WordPressのセキュリティ対策、初心者が最低限やること5選

あなたのWordPressサイトは今この瞬間も狙われている

ホームページ制作、運用サポート、SEO対策、コンテンツマーケティングなどの業務を通して、また何より「一緒に考える」こと。まずは対話から始めませんか?　コスモ企画の経験では、WordPressで作ったサイトを公開した瞬間から、世界中の自動スキャンツールがあなたのサイトを探し始めます。セキュリティ会社Wordfenceの調査によると、WordPressサイトへの攻撃試行は1日あたり数億件にのぼると報告されています。「小さなサイトだから大丈夫」という考えは危険です。攻撃ツールは人間ではなくボット（自動プログラム）が動かしており、サイトの規模や内容は関係なく無差別に攻撃を仕掛けてきます。以下の情報がお役に立つかもしれません。自己責任ではありますがお試しください。

被害を受けると何が起きるのか

WordPressへの不正アクセスが成功した場合、以下のような深刻な被害が発生します。サイトのコンテンツが別の内容（詐欺サイト・フィッシングページ）に改ざんされる、訪問者のデバイスにマルウェアを感染させるコードが埋め込まれる、Googleのセーフブラウジングに危険サイトとして登録されSEO評価が一気に下落する、といった事態が実際に多数報告されています。復旧には数日から数週間かかるケースもあり、ビジネス機会の損失は計り知れません。

初心者でも基本対策で8割の攻撃は防げる

一方で朗報もあります。実際のWordPressへの攻撃の大部分は、基本的なセキュリティ対策を施すだけで防ぐことができます。高度なハッキングより、「パスワードが弱い」「ログインURLがデフォルトのまま」「プラグインが古い」といった初歩的な設定ミスを突いた攻撃がほとんどだからです。今日紹介する5つの対策を実施するだけで、リスクを大幅に低減できます。

WordPress初心者が最低限やること5選

以下の5つはすべて無料のプラグインまたは標準機能で対応でき、プログラミングの知識は一切不要です。合計作業時間の目安は1〜2時間程度。優先度の高い順に並べていますので、上から順に実施してください。コスモ企画の提案では、以下の提案が解決のきっかけになれば幸いでございます。ぜひ参考にしてください

弊社のモットーは、
１．弊社では断言しません。でも、誠実に向き合います。
２．弊社では押し付けません。でも、本気で提案します。
３．弊社では保証しません。でも、一緒に挑戦します。

「お役に立つかもしれません。自己責任ではありますが、お試しください」

① ログインURLを変更する【優先度：最高】

WordPressの初期ログインページのURLは「https://あなたのドメイン/wp-login.php」または「/wp-admin」です。これは世界中のWordPressユーザーに共通しており、攻撃者が真っ先に狙う入口です。URLを予測困難な文字列に変えるだけで、ボットによる自動攻撃の大部分を入口の段階でシャットアウトできます。

設定手順：WPS Hide Loginプラグインを使う

WordPressの管理画面から【プラグイン】→【新規追加】で「WPS Hide Login」を検索し、インストール・有効化します。次に【設定】→【WPS Hide Login】を開き、「ログインURL」欄に「company-staff-login」のような第三者が推測しにくいパスを入力して保存します。設定後は必ず新しいログインURLをパスワードマネージャーやメモ帳に控えておきましょう。忘れるとサイトにログインできなくなります。

② 強力なパスワード＋二段階認証（2FA）を設定する【優先度：最高】

「admin」「123456」「サイト名+数字」といったパスワードは、ブルートフォース攻撃ツールが数秒〜数分で解読します。パスワードは16文字以上・英大文字・英小文字・数字・記号をすべて含むランダムな文字列にしてください。さらに二段階認証を加えることで、仮にパスワードが漏洩しても不正ログインを防ぐ二重の防衛ラインが完成します。

ユーザー名「admin」はすぐに変更を

WordPressインストール時のデフォルトのユーザー名「admin」は、攻撃者が最初に試すIDです。もし現在もadminを使用しているなら、新しい管理者ユーザーを作成してadminを削除してください。管理画面の【ユーザー】→【新規追加】から作業できます。

設定手順：Two Factor Authenticationプラグインを使う

「Two Factor Authentication」プラグインをインストール・有効化後、【ユーザー】→【プロフィール】の画面下部に2FA設定欄が表示されます。スマートフォンにGoogle AuthenticatorまたはAuthyアプリをインストールし、表示されるQRコードを読み取るだけで設定完了です。次回ログイン時からアプリのワンタイムパスワードが要求されます。

③ WordPress本体・プラグイン・テーマを最新版に保つ【優先度：高】

WordPressの開発チームやプラグイン開発者は、発見されたセキュリティの脆弱性を修正するアップデートを定期的にリリースします。しかし裏を返せば、アップデートのリリース時点で「旧バージョンにはこの脆弱性がある」という情報が公開されることになります。古いバージョンを使い続けることは、「ここに穴があります」と公表された状態に等しいのです。

アップデートを安全に行うための手順

アップデート前には必ずバックアップを取ることが大原則です（バックアップについては⑤で詳述）。その後、【ダッシュボード】→【更新】から利用可能なアップデートを確認し、WordPress本体→テーマ→プラグインの順に更新します。更新後は主要なページの表示が正常かを確認してください。また使用していない古いプラグインやテーマは削除しておくことも重要です。無効化しているだけでは脆弱性は残ります。

自動更新の活用と注意点

WordPress 5.5以降、プラグインごとに自動更新を有効にできます。【プラグイン】一覧の「自動更新を有効化」をクリックするだけです。ただし大型アップデートは稀にサイトの不具合を引き起こす場合があるため、重要なサイトでは本番環境への適用前にステージング環境でテストすることを推奨します。

④ セキュリティ専用プラグインを導入する【優先度：高】

セキュリティ専用プラグインは、24時間365日サイトを監視してくれる「デジタルガードマン」の役割を果たします。不正ログイン試行のブロック、ファイルの改ざん検知、マルウェアスキャン、IPアドレスのブラックリスト化など、手動では到底管理できない作業を自動化してくれます。

国内利用者に特におすすめ：SiteGuard WP Plugin

「SiteGuard WP Plugin」は日本の企業（JP-Secure）が開発した国産セキュリティプラグインで、管理画面がすべて日本語です。インストール後に有効化すると、ログインページへの画像認証（CAPTCHA）追加、ログイン試行回数の制限、管理ページへのアクセス制限、更新通知メールの送信などが自動で設定されます。初心者でも迷わず使えるインターフェースが最大の魅力です。

英語が苦にならない方にはWordfenceも有力

グローバルで最も広く使われているセキュリティプラグインが「Wordfence Security」です。リアルタイムの脅威インテリジェンスフィードを活用した高精度な不正アクセス検知が特徴で、無料版でも十分な機能を持ちます。ただし管理画面は英語のため、英語に不安がある場合はSiteGuardの方が扱いやすいでしょう。

⑤ 定期バックアップを自動化する【優先度：高】

セキュリティの世界では「バックアップは保険ではなく必須インフラ」と言われます。どれだけ万全な対策を講じていても、ゼロリスクは存在しません。ハッキング被害、誤操作によるデータ削除、サーバー障害など、不測の事態はいつでも起こりえます。バックアップさえあれば、最悪のシナリオでも数時間〜半日以内にサイトを復旧できます。

バックアップの3-2-1ルール

データ保護の基本ルールとして「3-2-1ルール」があります。「3つのコピーを、2種類の異なるメディアに、1つはオフサイト（外部）に保管する」というものです。WordPressの場合、サーバー上のバックアップ1つ＋クラウドストレージ1つという構成が現実的です。

設定手順：UpdraftPlusプラグインを使う

「UpdraftPlus」は国内外で最も使われているバックアッププラグインです。インストール・有効化後、【設定】→【UpdraftPlus バックアップ】を開きます。「ファイルスケジュール」「データベーススケジュール」をそれぞれ「毎週」以上に設定し、保存先としてGoogleドライブまたはDropboxを選択・連携します。初回のバックアップは「今すぐバックアップ」ボタンで手動実行し、クラウドに正常に保存されることを確認してください。

5つの対策の実施チェックリスト

対策を実施したら、以下のリストで確認してください。すべてにチェックが入れば、WordPressセキュリティの基礎は完成です。

設定確認リスト

【チェック①】ログインURLをデフォルトから変更済みである。【チェック②】管理者のユーザー名がadmin以外であり、パスワードが16文字以上のランダムな文字列である。【チェック③】二段階認証（2FA）が有効になっており、スマートフォンで動作確認済みである。【チェック④】WordPress本体・全プラグイン・全テーマが最新版に更新されており、未使用のプラグイン・テーマは削除済みである。【チェック⑤】セキュリティプラグインが有効化されており、不正ログイン試行のブロックが機能している。【チェック⑥】自動バックアップが設定されており、クラウドへの保存が確認済みである。

さらなるセキュリティ強化を目指すなら

5つの基本対策が完了したら、次のステップとして以下も検討しましょう。

SSLの導入（HTTPS化）

サイトとユーザーの間の通信を暗号化するSSL証明書の導入は、現代のWebサイトでは事実上必須です。多くのレンタルサーバーでは無料のSSL証明書が提供されており、管理画面から数クリックで設定できます。HTTPSになっていないサイトはGoogleから「保護されていない通信」として警告が表示され、SEOにも悪影響を与えます。

WAF（Webアプリケーションファイアウォール）の活用

WAFはSQLインジェクションやクロスサイトスクリプティング（XSS）など、高度な攻撃を検知・ブロックする仕組みです。レンタルサーバーのオプションとして提供されている場合が多く、サーバーの管理画面から有効化できます。WordPressを商用利用している場合は特に導入を推奨します。

まとめ：大切なサイトを守るのは今日の5分の行動から

WordPressのセキュリティ対策は、難しい専門知識がなくても始められます。今回紹介した5つの対策（①ログインURL変更、②強力なパスワード＋2FA、③定期アップデート、④セキュリティプラグイン導入、⑤自動バックアップ設定）はすべて無料で実施でき、合計1〜2時間あれば完了します。被害が出てから対処するのでは遅すぎます。「まだ大丈夫だろう」という油断が、最大のセキュリティホールです。今日のうちに①と②だけでも設定を済ませてみてください。それだけで、あなたのサイトの安全レベルは格段に向上します。WordPressの設定やセキュリティ対策でご不安な点がある方は、コスモ企画にお気軽にご相談ください。