WordPressのセキュリティ対策、今すぐ確認すべきこと

なぜWordPressは攻撃者に狙われやすいのか

ホームページ制作、運用サポート、SEO対策、コンテンツマーケティング、そして何より「一緒に考える」こと。まずは対話から始めませんか?　　コスモ企画によると、WordPressは世界中のWebサイトの約43%で使用されているCMS（コンテンツ管理システム）です。シェアが高いということは、それだけ攻撃者にとって「効率よく狙える標的」であることを意味します。大企業だけでなく、中小企業や個人ブログも例外ではありません。以下の情報がお役に立つかもしれません。自己責任ではありますがお試しください。

主な攻撃パターンを知っておく

WordPressへの攻撃は大きく3種類に分類されます。まず「ブルートフォース攻撃」と呼ばれるパスワードの総当たり試行、次に「SQLインジェクション」によるデータベースへの不正アクセス、そして「マルウェア感染」によるサイト改ざんです。これらは対策を講じれば大半を防ぐことができます。

被害が発生したときの影響範囲

セキュリティ侵害が起きると、個人情報や顧客データの漏洩、Googleからのブラックリスト登録によるSEOへのダメージ、サイトの一時停止による機会損失など、ビジネスへの深刻な打撃につながります。復旧コストは予防コストの数十倍になることも珍しくありません。

チェックポイント①：WordPressコアとプラグインのバージョン管理

セキュリティ対策の基本中の基本は、常に最新バージョンへのアップデートを維持することです。古いバージョンには既知の脆弱性が含まれており、攻撃者はそれを悪用したツールを広く使用しています。コスモ企画の考えでは、以下の情報が何かのお役に立てれば幸いでございます。ぜひご活用ください

弊社のモットーは、
１．弊社では断言しません。でも、誠実に向き合います。
２．弊社では押し付けません。でも、本気で提案します。
３．弊社では保証しません。でも、一緒に挑戦します。

「お役に立つかもしれません。自己責任ではありますが、お試しください」

自動更新の設定を確認する

WordPress管理画面の「ダッシュボード」→「更新」から、コア・プラグイン・テーマのアップデート状況を定期的に確認しましょう。マイナーバージョンについては自動更新を有効にすることを推奨します。ただしメジャーアップデートは互換性の確認が必要なため、バックアップ取得後に手動で行う運用が安全です。

使用していないプラグインとテーマは削除する

「無効化」しているだけでは不十分です。使用していないプラグインやテーマはファイルとしてサーバーに残り続けるため、脆弱性が残存するリスクがあります。不要なものは「削除」まで徹底することが重要です。

プラグイン選定時の安全基準

新しいプラグインを導入する際は、①最終更新日が1年以内、②有効インストール数が1,000以上、③レビュー評価が3.5以上の3点を目安にしてください。公式リポジトリ（WordPress.org）以外からのインストールは特に注意が必要です。

チェックポイント②：管理画面のログイン強化

管理画面URL（/wp-admin）はデフォルトで誰でもアクセス可能です。ここへの不正ログイン試行は、多くのWordPressサイトで日常的に発生しています。

ログインURLを変更してアクセスを隠す

「WPS Hide Login」などのプラグインを使用すると、管理画面のURLを任意のパスに変更できます。例えば「/wp-admin」を「/company-manage-2024」のような推測されにくい文字列に変えるだけで、自動化された攻撃ツールの大半を無効化できます。

ログイン試行回数を制限する

「Limit Login Attempts Reloaded」などのプラグインを活用し、一定回数のログイン失敗後に該当IPアドレスからのアクセスを一時的にブロックする設定を入れましょう。デフォルトは5回失敗でロック・20分間ブロックが一般的な設定です。

二段階認証（2FA）を導入する

「Two Factor Authentication」プラグインを使用することで、パスワードに加えてスマートフォンの認証アプリによる確認を必須化できます。仮にパスワードが漏洩しても、物理的なデバイスがなければログインできないため、セキュリティが飛躍的に向上します。

管理者アカウントの「admin」使用は厳禁

WordPressのデフォルト管理者名「admin」は攻撃者が最初に試みるユーザー名です。現在もadminアカウントを使用している場合は、新しいユーザー名で管理者アカウントを作成し、旧アカウントを削除することを強く推奨します。

チェックポイント③：SSL証明書とHTTPS化の徹底

Webサイトの通信を暗号化するSSL証明書の導入は、今日では最低限のセキュリティ要件です。Googleも2018年以降、HTTPサイトに「保護されていない通信」の警告を表示しており、SEOにも直接影響します。

HTTPSへのリダイレクト設定を確認する

SSL証明書を取得しているだけでは不十分な場合があります。「http://」でアクセスした際に自動的に「https://」へリダイレクトされているかを確認しましょう。.htaccessファイルへの記述、またはWordPressの「Really Simple SSL」プラグインで設定できます。

混在コンテンツ（Mixed Content）の解消

ページ内の画像・CSS・JavaScriptが「http://」で読み込まれている状態（混在コンテンツ）は、ブラウザに警告が表示されセキュリティ評価が下がります。ブラウザの開発者ツール（F12）→コンソールタブで警告が出ていないか確認しましょう。

チェックポイント④：ファイルパーミッションとwp-config.phpの保護

サーバーのファイルアクセス権限（パーミッション）の設定ミスは、攻撃者にファイルを読み書きされる原因になります。特に「wp-config.php」はデータベース接続情報を含む最重要ファイルです。

推奨パーミッション設定

適切なパーミッション設定の目安はディレクトリが「755」、ファイルが「644」です。特にwp-config.phpは「400」または「440」に設定し、サーバー管理者のみが読み取り可能な状態にすることを推奨します。FTPクライアント（FileZillaなど）やサーバーのファイルマネージャーから確認できます。

wp-config.phpをルートディレクトリの上位に移動する

wp-config.phpはWordPressのルートディレクトリより1階層上に配置することができます。Webからの直接アクセスができなくなるため、セキュリティが向上します。この設定はWordPress公式でも推奨されています。

チェックポイント⑤：セキュリティプラグインの導入

個別の対策を一元管理できるセキュリティプラグインの導入は、管理負担を大幅に軽減します。代表的なプラグインを比較して、自サイトの規模と用途に合ったものを選びましょう。

主要セキュリティプラグインの比較

「Wordfence Security」はファイアウォール・マルウェアスキャン・ログイン保護を網羅した最も導入実績の多いプラグインです。無料版でも十分な機能を持ちますが、リアルタイム脅威インテリジェンスはプレミアム版（年額約$99）で利用可能です。「SiteGuard WP Plugin」は日本語対応で国内での利用者が多く、管理画面URLの変更や画像認証など日本語環境に最適化されています。

セキュリティスキャンを定期実行する

マルウェアや不審なファイル変更を早期発見するために、週1回以上の定期スキャン設定を推奨します。多くのセキュリティプラグインはスケジュール設定でスキャンを自動化でき、問題検出時にメール通知を受け取ることができます。

WAF（Webアプリケーションファイアウォール）の活用

WordfenceなどのWAF機能を有効にすることで、SQLインジェクションやXSS（クロスサイトスクリプティング）といった一般的な攻撃をリクエスト段階でブロックできます。ホスティングサービス側でWAFを提供している場合は、サーバーレベルでの保護も合わせて確認しましょう。

チェックポイント⑥：定期バックアップ体制の構築

すべてのセキュリティ対策を講じても、100%の安全は保証できません。万が一の侵害発生時に迅速に復旧するためのバックアップ体制は、セキュリティ対策の最後の砦です。

バックアップの3-2-1ルール

データ保護の業界標準「3-2-1ルール」に基づき、①3つのコピー（本番・ローカル・クラウド）を②2種類の異なるメディアに③1つはオフサイトに保管することを意識してください。WordPressであれば「UpdraftPlus」プラグインでGoogle DriveやDropboxへの自動バックアップが簡単に設定できます。

バックアップの頻度と保持期間の目安

更新頻度の高いサイトは毎日、更新が少ないサイトは週1回のバックアップが基本です。保持期間は直近30日分を維持することを推奨します。また、バックアップを取得するだけでなく、定期的に復元テストを行い、正常に復旧できることを確認することが重要です。

チェックポイント⑦：XMLRPCとREST APIの不要な公開を制限する

WordPressにはXMLRPCとREST APIという2つの外部連携機能があり、不要な場合は攻撃の入口になる可能性があります。使用していないのであれば、アクセスを制限することを検討してください。

XMLRPC機能を無効化する方法

Jetpackなど一部のプラグインはXMLRPCを使用しますが、利用していない場合は.htaccessに以下を記述してアクセスをブロックできます。また「Disable XML-RPC」プラグインを使用することで、コードを書かずに無効化が可能です。

REST APIのアクセス制御

WordPress REST APIはデフォルトで一部のエンドポイントが認証なしにアクセス可能です。ユーザー情報（/wp-json/wp/v2/users）への外部アクセスはユーザー名を特定される原因になるため、「Disable REST API」プラグインや.htaccessによるアクセス制限を検討しましょう。

今すぐ実践！WordPressセキュリティ対策チェックリスト

本記事で解説した7つのチェックポイントを、実施状況の確認に役立つチェックリスト形式でまとめます。まだ対応していない項目から優先的に着手してください。

優先度：高（今すぐ対応）

①WordPressコア・プラグイン・テーマを最新バージョンにアップデートする ／ ②管理者アカウント名「admin」を変更する ／ ③ログイン試行制限プラグインを導入する ／ ④SSL証明書を適用しHTTPS化を完了させる ／ ⑤使用していないプラグイン・テーマを削除する

優先度：中（今週中に対応）

⑥セキュリティプラグイン（Wordfence等）を導入しスキャンを実行する ／ ⑦定期バックアップを設定し外部ストレージへの保存を確認する ／ ⑧wp-config.phpのパーミッションを確認・変更する ／ ⑨管理画面URLを変更する

優先度：低（今月中に対応）

⑩二段階認証を管理者アカウントに設定する ／ ⑪XMLRPCが不要であればアクセスを制限する ／ ⑫REST APIのユーザー情報エンドポイントへのアクセスを制限する ／ ⑬バックアップの復元テストを実施する

セキュリティ対策はプロに相談するのも有効な選択肢

WordPressのセキュリティ対策は、設定項目が多岐にわたり、技術的な知識が必要な場面も少なくありません。「自社サイトのセキュリティ状態が心配」「対策を実施したが正しいか確認したい」という方は、Webサイト制作・運用のプロフェッショナルへの相談をご検討ください。コスモ企画では、WordPressサイトのセキュリティ診断から改善対応まで、貴社の状況に合わせたサポートを提供しています。