽減できます。
今回は、WordPressを安全に運用するための具体的なセキュリティ対策を、初心者にもわかりやすく解説いたします。
こんな人にオススメ
WordPressのセキュリティ対策がしたい
なぜWordPressは攻撃されるか知りたい
セキュリティは何故必要か理由を知りたい
過去に英語サイトを乗っ取られたことがあります。修復できなかったので、荒業で復旧させました。それからWordPressには必ずセキュリティ対策をしています。
WordPressはオープンソースで多くの人が利用できる反面、攻撃者も構造を把握しやすいという特徴があります。
さらに、利用者の中には「更新を後回しにしている」「不要なプラグインを放置している」など、隙が生まれやすい環境が存在します。
もし攻撃を受けると、以下のような被害が起こる可能性があります。
- サイト改ざんによる信頼低下
- 不正なスクリプトの埋め込みによるウイルス拡散
- 顧客データやメールアドレスの漏えい
- Google検索からのインデックス削除
セキュリティ対策は「トラブルが起きたときに直す」ではなく「被害を防ぐための予防策」として行うことが重要です。
自分のサイトが改ざんされても大丈夫だと思っていませんか?
攻撃者が改ざんしたあなたのサイトを足がかりに他社を攻撃した場合は、セキュリティ対策を侮ったあなたにも多額の損害賠償が発生する可能性があります。休眠中のサイトでも外部に公開している場合は、必ずセキュリティ対策をしましょう。
WordPressのセキュリティ対策は、難しい設定よりも基本を習慣化することが大切です。
更新・バックアップ・監視を定期的に行うことで、攻撃の多くは防ぐことができます。
安心して運用できる環境を整え、信頼されるサイト運営を続けましょう。
WordPress管理画面(/wp-admin)は攻撃の入口です。
特にブルートフォース攻撃(総当たり攻撃)を防ぐことが大切です。
対策ポイント
- ユーザー名に「admin」や「test」を使わない
- 強力なパスワードを設定(英大文字・小文字・数字・記号)
- 二段階認証(2FA)を導入
- ログイン試行回数の制限(プラグイン:Limit Login Attempts Reloaded など)
WordPressの公式サイトや信頼できる開発元のプラグインを使用しましょう。中には悪意のある不正コードが含まれるテーマやプラグインもあります。
対策ポイント
- ダウンロード数・評価・更新頻度を確認
- 数年前から更新が止まっているものは避ける
- テーマやプラグインを多く入れすぎない(管理が複雑化)
WordPressのセキュリティで最も重要なのが「アップデートを怠らないこと」です。
古いバージョンには既知の脆弱性が残っており、攻撃者はそれを狙います。
対策ポイント
- WordPress本体、テーマ、プラグインを常に最新バージョンに更新
- 不要なテーマ・プラグインは削除
- 自動更新を有効化
WordPress専用のセキュリティプラグインを導入することで、初心者でも簡単に攻撃検知やログ監視、スキャン機能を自動化することが可能です。
おすすめのプラグイン
- Wordfence Security
ファイアウォール+マルウェアスキャン - SiteGuard WP Plugin
ログインページ保護・画像認証 - iThemes Security
総合的な防御機能が充実
【関連記事】
WordPressのセキュリティを「SiteGuard WP Plugin」プラグインで高めよう
WordPressサイトを守るための最低限の対策を、「Site Guard WP Plugin」プラグインを例に使い方から注意点まで丁寧に解説。初心者でもすぐ導入できるセキュリティガイド。管理画面保護・ログインロック・画像認証など基本対策を網羅。
WebサイトのSSL化(HTTPS化)は、ユーザーとサーバー間の通信を暗号化し、サイト内で入力したパスワードや個人情報の盗聴・改ざんを防ぐことができます。他にも通信中の情報を保護することで、安心安全なWebサイトを提供することが可能になります。
サイトへの通信を暗号化するSSLは、今は全てのページに設定する常時SSLが必須となっています。
GoogleもHTTPS対応サイトを優先的に評価するため、SEO面でもメリットがあります。
対策ポイント
- WordPress設定の「サイトアドレス(URL)」を https:// に変更
.htaccessで常時SSLリダイレクト設定を行う
【関連記事】
WordPressのURLをhttpsに変更しよう
WordPressサイトをHTTPS化して通信を安全に。URLを変更・リダイレクト設定、SSL証明書導入など、手順と注意点を初心者にもわかりやすく解説します。
WordPressのファイル権限が緩いと、外部から改ざんされる恐れがあります。
基本的な推奨設定は以下の通りです。
- ファイル:
644 - ディレクトリ:
755 - wp-config.php:
600
自社でサーバーを管理するのは費用面も管理面も面倒で敷居が高く、レンタルサーバーを利用することが多いと思います。連続稼働率などを参考にすることが多いと思いますが、現在はWebサーバーは攻撃される物と考え、セキュリティについても検討材料に含めてご検討いただければと思います。
忘れがちですが、通信の安全も考える必要があります。
対策ポイント
- 信頼できるレンタルサーバーを選ぶ
- FTPではなくSFTP接続を利用
- 管理画面のみIPフィルタリングでアクセス制御
- WAF(Web Application Firewall)の設置
冒頭の英語サイトの改ざんは、WordPressのセキュリティ対策はしており、痕跡もないので、おそらくパーミッション設定の甘さから侵入されたと考えています。
どれだけ対策しても、100%安全ということはありません。
トラブル発生時に迅速に復旧するためには、バックアップが命綱となります。
【関連記事】
【保存版】WordPressのバックアップとは?目的・方法・おすすめツールを徹底解説
WordPressサイトをHTTPS化して通信を安全に。URLを変更・リダイレクト設定、SSL証明書導入など、手順と注意点を初心者にもわかりやすく解説します。
どれだけWordPressやテーマ・プラグイン、サーバーのセキュリティを高めても、それを運用する体制がザルでは、Webサイトを守ることができません。
WordfenceやiThemes Securityでは、変更ファイルを検出してメールで通知できます。
不審なアクセスログがないか、定期的に確認しましょう。
不正アクセスを隠すため、ログも改ざんしたケースも報告されています。できればログも改ざんされない対策を検討いただければと思います。
Googleはマルウェア感染などを検出すると通知してくれます。
サイトの所有確認を済ませ、セキュリティアラートを受け取れる状態にしておくことが重要です。
過去に担当したSearch Consoleで、勝手にユーザーが追加されたことが多々ありました。実害は無いだろうと、都度削除していましたが、原因不明で困りました。
複数人でWordPressを管理する場合は、アカウント権限を適切に分け、編集者・管理者の操作範囲を制限します。
パスワードの共有は禁止し、退職者アカウントは即時削除しましょう。
よく相談されるのは、退職者のアカウントが唯一の管理者で何も変更できず、なんとかして欲しいと言われます。
この場合は退職者のメールアドレスを復活されて、なんとかログインするしか方法が無いと思います。
今回はWordPressのセキュリティについて説明しました。
WordPressのセキュリティは、特別な知識がなくても「基本を徹底する」ことで大幅に向上します。
更新・バックアップ・監視を定期的に行い、トラブルを未然に防ぐ体制を整えることが、結果的にサイトとビジネスの信頼を守る最良の方法です。
「今は大丈夫」と油断せず、今日からできる小さな対策を積み重ねていきましょう。
で何ができて、何に気をつけるか.jpg)
素材サイトのご紹介
このサイトでも活用しているオススメの素材サイトです。
是非こちらのバナーからご利用ください。
wildhawkからも写真素材を提供しています。是非ご活用ください