目次
「WordPressは世界で最も使われているCMS。だからこそ、攻撃対象になりやすいのも事実。」
「セキュリティをおろそかにすると、改ざんや個人情報流出につながる危険性が…」
この記事では、初心者でもすぐに実践できるセキュリティ対策をまとめました。
1. WordPressが狙われやすい理由
- 世界シェアが高い: 効率よく攻撃できる
- 脆弱性の情報が豊富: 攻撃手法が確立されている
- プラグインの多様性: セキュリティホールが生まれやすい
- 初期設定の甘さ: デフォルト設定のまま使用する人が多い
- サイト改ざん: 悪意のあるコードの埋め込み
- 個人情報流出: 顧客データの盗取
- SEOスパム: 検索順位の下落
- サーバー負荷: 他サイトへの攻撃の踏み台
重要な事実
WordPressサイトの約40%が何らかのセキュリティ問題を抱えているという調査結果があります。 攻撃される前に予防することが最も重要です。
2. セキュリティ対策まとめ10選
基本の10選
以下の10の対策を実践することで、WordPressサイトのセキュリティを大幅に向上させることができます。 初心者でも今日から始められる内容を中心に解説します。
3. 管理画面のURL変更
デフォルトの/wp-adminは攻撃者にとって分かりやすいため、 カスタムURLに変更することで攻撃を回避できます。
WPS Hide Loginプラグインを使用する方法:
- プラグインをインストール・有効化
- 設定 → WPS Hide Login
- 新しいログインURLを設定(例:
/login)
テーマのfunctions.phpに以下を追加:
1234567891011121314効果
管理画面URLを変更することで、ブルートフォース攻撃を90%以上削減できます。 攻撃者がログインページを見つけられなくなるためです。
4. 強固なパスワード+2段階認証
- 12文字以上: 長さが重要
- 大文字・小文字・数字・記号: 複雑性を高める
- 辞書にない単語: 推測されにくい
- 定期的な変更: 3ヶ月ごとに更新
- Google Authenticator: スマホアプリ
- Authy: バックアップ機能付き
- Wordfence 2FA: プラグイン内蔵
- メール認証: シンプルな方法
12345パスワード管理のコツ
パスワードマネージャー(1Password、LastPassなど)を使用して、 強固で一意のパスワードを管理しましょう。覚える必要がなくなり、 セキュリティも向上します。
5. 定期的なアップデート(WP本体・テーマ・プラグイン)
セキュリティパッチは定期的にリリースされるため、 アップデートを怠ると既知の脆弱性を攻撃される可能性があります。
管理画面 → ダッシュボード → 更新で確認
- 自動更新の有効化
- メジャーアップデートは手動確認
- バックアップ後に実行
定期的に更新をチェック:
- 使用中のテーマ・プラグインのみ
- 不要なものは削除
- 更新履歴を確認
wp-config.phpに以下を追加:
123アップデート前の注意点
必ずバックアップを取ってからアップデートを実行してください。 特にメジャーアップデートでは、テーマやプラグインとの互換性問題が発生する可能性があります。
6. 不要なテーマ・プラグインの削除
インストールされているが使用していないテーマやプラグインは、 セキュリティホールとなる可能性があります。
- デフォルトテーマ: Twenty Twenty-Four以外のデフォルトテーマ
- 未使用プラグイン: インストール後使用していないもの
- 古いバージョン: 更新されていないプラグイン
- テスト用ファイル: 開発時に作成したテストファイル
123456789定期的な見直し
月1回はインストール済みのテーマ・プラグインを見直し、 不要なものを削除する習慣をつけましょう。サーバーの容量も節約できます。
7. セキュリティ系プラグイン導入
専門的なセキュリティプラグインを使用することで、 自動的にセキュリティ対策を強化できます。
- ファイアウォール: 悪意のあるリクエストをブロック
- マルウェアスキャン: 定期的なセキュリティチェック
- 2段階認証: ログインセキュリティ強化
- ログイン監視: 不正アクセスの検知
- ユーザーアカウント保護: アカウント関連のセキュリティ
- ファイルシステム保護: ファイルアクセスの制限
- データベースセキュリティ: DB接頭辞の変更
- ブラックリスト機能: 悪意のあるIPのブロック
プラグイン選択のポイント
1つのセキュリティプラグインに絞ることをお勧めします。 複数のプラグインを同時に使用すると、競合やパフォーマンスの問題が発生する可能性があります。
8. ログイン試行回数制限
ブルートフォース攻撃(総当たり攻撃)を防ぐため、 ログイン試行回数を制限します。
人気のログイン制限プラグイン:
- 試行回数: 4回
- ロックアウト時間: 20分
- IPアドレス単位で制限
Wordfenceを使用している場合:
- 設定 → ブルートフォース保護
- ログイン試行回数: 5回
- ロックアウト時間: 30分
12345678910111213149. ファイル編集禁止設定
管理画面からのファイル編集を禁止することで、 攻撃者がコードを改ざんすることを防げます。
1234567設定後の注意点
この設定を有効にすると、管理画面からファイルを編集できなくなります。 ファイルの編集が必要な場合は、FTPやSSHを使用してください。
10. データベース接頭辞の変更
デフォルトのwp_接頭辞は攻撃者にとって分かりやすいため、 カスタム接頭辞に変更することでセキュリティを向上させます。
重要
既存サイトでは実行しないでください。新規インストール時のみ推奨される設定です。 既存サイトで実行すると、データベースが破損する可能性があります。
12345678WordPressを新規インストールする際は、 インストール画面で「テーブル接頭辞」をカスタム値に変更してください。 デフォルトのwp_は避けましょう。
11. バックアップの自動化
セキュリティ対策の最後の砦はバックアップです。 万が一の攻撃を受けた場合でも、迅速に復旧できます。
- UpdraftPlus: 無料版でも十分な機能
- BackWPup: 多様な保存先に対応
- Duplicator: サイト移行にも対応
- Jetpack Backup: 自動化が簡単
- データベース: 毎日
- ファイル: 週1回
- 完全バックアップ: 月1回
- 更新前: 必ず手動バックアップ
バックアップのベストプラクティス
3-2-1ルールを適用しましょう: 3つのコピー、2つの異なるメディア、1つはオフサイト保存。 クラウドストレージ(Google Drive、Dropbox)への自動アップロードも設定してください。
12. SSL(HTTPS)化
SSL証明書を使用してHTTPS化することで、 データの暗号化とSEO効果を得られます。
多くのレンタルサーバーで無料提供:
- さくらインターネット
- エックスサーバー
- ロリポップ
- お名前.com
wp-config.phpに以下を追加:
1234567自動でHTTPS化を設定:
- プラグインをインストール・有効化
- 設定画面で「Go ahead, activate SSL!」をクリック
- 自動でHTTP→HTTPSリダイレクト設定
13. VPSや専用サーバーならではの追加対策
共有サーバーでは設定できない、サーバーレベルのセキュリティ対策を紹介します。
14. ファイアウォール設定
サーバーレベルでファイアウォールを設定し、 不要なポートへのアクセスをブロックします。
123456789101112131415設定時の注意点
SSHポート(22)をブロックしないよう注意してください。 設定ミスでサーバーにアクセスできなくなる可能性があります。 設定前は必ず別のSSHセッションを開いておきましょう。
15. SSH接続の強化
SSH接続のセキュリティを強化し、 不正アクセスを防ぎます。
1234公開鍵認証の設定:
12345678デフォルトポート(22)を変更:
12345616. Fail2Ban での不正アクセス対策
Fail2Banを使用して、不正なアクセス試行を自動的にブロックします。
12345678910111213141516171819202122232425262728Fail2Banの効果
Fail2Banを設定することで、ブルートフォース攻撃を自動的に検知・ブロックできます。 ログファイルを監視し、異常なアクセスパターンを検出したIPアドレスを自動的にブロックします。
17. セキュリティを強化するためのおすすめプラグイン
- 機能: ファイアウォール、マルウェアスキャン、2FA
- 料金: 無料版あり、有料版は年$99
- 特徴: 最も人気のセキュリティプラグイン
- 対象: 初心者〜上級者
- 機能: 多機能セキュリティスイート
- 料金: 無料版あり、有料版は年$80
- 特徴: 設定が簡単、初心者向け
- 対象: 初心者〜中級者
- 機能: 包括的なセキュリティ対策
- 料金: 完全無料
- 特徴: 無料で高機能
- 対象: 初心者〜中級者
- 機能: マルウェアスキャン、ファイアウォール
- 料金: 無料版あり、有料版は年$199
- 特徴: クラウドベースの保護
- 対象: 中級者〜上級者
プラグイン選択のガイドライン
初心者: All In One WP Security(無料)
中級者: Wordfence Security(無料版)
上級者: Wordfence Security(有料版)またはSucuri
18. まとめ
セキュリティ対策の重要性
「基本の10選+サーバー側の対策」がベスト
「攻撃される前に予防する」意識を持つことが大切
- 強固なパスワード+2段階認証(最重要)
- 定期的なアップデート
- セキュリティプラグインの導入
- バックアップの自動化
- SSL(HTTPS)化
- 管理画面URLの変更
- 不要なテーマ・プラグインの削除
- ログイン試行回数制限
- ファイル編集禁止設定
- データベース接頭辞の変更(新規サイトのみ)
- 月1回: プラグイン・テーマの見直し
- 週1回: セキュリティログの確認
- 日1回: バックアップの確認
- 随時: セキュリティ情報の収集
この記事が、WordPressサイトのセキュリティ強化に役立てば幸いです。 セキュリティ対策で困ったことがあれば、お気軽にお問い合わせください。
