安全にサイトを運営し続けるためには、継続的なセキュリティ対策を実施することが重要です。
WordPressでサイトを運営しているけれど、セキュリティ対策は何をすれば良いかわからないという方も多いのではないでしょうか。
セキュリティの知識が不安な方でも、今すぐ実践できるWordPressのセキュリティ対策方法をご紹介します。
WordPressのセキュリティ対策が必要な理由
サイバー攻撃のターゲットになりやすいWordPress
WordPressは、国内のシェアが82.9%(※1)でありユーザー数が非常に多いCMS(コンテンツ・マネジメント・システム)です。
カスタマイズしやすいプラグインやテーマが豊富で、個人や会社のウェブサイト作成に多く活用されている反面、ユーザー数が多いためにサイバー攻撃の標的にされやすいのも事実です。
オープンソースであるため脆弱性を見つけやすく、WordPressの内部構造もわかりやすいため攻撃しやすいと言われています。
(※1)Percentages of websites using various content management systems among the sites that use Japanese:W3Techs.com, 1 April 2025:https://w3techs.com/technologies/segmentation/cl-ja-/content_management
WordPressの脆弱性を狙った攻撃の事例
ロリポップの2020年1月から6月までのWAF(ウェブアプリケーションファイアウォール)の攻撃検出ログを元に集計された分析レポートによると、2020年上半期だけで約3億3,500万件もの不正アクセスを検出しました。これは、2019年1年分の件数をわずか半年で超える数字です。新型コロナウイルスの影響でオンライン利用が急増したこともあり、サイバー攻撃の件数も大きく増えました。
なお、WordPressに対する攻撃種別としてはWordPress設定ファイル「wp-config.php」を狙う動きが目立っています。検出箇所はプラグインとテーマの脆弱性を悪用した攻撃の検出が多い傾向にあります。
※出典:株式会社ジェイピー・セキュア『JP-Secure Labs Report Vol.05』
WordPressを使うなら、アクセス制限や権限設定の見直しが欠かせません。
セキュリティ対策で得られる3つのメリット
セキュリティ対策というと「守る」「防ぐ」というイメージが強いですが、検索評価の向上、信頼の強化、そしてトラブル時の損失軽減といった攻めの効果もあります。どれもサイト運営に欠かせない価値です。ここでは、代表的な3つのメリットを見ていきましょう。
- SEOとサイト評価の向上
- 顧客データ保護による信頼性アップ
- 復旧コスト・トラブル対応時間の削減
1. SEOとサイト評価の向上
SSL化や不正アクセス防止といった対策をしているサイトは、検索エンジンからの評価が安定しやすくなります。逆に、WordPressが攻撃を受けると、気づかないうちにスパム広告を仕込まれる改ざんや、不正リンクを貼られたことによるウイルス感染の危険が伴うようになります。
その結果、検索エンジンから危険サイトとみなされ、順位が急落しアクセスが激減することもあります。
つまり、セキュリティを強化することは、SEOの一部でもあるのです。安全なサイトは、検索エンジンにもユーザーにも信頼されるサイトとして扱われます。
2. 顧客データ保護による信頼性アップ
問い合わせフォームや会員登録などで得た個人情報は、貴重なデータです。もし流出すれば、信用を失うだけでなく、法的なトラブルに発展する可能性もあります。
だからこそ、暗号化通信(SSL)やログイン管理の徹底は欠かせません。安全に情報を預かる姿勢が伝われば、ユーザーは安心してサイトを利用してくれます。
セキュリティ対策は、トラブル防止以上に信用を守る行動なのです。
3. 復旧コスト・トラブル対応時間の削減
攻撃を受けてから復旧するには、想像以上の手間と時間がかかります。データの修復、サーバー再構築、顧客への連絡など、一度被害が起これば日常業務が止まることも珍しくありません。
しかし、事前にバックアップや防御設定を整えておけば、トラブル時の対応は驚くほどスムーズです。被害を最小限に抑え、すぐに通常運営へ戻ることができます。
WordPressのセキュリティ対策方法9選
WordPressサイトを安全に運用し続けるためには、自分のウェブサイトの状態を確認し、適切なセキュリティ対策を実施することが必要です。
セキュリティの知識が不安な方でも今すぐ実践できるセキュリティ対策方法を9つご紹介します。
- ユーザー名とパスワードの強化
- プラグインやテーマを最新にする
- WAFを活用して攻撃を防ぐ
- プラグインを使ったセキュリティ対策
- 管理画面へのアクセス制限(IP制限・国外アクセス遮断)
- ファイル・ディレクトリーの権限設定を見直す
- XML-RPC機能を無効化して外部攻撃を防ぐ
- バックアップの徹底
- 二要素認証の導入
1. ユーザー名とパスワードの強化
WordPress管理画面のユーザー名・パスワードは推測されにくいものにしましょう。
パスワードは英数字だけでなく、記号も含めて10文字以上を意識します。
なお、下記のようなパスワードは、不正にログインされやすく危険です。
- ユーザー名とパスワードが同一
- 推測されやすい単語を使用している(passwordやadminなど)
- パスワードが数字または英字のみ
- ドメイン名と同じ、または類似している
- WordPressのユーザー名とブログのニックネームが同一
2. プラグインやテーマを最新にする
WordPressのセキュリティを保つうえで、もっとも簡単で効果的なのが「更新」です。本体やプラグイン、テーマは、脆弱性が発見されると修正された新しいバージョンが配布されます。
更新を怠るほど攻撃されやすくなるため、常に最新の状態にしておきましょう。
なお、毎回手動でアップデートするのは面倒な場合は自動更新の設定もあります。自動で最新版に保たれるだけで、多くのリスクを回避できます。
また、使っていないプラグインであっても攻撃の対象となり得るため、不要なプラグインは無効化ではなく完全に削除するようにしましょう。
3. WAFを活用して攻撃を防ぐ
WAF(ウェブアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するためのセキュリティ機能です。
ウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃を自動的に検知してブロックします。
継続的にセキュリティルールがアップデートされるため、新しい攻撃手法にも備えられます。
多くのレンタルサーバーでは、サーバーの管理画面から簡単にWAFの設定ができる機能を提供しているので有効活用するようにしましょう。
ロリポップでも管理画面からWAFを設定することができます。
ロリポップ「WAFによる脆弱性対策」
4. プラグインを使ったセキュリティ対策
WordPressには、セキュリティ対策用のプラグインもあります。
ここでは攻撃を防ぐ対策に有効な「SiteGuard WP Plugin」を紹介します。
「SiteGuard WP Plugin」は、不正ログイン、管理ページ(/wp-admin/)への不正アクセス、コメントスパムを防ぐことができるプラグインです。
日本製のセキュリティプラグインで、ログイン関連のセキュリティを強化したい方、基本的なセキュリティ対策を手軽に行いたい方にむいています。
WordPress管理画面で、「プラグイン」「新規プラグインを追加」で検索して、「今すぐインストール」の後、プラグインを有効化すると利用できるようになります。
ログインURLの変更
WordPress管理画面のログインページURLを初期のURL(wp-login.php)から変更する機能です。
ログイン画面を見つけられないようにすることで、不正にログインを施行される攻撃を受けにくくします。
画像認証の追加・コメントスパム対策
ログイン画面に画像認証を追加することで、コンピュータープログラムによる自動攻撃から守ります。
また、WordPressにはコメント機能がありますが、悪意のある他者にスパムコメントを大量に投稿されるような攻撃もあります。コメントスパムが多すぎると、セキュリティやサイトの信頼性に影響が出てしまう可能性があります。
コメントスパムもまた、プログラムで自動投稿される場合が多いため、コメント欄にも画像認証を入れることで、自動投稿の攻撃からサイトを守りましょう。
セキュリティプラグインで手軽に多層防御
セキュリティ対策をすべて手動で行うのは大変です。そんなとき頼りになるのが、セキュリティプラグイン。専門知識がなくても、設定ひとつで複数の防御機能をまとめて導入できます。
例えば「All in One WP Security」や「Wordfence」は、ログイン試行回数の制限や不審なアクセスのブロック、ファイル改ざんの監視まで自動で行ってくれます。導入しておくだけで、日々のリスクを減らせるでしょう。
ただし、似た機能を持つプラグインを複数入れると、互いに干渉して動作が不安定になることも。必要な機能を見極め、シンプルな構成を心がけるのがコツです。
セキュリティ対策におすすめのプラグインについては、次の記事をご参考ください。
なぜWordPressプラグインが重要なのか?WordPressの可能性を最大限に引き出すためには、プラグインの活用が不可欠です。プラグインは、WordPressに様々な機能を追加し、サイトのSEO、セキュリティ強化、表示速度改善[…]
5. 管理画面へのアクセス制限(IP制限・国外アクセス遮断)
不正ログインの多くは、世界中のサーバーから自動的に試みられるものです。そこで効果的なのが、管理画面へのアクセスを自分や関係者のIPアドレスに限定する方法です。
会社や自宅のネット回線など、信頼できる環境だけに絞るだけで、不審なログイン試行を大幅に減らせます。さらに、海外からのアクセス自体を遮断する設定もおすすめです。多くの不正攻撃は国外から発信されるため、このひと手間でリスクを下げられます。
6. ファイル・ディレクトリーの権限設定を見直す
WordPressの中には、サイトを動かすための大切なファイルがたくさんあります。中でも「wp-config.php」や「.htaccess」に不正アクセスされると、設定を勝手に書き換えられたり、データを盗まれたりする危険があります。
そこで見直したいのが「ファイルの権限設定」です。例えば、閲覧はできても書き込みはできないようにするなど、必要最小限の権限に絞ることが大切です。FTPソフトやサーバーの管理画面から数分で変更できるので、専門知識がなくても難しくありません。
7. XML-RPC機能を無効化して外部攻撃を防ぐ
WordPressには「XML-RPC」という機能が標準で備わっています。本来はスマートフォンアプリや外部ツールから記事を投稿したり、リモートで操作したりするためのもの。ただ、この便利な仕組みが、攻撃者に悪用されることもあるのです。
代表的なのが、総当たりでパスワードを試すブルートフォース攻撃。XML-RPC経由で何千回もログインを試されるケースも珍しくありません。もし外部からの操作が不要なら、無効化を検討すると良いでしょう。
8. バックアップの徹底
万が一サイトが攻撃を受けた場合に備えて、定期的なバックアップは必須です。
バックアップからの復元手順を把握しておくと、トラブル時に素早くサイトを元に戻せます。
WordPressのサイトは、思わぬトラブルで一瞬にして画面が真っ白になったり、ログインできなくなったりと壊れてしまうことがあります。 また、外部からの不正アクセスによりサイトが勝手に書き換えられる可能性もゼロではありません。その[…]
9. 二要素認証の導入
WordPressのログインに二要素認証を導入すると、万が一パスワードが流入した際に不正ログインを防止できます。
二要素認証とは、パスワードなどの記憶情報、スマートフォンなどの所持情報、指紋などの生体情報のうち2つの組み合わせで本人認証のことをいいます。
具体的には、ログイン時にIDとパスワードを入力した後、スマートフォンアプリで生成される確認コードや登録されたメールアドレスに送信される確認コードを入力するなどの方法があります。
脆弱性・セキュリティ診断ツールを活用して定期的なチェックを
セキュリティ診断ツールなどで定期的な診断をしておくことで、古いプラグインや危険な設定を自動でチェックしてくれます。専門知識がなくても、ボタンひとつでサイトの安全度をチェックできます。
ロリポップが提供している「ネットde診断」は、設定に問題がある部分や危険なプラグインを自動で見つけてくれる便利なサービスです。
診断の結果を見ながら修正していけば、セキュリティの抜け漏れを防げます。月に一度の点検を習慣にすれば、安心してサイトを運営できます。
ロリポップ!ネットde診断とは?
Webサイトのセキュリティ対策状態をチェックし、レポートとして分かりやすく提示するオプションサービスです。
ロリポップをご利用の方は月額330円で、定期診断と手動診断の各1回の計2回の診断を実行させることができ、次のメリットがあります。
1. 定期診断と手動診断で2回診断ができる
・定期診断:自分で設定できる、毎月同じ日にセキュリティ診断を実行
・手動診断:気になるときに自分の任意のタイミングでセキュリティ診断を実行
2.分かりやすいレポート
専門用語が多いセキュリティ診断を初心者にも理解しやすい形式で結果を表示。
具体的な脆弱性の指摘や対策をガイドしてくれるため、すぐに対処しやすいのが特徴です。
<どんな人におすすめ?>
- WordPressのセキュリティが不安な初心者
- 自力で脆弱性診断が難しい人
- トラブルが起きる前に対処したい人
診断により脆弱性が見つかった場合には対策方法が提案されるので、セキュリティ強化につながります。「正しく対策できているか自信がない」という方には特におすすめです。
申し込み初月は無料で機能制限なしで定期診断と手動診断をお試しすることができます。
ロリポップ!ネットde診断
セキュリティレポートの確認と対応のルール化
セキュリティプラグインや診断ツールを入れても、結果を見るだけで終わってしまう人は少なくありません。
週に一度でも良いので、レポートを開き「どんな攻撃があったのか」「どの設定が弱いのか」をチェックしてみましょう。数字を見るだけでも、サイトがどれだけ狙われているか実感できるはずです。
続いて、対処の流れをあらかじめ決めておくことも大切です。異常を見つけたら誰が対応するのか、バックアップはどこにあるのかなどをルール化しておけば、いざというとき慌てずに行動できます。
まとめ
今回は、セキュリティ対策に自信がないという方も簡単に始められるWordPressのセキュリティ対策について紹介しました。
WordPressのもっとも基本的なセキュリティ対策方法は、最新バージョンにアップデートすることです。
WordPressサイトを安全に運用し続けるためには、脆弱性を検知してすばやく適切に対処する対策と、攻撃を未然に防ぐ対策をどちらも継続的に行うことが重要です。
自分で対策を考えるのが難しい場合は、ツールを活用すれば効率的に対策を行うことができます。
記事で紹介したセキュリティ対策方法を参考に、WordPressサイトのセキュリティを強化しましょう。
