WordPressのセキュリティ対策とは？初心者が今すぐできる15の設定

WordPressでホームページを作るのは、初心者にとってハードルが高いですよね。

何から手をつければいいか分からなくなる気持ち、よくわかります。

できることなら、安全にWordPressを運営したいですよね。

実は、WordPressのセキュリティ対策は初心者でも簡単に行えます。

基本的な対策をしっかり行えば、深刻な被害には遭いません。

そこで今回は、「WordPress初心者が今すぐできるセキュリティ対策」をご紹介します。

WordPressに不安を抱えている方は、ぜひ最後までご覧ください。

WordPressが狙われやすい理由

WordPressは世界中で使われているCMS(コンテンツ管理システム)ですが、その人気ゆえにサイバー攻撃の標的になりやすいという特徴があります。

攻撃者は効率的に多くのサイトを狙えるため、WordPress利用者は特に注意が必要です。

まず最初に、なぜWordPressが狙われやすいのかについて見ていきましょう。

普及率の高さ

WordPressは全世界のWebサイトの約40%以上で使われています。

参考：Web の40%を支えるようになるまで（WordPress公式）

利用者が多いために、悪意のある人物から標的にされる可能性が高まっているのです。

たとえば、WordPress専用の攻撃手法を1つ開発すれば、世界中の膨大な数のサイトに対して同じ方法で攻撃を仕掛けられます。

普及率の高さが、そのままセキュリティリスクの高さにつながっていると言えるでしょう。

プラグインの脆弱性

WordPressの機能を拡張するプラグインには、セキュリティ上の弱点が含まれている場合があります。

開発者の技術レベルや更新頻度にばらつきがあり、脆弱性が放置されたまま配布されているケースも少なくありません。

具体的には、古いプラグインを使い続けていると、既知の脆弱性を突かれてサイトに不正アクセスされる危険性が高まります。

プラグインは便利ですが、安全性の確認と定期的な更新が欠かせないでしょう。

テーマの安全性の差

WordPressのテーマにも、作成者によって品質やセキュリティレベルに大きな差があります。

特に無料で配布されているテーマの中には、セキュリティ対策が不十分なものや、悪意のあるコードが仕込まれているものが存在するからです。

たとえば、出所不明なテーマをインストールすると、バックドアが設置されて管理者権限を奪われる可能性があります。

テーマを選ぶ際は、信頼できる提供元から入手することが重要です。

初期設定の弱さ

WordPressは初期状態のままだと、セキュリティ面で脆弱な設定になっています。

インストール直後は誰でも使いやすいように設定されており、セキュリティよりも利便性が優先されているからです。

仮に管理者IDが「admin」のままでパスワードも簡単なものだと、総当たり攻撃ですぐに突破されてしまいます。

初期設定を見直して強化することが、セキュリティ対策の第一歩になるでしょう。

自動攻撃ツールの存在

WordPress専用の自動攻撃ツールが数多く出回っており、誰でも簡単に攻撃を仕掛けられる状況です。

プログラミングの知識がなくても、ツールを使えば脆弱性のあるサイトを自動的に探し出すからです。

例として、24時間365日休むことなく世界中のWordPressサイトをスキャンして、弱点を探すボットが活動しています。

こうした自動攻撃から身を守るには、基本的な対策を確実に実施する必要があります。

WordPressでセキュリティ対策を怠るリスク

セキュリティ対策を行わないまま運営を続けると、さまざまな被害に遭う可能性があります。

被害の内容は技術的な問題だけでなく、ビジネスや信用にも深刻な影響を及ぼします。

サイトが改ざんされる

セキュリティが甘いと、攻撃者によってサイトの内容が勝手に書き換えられてしまいます。

管理画面に不正ログインされたり、脆弱性を突かれたりして自由にコンテンツを操作されるからです。

たとえば、トップページが見知らぬ広告や不適切な画像に置き換えられ、訪問者に不信感を与えてしまうケースがあります。

改ざんされると復旧に時間がかかるため、早めの対策が必要になるでしょう。

個人情報が流出する

お問い合わせフォームや会員登録で収集した個人情報が盗まれる危険性があります。

データベースへの不正アクセスや、管理画面の乗っ取りによって、顧客の名前・メールアドレス・電話番号などが外部に漏れてしまうのです。

具体的には、攻撃者がデータベースにアクセスして顧客リストを丸ごとダウンロードし、闇市場で売買されることもあります。

個人情報の流出は法的責任も問われるため、絶対に避けなければなりません。

検索順位が低下する

セキュリティ侵害を受けたサイトは、Googleからペナルティを受けて検索結果に表示されなくなります。

Googleは安全でないサイトを検索結果から除外する仕組みを持っており、マルウェアが検出されると警告表示や順位の大幅な低下が起こるためです。

仮にサイトがマルウェアの配布元として使われると、検索結果に「このサイトはコンピュータに損害を与える可能性があります」という警告が表示されます。

検索流入が途絶えると、ビジネスに大きな打撃となるでしょう。

顧客からの信用を失う

一度セキュリティ事故を起こすと、顧客や取引先からの信頼を取り戻すのは非常に困難です。

情報漏洩やサイト改ざんのニュースは瞬く間に広がり、「管理がずさんな会社」というイメージが定着してしまうからです。

例として、個人情報流出の発表後に取引停止や契約解除が相次ぎ、事業の継続が難しくなった企業も実際に存在します。

信用は一朝一夕では築けないため、日頃からの対策が重要になります。

サイトが使えなくなる

攻撃によってサイト全体が機能停止し、復旧までの間ビジネスがストップしてしまいます。

ランサムウェアに感染してデータが暗号化されたり、サーバーリソースを使い尽くされたりすると、サイトにアクセスできない状態が続くのです。

たとえば、攻撃者がサイトを人質にとって金銭を要求し、支払わなければデータを削除すると脅迫してくるケースもあります。

サイト停止は機会損失に直結するため、予防的な対策が不可欠です。

今すぐできるWordPressセキュリティ対策5選

初心者でもすぐに実践できる基本的なセキュリティ対策を紹介します。

これらの対策は特別な知識がなくても実施可能で、サイトの安全性を大きく向上させることができます。

管理者のパスワードを強化

管理画面へのログインパスワードを、推測されにくい複雑なものに変更しましょう。

単純なパスワードは総当たり攻撃や辞書攻撃で簡単に破られてしまい、不正ログインを許してしまうからです。

たとえば、大文字・小文字・数字・記号を組み合わせた12文字以上のランダムな文字列を使用すると、攻撃者が突破するのは極めて困難になります。

パスワード管理ツールを活用して、強固なパスワードを設定してください。

管理者アカウント名を変更

デフォルトの管理者アカウント名「admin」から、別の名前に変更することが重要です。

多くの攻撃者は「admin」というアカウント名が存在する前提で攻撃を仕掛けてくるため、変更するだけで攻撃の成功率を下げられます。

具体的には、推測されにくい独自のユーザー名を新規作成し、古い「admin」アカウントを削除する手順を踏みます。

この簡単な変更だけで、自動攻撃の多くを防ぐことができるでしょう。

最新版にアップデートする

WordPress本体・テーマ・プラグインは常に最新バージョンに保ちましょう。

アップデートには脆弱性の修正が含まれており、古いバージョンを使い続けると既知の弱点を突かれるリスクが高まるためです。

仮に重大な脆弱性が発見されると、その情報は公開され攻撃者も把握するため、アップデートしていないサイトは格好の標的になります。

通知が来たらすぐに更新して、常に最新の状態を維持してください。

不要なテーマやプラグインを削除

使っていないテーマやプラグインは、有効化していなくても削除してください。

インストールされているだけで脆弱性の入り口となり、攻撃者に悪用される可能性があるからです。

例として、停止中のプラグインに脆弱性が見つかった場合でも、ファイルが残っていればそこから侵入される危険があります。

定期的に見直しを行い、使わないものは完全に削除することが大切です。

管理画面のURLを変更する

デフォルトの管理画面URLである、「/wp-admin」や「/wp-login.php」を別のアドレスに変更してください。

攻撃者は標準のURLに対して自動攻撃を仕掛けてくるため、URLを変更するだけで大量の攻撃を回避できるのです。

たとえば、「SiteGuard WP Plugin」というプラグインなら簡単に管理画面のURLを変更できます。

URLを変更することで、自動ボットによる攻撃はログイン画面にたどり着けなくなるのです。

この対策は手軽で効果が高いため、ぜひ実施しておきましょう。

セキュリティをさらに強化する5つの設定

基本的な対策に加えて、より高度なセキュリティ設定を行うことで防御力をさらに高められます。

少し手間はかかりますが、大切なサイトを守るためには検討する価値があるでしょう。

二段階認証を導入する

ログイン時のパスワードに加えて、スマートフォンのアプリなどで生成される認証コードの入力を求める仕組みです。

パスワードが漏洩しても、二段階認証があれば不正ログインを防げるため、セキュリティレベルが格段に向上します。

具体的には、「Two-Factor」というプラグインをインストールすることで、Google Authenticatorアプリを使った二段階認証が導入できます。

二段階認証の導入で、アカウント乗っ取りのリスクを大幅に減らせるでしょう。

ログイン試行回数を制限する

一定回数ログインに失敗したIPアドレスからのアクセスを一時的にブロックする設定です。

総当たり攻撃は何千回もログインを試みる手法なので、試行回数に制限を設けることで攻撃を無力化できます。

たとえば、「Limit Login Attempts Reloaded」というプラグインでは、特定のIPアドレスからのログイン試行回数を制限できます。

数回連続でログインに失敗したら、指定時間そのIPアドレスをブロックする設定も可能です。

専用プラグインで簡単に設定できるので、なるべく導入しておきましょう。

海外からのアクセスを制限する

日本国内向けのサイトであれば、海外からの管理画面アクセスを遮断する設定が有効です。

WordPressへの攻撃の多くは海外から行われており、国内からのアクセスのみ許可すれば大半の攻撃を防げるためです。

たとえば、「IP Geo Block」というプラグインを導入すれば、訪問者の所在地に基づいてサイトへのアクセスをブロックします。

仮に海外のIPアドレスからの管理画面アクセスをすべてブロックすると、海外に拠点を持つ攻撃者はログイン画面にすらアクセスできません。

サーバー側で制限をかけることができるため、日本国内を対象とする場合は検討しましょう。

サーバーのWAFを有効化する

WAF(ウェブアプリケーションファイアウォール)は、悪意のあるアクセスを自動的に検知してブロックする仕組みです。

SQLインジェクションやクロスサイトスクリプティングなど、代表的な攻撃パターンを防いでくれるため、専門知識がなくても高度な防御が可能になります。

たとえば、人気の高いエックスサーバーには、「WAF設定」があります。

レンタルサーバーの管理画面でWAFをオンにするだけで、さまざまな攻撃手法に対する保護をしてくれるようです。

多くのサーバーで標準搭載されているので、なるべく有効化しておいてください。

自動バックアップを設定する

万が一攻撃を受けた場合に備えて、サイトのデータを定期的に自動でバックアップする設定を行いましょう。

どれだけ対策をしても100%の安全はないため、被害を受けた際に迅速に復旧できる体制を整えておくことが重要だからです。

具体的には、毎日自動でデータベースとファイルをバックアップし、外部のクラウドストレージに保存する設定をしておけば安心です。

「UpdraftPlus」や「All-in-One WP Migration and Backup」というプラグインは人気です。

バックアップがあれば、最悪の事態でも被害を最小限に抑えられるでしょう。

セキュリティ対策後に確認したいチェックポイント

セキュリティ設定を行った後は、正しく機能しているか確認作業が必要です。

設定ミスがあるとサイトが使えなくなったり、対策が無効になったりする可能性があります。

セキュリティ対策をした後は、以下をチェックするようにしてください。

正常にログインできるか

セキュリティ設定変更後、管理画面に問題なくログインできることを確認しましょう。

設定を厳しくしすぎると、自分自身もログインできなくなってしまうトラブルが起こりえるためです。

たとえば、IPアドレス制限を設定した直後に、自分のIPアドレスが変わってログインできなくなるケースがあります。

設定後は必ず別のブラウザやデバイスからもログインテストを行ってください。

アクセス制限が正しく動作しているか

設定したアクセス制限やログイン試行制限が意図したとおりに機能しているか確認が必要です。

制限が正しく動作していないと、セキュリティ対策をしたつもりでも実際には無防備な状態になってしまいます。

具体的には、わざと間違ったパスワードで複数回ログインを試みて、設定した回数でブロックされるかテストする方法があります。

動作確認を怠らず、確実に機能していることを確かめましょう。

サイトの表示や動作に問題がないか

セキュリティプラグインや設定変更によって、サイトの表示が崩れたり機能が動かなくなったりしていないか確認します。

セキュリティ設定が他のプラグインやテーマと干渉して、予期しない不具合を引き起こす場合があるためです。

仮にお問い合わせフォームが送信できなくなったり、画像が表示されなくなったりすると、訪問者に迷惑をかけてしまいます。

各ページを実際に閲覧して、すべての機能が正常に動くことを確認してください。

セキュリティログや通知を確認

セキュリティプラグインが記録するログや、通知メールをチェックする習慣をつけてください。

ログには不審なアクセスや攻撃の試みが記録されており、早期発見によって被害を未然に防げる可能性が高まります。

例として、特定のIPアドレスから大量のログイン試行があった場合、ログを見ることでその事実を把握し、さらなる対策を講じることができます。

定期的にログを確認して、異常がないか目を光らせることが大切です。

サーバーの更新情報を見逃さない

利用しているレンタルサーバーからの重要なお知らせやメンテナンス情報を確認しましょう。

サーバー側のセキュリティアップデートや仕様変更によって、設定の見直しが必要になるケースがあるからです。

たとえば、サーバーのPHPバージョンが更新されると、古いプラグインが動かなくなったり、セキュリティ設定の調整が必要になったりします。

サーバーからのメールは必ず目を通して、必要な対応を取ってください。

WordPressでセキュリティ対策をする際の落とし穴

セキュリティ対策を進める上で、初心者が陥りがちな失敗例があります。

これらを事前に知っておくことで、無駄な手間や新たなリスクを避けられます。

プラグインを入れすぎて重くなる

セキュリティプラグインを何個も有効化すると、サイトの表示速度が遅くなってしまいます。

プラグインが増えるほどサーバーへの負荷が高まり、処理に時間がかかるようになるためです。

たとえば、似たような機能を持つセキュリティプラグインを5つも6つも入れると、サイトが使いづらくなり、訪問者の離脱を招きます。

必要最小限のプラグインに絞り、機能が重複しないように注意してください。

無料テーマや野良プラグインを使う

公式ディレクトリ以外で配布されている無料テーマやプラグインには、危険なコードが含まれている可能性があります。

開発元が不明なものや、怪しいサイトからダウンロードしたファイルには、マルウェアやバックドアが仕込まれているリスクがあるのです。

具体的には、無料を装った悪意のあるテーマをインストールした結果、サイトが乗っ取られて個人情報が盗まれた事例が報告されています。

必ず公式ディレクトリや信頼できる有料テーマを利用してください。

FTPのパスワードを使い回す

FTPアカウントのパスワードを他のサービスと同じものにしていると、一箇所から情報が漏れた際に芋づる式に被害が広がります。

FTPアカウントが乗っ取られると、サイトのすべてのファイルを操作されてしまうため、被害は甚大です。

仮に別のサービスで漏洩したパスワードがFTPと同じだった場合、攻撃者は簡単にサーバーに侵入してマルウェアを仕込むことができます。

適当なパスワードを使用せず、必ず独自の強力なものに変更してください。

アップデートを怖がって放置する

「アップデートしたら不具合が起きるのでは」と心配して、更新を先延ばしにするのは危険です。

アップデートには重要なセキュリティ修正が含まれており、放置すると既知の脆弱性を突かれる可能性が高まります。

例として、アップデート通知を何ヶ月も無視していた結果、古いバージョンの脆弱性を利用されてサイトが改ざんされたケースがあります。

不安な場合は事前にバックアップを取り、速やかにアップデートを実施してください。

一度やって終わりにする

セキュリティ対策は一度設定したら終わりではなく、継続的な管理が必要です。

新しい脆弱性は日々発見されており、攻撃手法も進化し続けているため、定期的な見直しと更新が欠かせません。

たとえば、半年前に完璧だった対策でも、新たな脆弱性が発見されれば無力化されてしまう可能性があります。

月に一度はセキュリティ状況を確認し、必要に応じて対策を追加しましょう。

WordPressのセキュリティ対策よくある質問

初心者がセキュリティ対策を進める際に、よく疑問に思う点をまとめました。

不安や迷いを解消して、適切な対策を進めていきましょう。

セキュリティプラグインは有料版が必要？

無料版でも基本的なセキュリティ機能は十分に利用できます。

多くのセキュリティプラグインは無料版でもファイアウォールやマルウェアスキャンなど、重要な機能を提供しているからです。

たとえば、「Wordfence」や「iThemes Security」などの無料版でも、ログイン制限やセキュリティスキャンといった基本対策は問題なく実施できます。

まずは無料版を試して、必要に応じて有料版を検討するとよいでしょう。

無料テーマより有料テーマの方が安全？

必ずしも有料だから安全とは限りませんが、有料テーマの方が一般的にサポートや更新が充実しています。

有料テーマは開発者がビジネスとして運営しているため、脆弱性への対応やアップデートが継続的に行われる傾向にあるのです。

具体的には、公式ディレクトリの無料テーマでも審査を通過した安全なものは多く存在しますが、有料テーマは専門チームが管理している安心感があります。

価格だけでなく、更新頻度やレビューを確認して選ぶことが大切です。

どのくらいの頻度で確認すればいい？

最低でも月に1回は、アップデートやセキュリティログの確認を行ってください。

攻撃は24時間365日行われる可能性があり、定期的なチェックによって異常を早期発見できるためです。

仮に週に1回チェックする習慣をつければ、万が一問題が発生しても被害が広がる前に対処できます。

カレンダーにリマインダーを設定して、確認を習慣化しましょう。

今まで攻撃されなかったから大丈夫？

過去に攻撃されていないからといって、今後も安全である保証はありません。

攻撃者は常に新しい脆弱性を探しており、ある日突然ターゲットになる可能性があるからです。

例として、長年問題なく運営していたサイトが、新たに発見された脆弱性を突かれて一夜にして被害を受けたケースは珍しくありません。

油断せず、今からでも基本的なセキュリティ対策を実施しましょう。

もしハッキングされたらどうすればいい？

サイトを一時的に閉鎖し、バックアップから復元する作業を行ってください。

被害を拡大させないために迅速な対応が必要で、専門家の助けを借りることも検討すべきです。

たとえば、管理画面にログインできなくなった場合は、サーバー会社のサポートに連絡し、FTPやデータベースから復旧作業を進めることになります。

日頃からバックアップを取っておけば、復旧作業がスムーズに進むでしょう。

実際にあったハッキング被害事例

私たちのお客様の中にも、過去にWordPressサイトがハッキングされた事例がありました。

お客様はサーバーのコントロールパネルからWordPressをインストールしたそうですが、インストールしただけで放置していたようです。

設置したことすら忘れていた中で、ある日突然サーバー会社から「ハッキングの被害にあった可能性があるため、至急確認してほしい」というメールが届いたとのこと。

その旨をご連絡いただいたときは、とても驚きました。

私たちが提供したサービスはポータルサイトだったので、他のユーザーに影響を与えると大変です。

お客様から依頼されてサーバーの状況を確認し、WordPressを削除後にシステムの一部を入れ替えました。

海外のサイトに誘導するマルウェアが仕込まれていましたが、幸い目立った被害はなく、サイトを停止するほどではありませんでした。

しかし、こういったケースは珍しくなく、初心者ほど軽視しがちな問題とも言えます。

WordPressは手軽に使えるツールだからこそ、いつも以上にセキュリティを意識しなければいけません。

常に「セキュリティの危険にさらされている」ことを意識し、WordPressのセキュリティ対策を行っていただければと思います。

まとめ

WordPressは世界中で使われているからこそ攻撃の標的になりやすく、プラグインやテーマの脆弱性、初期設定の弱さが狙われやすい理由です。

セキュリティ対策を怠ると、サイトが改ざんされたり個人情報が流出したりして、顧客からの信用を失う深刻なリスクがあります。

しかし、管理者パスワードの強化やアカウント名の変更、最新版へのアップデートといった基本的な対策を実施すれば、多くの攻撃を防ぐことができます。

さらに二段階認証やログイン試行回数の制限、自動バックアップの設定を行えば、セキュリティはより強固になるでしょう。

設定後は正常にログインできるか確認し、定期的にセキュリティログをチェックする習慣をつけてください。

プラグインの入れすぎや無料テーマの安易な使用、アップデートの放置といった落とし穴に注意しながら、継続的に対策を見直すことが重要です。

初心者でも一つひとつ確実に実践すれば、安全なWordPressサイトを運営できます。

今日からできることを始めて、安心してサイト運営ができるようにしてください。