WordPressのセキュリティ対策 — サイトを守るための基本
WordPressのセキュリティ対策 — サイトを守るための基本
> このページのURL: https://lite-word.com/manual/wp-security/
> こんな質問に答えます:
> - サイトがハッキングされないか心配
> - セキュリティ対策って何をすればいいの?
> - 不正ログインを防ぐ方法を知りたい
> - WordPressのセキュリティプラグインは入れたほうがいい?
「ハッキングされたらどうしよう」「セキュリティ対策って何をすればいいの?」——そんな不安を持つ方に向けて、WordPressサイトを守るための基本対策をわかりやすく解説します。難しい専門知識がなくても、このページの内容を順番に実行するだけで、サイトの安全性は大きく向上します。
なぜWordPressが狙われるのか
WordPressは世界中のWebサイトの約43%で使われている、圧倒的なシェアを持つCMS(コンテンツ管理システム)です。これは裏を返せば、攻撃者にとって最も効率のいいターゲットであることを意味します。
- 1つの脆弱性を見つければ、世界中の何百万ものサイトに同じ手口で攻撃できる
- 初心者が多く、セキュリティ対策をしていないサイトが大量に存在する
- プラグインやテーマが豊富な分、脆弱なコードが混在しやすい
「自分のサイトは小さいから狙われないだろう」は危険な思い込みです。 攻撃の多くは自動化されたボットによるもので、サイトの規模に関係なく無差別に行われます。
よくある攻撃の種類
| 攻撃の名前 | どんな攻撃? | わかりやすく言うと |
|---|---|---|
| ブルートフォース攻撃 | ログイン画面でパスワードを片っ端から試す | 鍵の番号を1番から順番に全部試して開けようとする泥棒 |
| マルウェア注入 | サイトに悪意あるコードを埋め込む | サイトにウイルスを仕込んで、訪問者のパソコンに感染させたり、別のサイトに飛ばしたりする |
| SQLインジェクション | データベースに不正な命令を送り込む | お問い合わせフォームなどの入力欄から、データベースの中身を盗み出す・書き換える |
| XSS(クロスサイトスクリプティング) | サイトに悪意あるスクリプトを埋め込む | 掲示板やコメント欄に悪意あるコードを書き込み、他の訪問者のブラウザで実行させる |
これらの攻撃は毎日、自動的に、世界中のWordPressサイトに対して行われています。 「まだ被害に遭っていない」のは、たまたま運が良かっただけかもしれません。
今すぐやるべき基本対策(重要度順)
以下の対策を上から順番に実行してください。上にあるものほど重要度が高く、効果も大きいです。
1. 強力なパスワードを設定する
これが最も重要な対策です。 弱いパスワードは、ブルートフォース攻撃で数分以内に突破されます。
| ダメなパスワード | 良いパスワード |
|---|---|
password |
kR7$mP2x!bNq9wLz |
123456 |
Yt#8dFg&3nKp$5sW |
admin2026 |
Wq!4rZ@9xCv$7mBn |
| サイト名そのまま | 意味のない英数字記号の組み合わせ |
パスワードのルール:
- 12文字以上(16文字以上が理想)
- 英大文字・英小文字・数字・記号をすべて含める
- 辞書に載っている単語をそのまま使わない
- 他のサービスと同じパスワードを使い回さない
覚えられない場合はパスワードマネージャー(1Password、Bitwardenなど)を使いましょう。
2. ユーザー名「admin」を使わない
WordPressをインストールするとき、ユーザー名を「admin」にしている人が非常に多いです。攻撃者はこれを知っているため、まず「admin」でログインを試みます。
- 新しいサイトを作るときは、最初から「admin」以外のユーザー名を設定する
- 既に「admin」を使っている場合は、新しい管理者アカウントを作成してから「admin」を削除する
3. WordPress・テーマ・プラグインを常に最新に保つ
アップデートにはセキュリティの修正(パッチ)が含まれていることが多いです。古いバージョンのまま放置すると、既知の脆弱性を攻撃されるリスクが高まります。
- WordPress本体: 管理画面の「ダッシュボード」→「更新」から確認
- テーマ: 「外観」→「テーマ」で更新通知を確認
- プラグイン: 「プラグイン」→「インストール済みプラグイン」で更新通知を確認
自動更新を有効にしておくのもおすすめです。 WordPress本体のマイナーアップデート(セキュリティ修正)はデフォルトで自動更新されますが、プラグインやテーマも自動更新をオンにしておくと安心です。
4. 使っていないテーマ・プラグインを削除する
「無効化」しているだけでは不十分です。無効化していても、そのファイルはサーバー上に残っているため、脆弱性があれば攻撃の入口になります。
- 使っていないプラグインは「無効化」ではなく「削除」する
- テーマも使っていないものは削除する(ただし、デフォルトテーマは1つ残しておくことを推奨)
5. ログインURLを変更する
WordPressのログインページは、デフォルトで サイトURL/wp-admin/ または サイトURL/wp-login.php です。これは世界中の攻撃者が知っています。ログインURLを変更するだけで、ブルートフォース攻撃の大部分を防げます。
おすすめプラグイン: WPS Hide Login(無料・軽量・簡単)
- 「プラグイン」→「新規プラグインを追加」で「WPS Hide Login」を検索してインストール
- 「設定」→「WPS Hide Login」でログインURLを好きな文字列に変更
- 変更後のURLを忘れないようにメモしておく
6. ログイン試行回数を制限する
ブルートフォース攻撃は、何千回・何万回とログインを試みます。試行回数を制限すれば、一定回数失敗したIPアドレスを自動的にブロックできます。
おすすめプラグイン: Limit Login Attempts Reloaded(無料)
- 例: 「5回失敗したら15分間ロック」「10回失敗したら24時間ロック」のように設定
7. 二要素認証(2FA)を導入する
二要素認証とは、パスワードに加えてもう1つの認証方法を追加する仕組みです。たとえパスワードが漏洩しても、スマートフォンの認証アプリがなければログインできないため、安全性が飛躍的に向上します。
おすすめプラグイン: Two Factor(無料・WordPress公式チームが開発に関与)
- プラグインをインストール・有効化
- 「ユーザー」→「プロフィール」で二要素認証の方法を選択
- Google Authenticatorなどの認証アプリでQRコードを読み取る
- 表示されたコードを入力して設定完了
セキュリティプラグインの比較
総合的にサイトを保護してくれるセキュリティプラグインも活用しましょう。
| プラグイン名 | 特徴 | 費用 | おすすめ度 |
|---|---|---|---|
| Wordfence Security | ファイアウォール、マルウェアスキャン、ログイン保護を統合。世界で最も使われているWordPressセキュリティプラグイン | 無料版あり / 有料版 年$119〜 | 高機能を求める方に |
| SiteGuard WP Plugin | 日本製。ログインページの変更、画像認証、管理画面のアクセス制限など。軽量で日本語対応が完璧 | 無料 | 日本語環境で手軽に始めたい方に |
| Sucuri Security | サーバー側でのファイアウォール(WAF)が強力。マルウェア除去サービスも提供 | 無料版あり / 有料版 年$199〜 | サーバー側の防御を重視する方に |
| iThemes Security | 30以上のセキュリティ機能をまとめて設定できる。初心者向けのセットアップウィザード付き | 無料版あり / 有料版 年$99〜 | 手軽に多機能を使いたい方に |
| All-In-One Security | ファイアウォール、ログイン保護、データベースセキュリティなど包括的。UIがわかりやすい | 無料 | 無料で総合的に対策したい方に |
迷ったら「SiteGuard WP Plugin」がおすすめです。 日本製で設定もシンプル、日本語環境との相性が良く、軽量なのでサイト速度への影響も最小限です。
SSL/HTTPSの必須性
SSL/HTTPSは、サイトとユーザーの間の通信を暗号化する仕組みです。セキュリティ対策の大前提として、サイトは必ずHTTPS化しておきましょう。
- ログイン情報やフォームの入力内容が暗号化される
- ブラウザに「保護されていない通信」と表示されなくなる
- Googleの検索順位にもプラスに影響する
まだHTTPS化していない方は、今すぐ設定してください。
詳しい設定方法は SSL/HTTPSとは? — Webサイトのセキュリティ基本ガイド をご覧ください。
ファイルのパーミッション設定の基本
ファイルのパーミッション(権限設定)とは、「誰がそのファイルを読み書き・実行できるか」を制御する仕組みです。パーミッションが緩すぎると、攻撃者がファイルを書き換えやすくなります。
WordPressで推奨されるパーミッション設定:
| 対象 | 推奨パーミッション | 説明 |
|---|---|---|
| ディレクトリ全般 | 755 |
所有者は読み書き実行可、他は読み取り・実行のみ |
| ファイル全般 | 644 |
所有者は読み書き可、他は読み取りのみ |
wp-config.php |
600 または 440 |
データベースのパスワードなどが記載されているため、最も厳しく制限する |
.htaccess |
644 |
リダイレクトやセキュリティルールを記述するファイル |
確認・変更方法:
- レンタルサーバーの管理画面(ファイルマネージャー)から確認・変更できることが多い
- FTPソフト(FileZillaなど)でもファイルを右クリック→「パーミッション変更」で設定可能
わからない場合はレンタルサーバーのサポートに問い合わせるのが確実です。初期設定のまま正しく設定されていることも多いので、心配な場合は確認だけしておきましょう。
定期的にやること(セキュリティメンテナンス)
セキュリティは「一度設定して終わり」ではありません。以下のことを定期的に行いましょう。
月1回やること
- WordPress本体・テーマ・プラグインの更新確認 — 管理画面の「更新」ページをチェック
- バックアップの取得 — 万が一に備えて、データベースとファイルの両方をバックアップ(UpdraftPlusなどのプラグインで自動化がおすすめ)
- 不審なユーザーの確認 — 「ユーザー」一覧に見覚えのないアカウントがないかチェック
- プラグインの棚卸し — 使っていないプラグインがあれば削除
3ヶ月に1回やること
- パスワードの変更 — 特に管理者アカウントのパスワードは定期的に変更
- セキュリティプラグインのログ確認 — ブロックされた攻撃の傾向を確認
- バックアップの復元テスト — バックアップが正しく復元できるか、一度テストしておくと安心
「ハッキングされたかも?」と思ったときの対処
以下のような症状が出たら、サイトが侵害されている可能性があります。
ハッキングの兆候:
- サイトにアクセスすると知らないページに飛ばされる(リダイレクト)
- 見覚えのない広告やリンクが表示される
- Google検索結果に「このサイトは第三者によってハッキングされている可能性があります」と表示される
- 管理画面にログインできなくなった
- 見覚えのないユーザーアカウントが作成されている
- サイトの表示が極端に遅くなった
対処の手順(落ち着いて順番に):
- すべてのパスワードを変更する — WordPress管理画面、データベース、FTP、レンタルサーバーの管理画面、すべて変更する
- マルウェアスキャンを実行する — Wordfenceなどのセキュリティプラグインでスキャン。レンタルサーバーによってはサーバー側でもスキャン機能を提供している
- 不審なユーザー・プラグイン・テーマを削除する — 見覚えのないものはすべて削除
- バックアップから復元する — 感染前のバックアップがあれば、そこから復元するのが最も確実
- WordPress・テーマ・プラグインをすべて最新版に更新する — 復元後、必ず最新版にアップデート
- 専門家に相談する — 自力で対処が難しい場合は、セキュリティの専門家やレンタルサーバーのサポートに相談する
大切なのは「日頃からバックアップを取っておくこと」です。 バックアップがあれば、最悪の場合でも復元できます。
よくある質問
Q. 無料のセキュリティプラグインだけで十分ですか?
個人サイトや小規模なビジネスサイトであれば、無料プラグインで十分です。 SiteGuard WP Pluginでログイン保護をし、Wordfence無料版でマルウェアスキャンをする、という組み合わせが人気です。ECサイトや会員サイトなど、個人情報を多く扱うサイトは有料プランを検討しましょう。
Q. セキュリティプラグインを複数入れても大丈夫ですか?
同じ機能を持つプラグインを複数入れると競合する場合があります。 たとえば、ファイアウォール機能を持つプラグインを2つ入れると、互いに干渉してサイトが正常に動作しなくなることがあります。「ログインURL変更用」と「マルウェアスキャン用」のように、役割が異なるプラグインの組み合わせなら問題ありません。
Q. レンタルサーバーのセキュリティ機能だけでは不足ですか?
レンタルサーバーのセキュリティ機能(WAF、国外IPブロックなど)はサーバーレベルの防御として有効です。ただし、WordPress固有の攻撃(ログインへのブルートフォース、プラグインの脆弱性を狙った攻撃など)には、WordPress側でも対策が必要です。サーバーとWordPress、両方で対策するのがベストです。
Q. アップデートしたらサイトが壊れることはありますか?
可能性はゼロではありません。まれに、アップデート後にプラグイン同士の互換性の問題やテーマとの相性で不具合が出ることがあります。だからこそ、アップデート前にはバックアップを取っておくことが重要です。 バックアップがあれば、問題が起きてもすぐに元の状態に戻せます。
Q. 「ログインURL変更」と「二要素認証」、どちらを先にやるべきですか?
ログインURLの変更が先です。 これだけでボットによる自動攻撃の大部分を防げます。二要素認証はより強固な対策ですが、スマートフォンの認証アプリの設定が必要なので、まずはログインURL変更から始めましょう。
Q. パスワードを覚えられないのですが、メモに書いてもいいですか?
紙のメモに書いて安全な場所に保管するのは、実はそこまで悪い方法ではありません。ただし、パソコンのデスクトップにテキストファイルで保存したり、ブラウザに保存したりするのは危険です。パスワードマネージャー(1Password、Bitwardenなど)を使うのが最も安全で便利な方法です。
最終更新: 2026-03-17