安全にサイトを運営し続けるためには、継続的なセキュリティ対策を実施することが重要です。
WordPressでサイトを運営しているけれど、セキュリティ対策は何をすれば良いかわからないという方も多いのではないでしょうか。
セキュリティの知識が不安な方でも今すぐ実践できるWordPressのセキュリティ対策方法をご紹介します。
WordPressのセキュリティ対策が必要な理由
サイバー攻撃のターゲットになりやすいWordPress
WordPressは、国内のシェアが82.9%(※1)でありユーザー数が非常に多いCMS(コンテンツ・マネジメント・システム)です。
カスタマイズしやすいプラグインやテーマが豊富で、個人や会社のウェブサイト作成に多く活用されている反面、ユーザー数が多いためにサイバー攻撃の標的にされやすいのも事実です。
オープンソースであるため脆弱性を見つけやすく、WordPressの内部構造もわかりやすいため攻撃しやすいと言われています。
(※1)Percentages of websites using various content management systems among the sites that use Japanese:W3Techs.com, 1 April 2025:https://w3techs.com/technologies/segmentation/cl-ja-/content_management
WordPressの脆弱性を狙った攻撃の事例
WordPressに対する攻撃種別としてはWordPress設定ファイルの読み取りが多く、検出箇所はプラグインとテーマの脆弱性を悪用した攻撃の検出が多い傾向にあります。(※2)
(※2)出典:株式会社ジェイピー・セキュア『JP-Secure Labs Report Vol.05』
ロリポップの2020年1月から6月までのWAF(ウェブアプリケーションファイアウォール)の攻撃検出ログを元に集計された分析レポートによる。
WordPressのセキュリティ対策方法
WordPressサイトを安全に運用し続けるためには、自分のウェブサイトの状態を確認し、適切なセキュリティ対策を実施することが必要です。
セキュリティの知識が不安な方でも今すぐ実践できるセキュリティ対策方法をご紹介します。
1. ユーザー名とパスワードの強化
WordPress管理画面のユーザー名・パスワードは推測されにくいものにしましょう。
パスワードは英数字だけでなく、記号も含めて10文字以上を意識します。
なお、下記のようなパスワードは、不正にログインされやすく危険です。
- ユーザー名とパスワードが同一
- 推測されやすい単語を使用している(passwordやadminなど)
- パスワードが数字または英字のみ
- ドメイン名と同じ、または類似している
- WordPressのユーザー名とブログのニックネームが同一
2. プラグインやテーマを最新に
WordPress本体のバージョン、インストールしているテーマやプラグインが古い場合、脆弱性が発見されたバージョンのままになっている可能性があります。
WordPressやプラグインに脆弱性が発見されると、修正された新しいバージョンが公開されます。
最新版にアップデートすることで攻撃を防ぎましょう。
また、使っていないプラグインであっても攻撃の対象となり得るため、不要なプラグインは無効化ではなく完全に削除するようにしましょう。
3. WAFを活用して攻撃を防ぐ
WAF(ウェブアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するためのセキュリティ機能です。
ウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃を自動的に検知してブロックします。
継続的にセキュリティルールがアップデートされるため、新しい攻撃手法にも備えられます。
多くのレンタルサーバーでは、サーバーの管理画面から簡単にWAFの設定ができる機能を提供しているので有効活用するようにしましょう。
ロリポップでも管理画面からWAFを設定することができます。
4. プラグインを使ったセキュリティ対策
WordPressには、セキュリティ対策用のプラグインもあります。
ここでは攻撃を防ぐ対策に有効な「SiteGuard WP Plugin」を紹介します。
「SiteGuard WP Plugin」は、不正ログイン、管理ページ(/wp-admin/)への不正アクセス、コメントスパムを防ぐことができるプラグインです。
日本製のセキュリティプラグインで、ログイン関連のセキュリティを強化したい方、基本的なセキュリティ対策を手軽に行いたい方に向いています。
WordPress管理画面で、「プラグイン」「新規プラグインを追加」で検索して、「今すぐインストール」の後、プラグインを有効化すると利用できるようになります。
ログインURLの変更
WordPress管理画面のログインページURLをデフォルトのURL(wp-login.php)から変更する機能です。
ログイン画面を見つけられないようにすることで、不正にログインを施行される攻撃を受けにくくします。
ログインページ、コメント投稿に画像認証を追加
ログイン画面に画像認証を追加することで、コンピュータープログラムによる自動攻撃から守ります。
また、WordPressにはコメント機能がありますが、悪意のある他者にスパムコメントを大量に投稿されるような攻撃もあります。
コメントスパムが多すぎると、セキュリティやサイトの信頼性に影響が出てしまう可能性があります。
コメントスパムもまた、プログラムで自動投稿される場合が多いと言われています。
コメント欄にも画像認証を入れることで、自動投稿の攻撃からサイトを守りましょう。
コメントスパム対策には、「Akismet」もおすすめです。
その他のセキュリティ対策におすすめのプラグインについては、セキュリティ対策にオススメのWordPressのプラグインをぜひご覧ください。
5. バックアップの徹底
万が一サイトが攻撃を受けた場合に備えて、定期的なバックアップは必須です。
バックアップからの復元手順を把握しておくと、トラブル時に素早くサイトを元に戻せます。
WordPressを使ってWebサイトやブログを作っている方で、バックアップの設定に困っているという方もいらっしゃるのではないでしょうか。この記事では、データの破損に備えるためのバックアップの取り方について解説しています。[…]
6. 二要素認証の導入
WordPressのログインに二要素認証を導入すると、万が一パスワードが流入した際に不正ログインを防止できます。
二要素認証とは、パスワードなどの記憶情報、スマートフォンなどの所持情報、指紋などの生体情報のうち2つの組み合わせで本人認証のことをいいます。
具体的には、ログイン時にIDとパスワードを入力した後、スマートフォンアプリで生成される確認コードや登録されたメールアドレスに送信される確認コードを入力するなどの方法があります。
WordPressに対応しているプラグインは多数提供されているので、管理画面に導入してみましょう。
「ロリポップ!ネットde診断」でセキュリティ対策状況を可視化
ロリポップ!ネットde診断とは
ウェブサイトのセキュリティ対策状態をチェックし、レポートとして分かりやすく提示するオプションサービスです。
ロリポップをご利用の方は月額330円で、定期診断と手動診断の各1回の計2回の診断を実行させることができ、以下のようなメリットがあります。
1.定期診断と手動診断で2回診断ができる
・定期診断:自分で設定できる毎月同じ日にセキュリティ診断を実行
・手動診断:気になるときに自分の任意のタイミングでセキュリティ診断を実行
2.分かりやすいレポート
専門用語が多いセキュリティ診断を初心者にも理解しやすい形式で結果を表示。具体的な脆弱性の指摘や対策をガイドしてくれるため、すぐに対処しやすいのが特徴です。
どんな人におすすめ?
- WordPressのセキュリティが不安な初心者
- 自力で脆弱性診断が難しい人
- トラブルが起きる前に対処したい人
診断により脆弱性が見つかった場合には対策方法が提案されるので、セキュリティ強化につながります。「正しく対策できているか自信がない」という方には特におすすめです。
申し込み初月は無料で機能制限なしで定期診断と手動診断をお試しすることができます。
おわりに
今回は、セキュリティ対策に自信がないという方も簡単に始められるWordPressのセキュリティ対策について紹介しました。
WordPressのもっとも基本的なセキュリティ対策方法は、最新バージョンにアップデートすることです。
WordPressサイトを安全に運用し続けるためには、脆弱性を検知してすばやく適切に対処する対策と、攻撃を未然に防ぐ対策をどちらも継続的に行うことが重要です。
自分で対策を考えるのが難しい場合は、ツールを活用すれば効率的に対策を行うことができます。
記事で紹介したセキュリティ対策方法を参考に、WordPressサイトのセキュリティを強化しましょう。
