【初心者必読】WordPressのセキュリティ対策とは?
なぜ必要?今すぐできる鉄壁の守り方と設定手順を徹底解説
「個人ブログだから狙われないだろう」「アクセスが少ないから大丈夫」
もしそう考えているなら、あなたのWordPressサイトは非常に危険な状態かもしれません。実は、ハッカーは「有名なサイト」だけでなく、「セキュリティの甘いサイト」を無差別に探し回っています。
この記事では、なぜWordPressが攻撃されやすいのかという理由から、初心者でも今日からできる具体的なセキュリティ対策、そして万が一の際のバックアップ方法までを網羅的に解説します。
自分のサイトと読者を守るために、今すぐ設定を見直しましょう。
なぜWordPressは攻撃されやすいのか?セキュリティ対策の必要性
WordPressは世界中で最も人気のあるCMS(コンテンツ管理システム)ですが、その人気ゆえに攻撃の標的になりやすいという側面があります。まずは敵を知ることから始めましょう。
世界シェアNo.1であるがゆえの標的リスク
WordPressは世界のWebサイトの40%以上(※)で使用されていると言われています。 ハッカーの視点に立つと、ユーザー数が多いシステムをターゲットにした方が、同じ攻撃プログラムで効率よく大量のサイトを攻撃できるため、必然的に標的となりやすいのです。 また、WordPressは「オープンソース(プログラムの中身が公開されている)」であるため、脆弱性(セキュリティの穴)が見つかると、その情報も広まりやすいという特徴があります。
ハッキングされた場合に起こる3つの被害リスク
「サイトが見られなくなるだけ」と思っていませんか?被害はそれだけにとどまりません。
- サイトの改ざん・乗っ取り トップページが全く関係のない海外サイトに書き換えられたり、身代金を要求する画面が表示されたりします。また、管理画面にログインできなくなり、サイトを取り戻せなくなるケースもあります。
- 個人情報・顧客情報の漏洩 お問い合わせフォームから送信されたデータや、会員サイトの場合はユーザー情報が盗まれる可能性があります。
- 踏み台(加害者)として利用されてしまうリスク これが最も怖い点です。あなたのサーバーが乗っ取られ、そこから他人のサイトへの攻撃や、スパムメールの大量送信の拠点(踏み台)として使われてしまいます。「被害者」であるはずが、気づかないうちに「加害者」になってしまうのです。
【基本編】今日からできるWordPressセキュリティの基礎対策
特別なツールを使わなくても、設定や意識を変えるだけで防げる攻撃はたくさんあります。まずはここから徹底しましょう。
WordPress本体・テーマ・プラグインを常に最新版にする
セキュリティ対策の基本中の基本です。更新通知が来たら、放置せずにすぐにアップデートを行ってください。 古いバージョンには既知の脆弱性が残ったままになっていることが多く、そこを突かれるケースが後を絶ちません。
- 本体: メジャーアップデートは特に重要
- プラグイン・テーマ: 使っているものはすべて最新に
ユーザー名「admin」の使用禁止と複雑なパスワード設定
管理画面へのログインID(ユーザー名)を「admin」や「サイト名」にしていませんか? これらは攻撃者が最初に試すIDです。推測されにくい独自のユーザー名に変更しましょう。 また、パスワードは「123456」や誕生日などの単純なものではなく、英数字と記号を混ぜた12桁以上の複雑なものを設定してください。
不要なプラグインとテーマの削除
「いつか使うかも」と無効化したまま放置しているプラグインやテーマはありませんか? 停止中であっても、サーバー内にファイルが存在する限り攻撃の対象になります。使っていないものは完全に「削除」することで、リスクを減らすことができます。
常時SSL化(HTTPS)の確認
サイトのURLが「http://」ではなく「https://」から始まっているか確認してください。 SSL化(通信の暗号化)は、通信中のデータを盗み見られることを防ぐために必須です。現在ではSEOの観点からも必須の設定となっています。多くのレンタルサーバーで無料で設定可能です。
【プラグイン編】セキュリティプラグインで防御力を高める方法
基本対策に加え、セキュリティ専用のプラグインを導入することで、防御力を格段に向上させることができます。
ログインURLの変更(SiteGuard WP Pluginなどの活用)
WordPressのデフォルトのログインURLは ドメイン/wp-admin/ や ドメイン/wp-login.php です。 これは全世界共通のため、攻撃者はこのURLにアクセスしてログインを試みます。
おすすめは、ログインURL自体を変更してしまうことです。 日本製のプラグイン**「SiteGuard WP Plugin」**などを使えば、簡単に独自のログインURLに変更できます。これだけで、機械的な不正ログイン攻撃の多くを遮断できます。
画像認証や二段階認証の導入
ログイン時に、IDとパスワードだけでなく、以下の認証を追加しましょう。
- 画像認証: 表示されたひらがなや英数字を入力させる(SiteGuard WP Pluginで対応可能)
- 二段階認証: スマホアプリに届くコードを入力させる(Google Authenticatorなど)
これにより、万が一パスワードが漏れても、第三者のログインを防ぐことができます。
海外からのアクセス制限設定
もしあなたのサイトが日本人向けの情報発信のみを行っているなら、海外からの管理画面へのアクセスを許可する必要はありません。 セキュリティプラグインやレンタルサーバーの機能を使って「海外IPアドレスからの管理画面アクセス」を制限しましょう。ハッキングの多くは海外経由であるため、非常に有効な対策です。
【サーバー・上級編】さらに強固にするための設定
サーバー側の機能を使うことで、サイトに到達される前に攻撃を防ぐことができます。
WAF(Webアプリケーションファイアウォール)の設定
WAF(ワフ)とは、Webサイトへの通信の中身を検査し、攻撃と判断される怪しい通信をブロックする機能です。 現在は、「Xserver」や「ConoHa WING」など主要なレンタルサーバーでは標準で無料提供されています。サーバーの管理パネルから「WAF設定」が「ON」になっているか必ず確認しましょう。
wp-config.phpなどの重要ファイルへのアクセス制限
WordPressの心臓部とも言える重要な設定ファイル wp-config.php。ここにはデータベース情報などが書かれています。 サーバーの .htaccess ファイルを編集して、この重要ファイルへの外部アクセスを禁止する記述を追加するのが理想的です。 (※サーバー操作に慣れていない場合は、セキュリティプラグインの機能で代替することをおすすめします)
万が一に備える「バックアップ」の重要性
どんなに強固なセキュリティ対策をしても、「100%安全」とは言い切れません。 明日サイトが真っ白になったとしても、すぐに復旧できるように**「バックアップ」**をとることが最後の命綱です。
自動バックアッププラグインの導入
手動でのバックアップは忘れてしまいがちです。プラグインを使って自動化しましょう。
- BackWPup: 日本での利用者が多く情報が豊富。Dropboxなど外部への保存が可能。
- UpdraftPlus: 設定が簡単で、復元(リストア)もボタン一つでできるため初心者におすすめ。
定期的なバックアップスケジュールの推奨設定
更新頻度にもよりますが、最低でも以下のようなスケジュールをおすすめします。
- 記事などのデータ(データベース): 毎日 または 毎週
- 画像やテーマ(ファイル): 毎週 または 毎月
- 保存先: サーバー内ではなく、GoogleドライブやDropboxなどの「外部ストレージ」に保存する(サーバーごとダウンした際に備えるため)。
まとめ:WordPressのセキュリティは「継続」が鍵
WordPressのセキュリティ対策は、「一度設定したら終わり」ではありません。攻撃の手口は日々進化しているため、常に最新の状態を保つことが最大の防御になります。
【読了後にすぐやるべきNext Action】
- WordPress・プラグインを全て更新する
- 「SiteGuard WP Plugin」などのプラグインを入れ、ログインURLを変更する
まずはこの2点から始めてみてください。あなたのサイトを守れるのは、あなただけです。今日からしっかりと鍵をかけ、安心してブログ運営を続けましょう。
