WordPress(ワードプレス) は、機能的にも優れていて無料で使える便利なシステム(CMS)のため人気となっており、世界の Webサイトの約43%のシェアを占めていといわれています(W3Techs 2025年データ を参照)。
ですが裏を返せばそれだけ利用者が多いので、悪い人たち(クラッカー)から最も狙われやすいシステムなんですよね。そのため WordPress を利用する際は、セキュリティ対策が必須になります。
WordPress へ不正アクセス(クラッキング)されたら、マルウェア(悪意あるプログラム)に感染させられて、以下のような被害が発生しています。
- サイトが改ざんされる
- 踏み台にされて迷惑メールを大量送信される
- 個人情報が盗まれる
- 今まで書いた記事がぜんぶ消える
などなど、たくさんの被害事例があります。考えただけでも恐ろしいですね。
とうことで今回は、初心者の方が “最低限しておきたいセキュリティ対策4つ” と、中級者向けに “プラグインを使わない効果的なセキュリティ対策3つ” をお伝えいたします。
セキュリティ対策に絶対はありませんが、実はほとんどの被害は最低限の対策をサボっているサイトに集中しています。
この7つのセキュリティ対策をやっておくだけでも WordPress の防衛力はかなり上がりますので、ぜひ参考にしてみてくださいね。
WordPress セキュリティ対策 7選
最低限しておきたいセキュリティ対策4つ
初心者の方も対策しておきたい内容です。比較的かんたんにできるので必ず実施しましょう。
1. パスワードを長く複雑にしておく
WordPress(ワードプレス)を使うとき最も注意したいのがパスワードです。
SNSで使っているパスワード、自分の誕生日、電話番号など、覚えやすいパスワードを使いがちですが、パスワードは他人から想像しにくいパスワードに設定しましょう。
パスワードはあなたのサイトを守る防護服のようなものです。大文字・小文字、数字、記号を混ぜて10文字以上の “最強” レベルを目指しましょう。
覚えにくいかもしれませんが、パスワード管理ツールを使うなどして絶対に手を抜かないでくださいね。
2. 使わないプラグインは必ず削除する
WordPress(ワードプレス)のプラグインってすごく便利なのですが、だからといって何でもかんでもプラグインで対応するのは、セキュリティ的にちょっと考えものです。
というのも、プラグインは入れれば入れるほど、セキュリティホール(セキュリティの穴)が増えて、クラッカーから侵入されやすくなってしまうからです。
開発が止まっているプラグイン(きちんと管理されていない、アップデートされないプラグイン)は、特に要注意です。クラッカーに狙われやすいので、必要性が低いプラグインはなるべく使わないようにしましょう。
また、使わなくなったプラグインは停止するだけでなく必ず削除しましょう。リスクを最小限に抑えるのがセキュリティ対策の鉄則です。
3. 常に最新にセキュリティアップデートする
WordPress(ワードプレス)は人気すぎるせいで、世界中のクラッカーにシステム構造が丸裸にされています。例えるなら、家の間取りや防犯システムの仕組みが泥棒に知られているのと同じくらいヤバい状況です。
そのため WordPress 開発チームは、セキュリティの弱点(脆弱性)が見つかるたびに、急いで修正してアップデートしてくれています。
基本的に WordPress 本体は、セキュリティ関連のアップデート(大幅な機能変更をともなわないアップデート)については、デフォルトで自動更新してくれます。
しかし、プラグインとテーマについては自動更新されませんので、必ず手動で最新にアップデートしておきましょう。
4. 定期的なバックアップは必ずおこなう
これは保険という意味あいにはなりますが、セキュリティ対策と同じくらい大切です。
もし、ゼロデイ攻撃(まだ修正されていない脆弱性を突く攻撃)があった場合、サイトはめちゃくちゃになってしまいますが、バックアップさえあれば、被害を受ける前の状態にすぐに復元できます。
バックアップは WordPress(ワードプレス) のデータを守るという意味で、とても大切なので必ず定期的におこないましょう。
オススメの方法はサーバー会社側で定期的に自動バックアップしてくれるサービスを利用することです。
手動でバックアップしてもいいですが、定期的に手動でバックアップできる人って、たぶん少ないと思うので。すぐ忘れちゃうからね ^^;
バックアップのサービスはサーバー会社によって、最初から含まれていたり、追加オプションだったりするので、これから WordPress の活用を考えている方は、サーバー会社を選ぶ段階から検討することをオススメします。
プラグインを使わない効果的なセキュリティ対策3つ
ここからは少し難易度が上がり手間も増えますが、とても効果的な対策です。ぜひ導入を検討してみてくださいね。
5. ログイン画面に Basic認証を追加する
WordPress のログイン画面は、以下のようにURLの末尾の部分 wp-login.php が決まっているので、誰でもログイン画面にアクセスすることができてしまいます。
https://example.com/wp-login.php
クラッカーはこのログイン画面に対して、IDとパスワードをランダムに何度も試す総当たり攻撃(ブルートフォースアタック)を仕掛けてきます。
実は WordPress のクラッキングで最も多いのがこのログイン画面からの侵入なんです。
そこで有効なのが Basic認証(ベーシック認証)です。これはログイン画面を開く前に、さらにもう一段階、IDとパスワードの入力を求める二段階認証をつくる対策です。
ログイン画面への不正アクセスをほぼシャットアウトできる、とても効果的な対策です。
設定方法についての参考ページ
Basic認証(.htaccessと.htpasswd)を使用してサイトにパスワード認証を設定!
6. wp-config.php へのアクセスを制限する
wp-config.php というファイルは、データベースの接続情報(IDやパスワード)などが、すべて詰まった最も重要なファイルです。このファイルが外部からアクセスされて盗み取られると、データベースの全権限が渡ってしまいます。
そのため wp-config.php は、外部からアクセスできないようにブロックしましょうという対策です。
設定方法についての参考ページ
WordPress : wp-config.phpをapacheとnginxの設定でアクセス出来なくする。 | クロジカ
7. uploads フォルダでのPHPファイル実行を禁止する
これはクラッキングによる被害を最小限に抑えるための “最後の砦” をつくる対策です。
クラッカーは WordPress のセキュリティホールを突いた攻撃が成功すると、悪意のあるPHPファイルをサーバーにアップロードすることがあります。
これらのファイルがアップロードされる場所として狙われやすいのが、画像やメディアファイルが格納される uploads フォルダです。
もし uploads フォルダ内でPHPファイルが実行できてしまうと、クラッカーはアップロードした悪意のあるファイルを通じて、サイトの改ざんや機密情報の取得を自由におこなえるようになります。
これを防ぐため uploadsフォルダ内でPHPファイルの実行を、サーバーレベルで強制的に禁止する対策です。
設定方法についての参考ページ
WordPressの特定のディレクトリでPHP実行を無効にする方法
まとめ
WordPress(ワードプレス)はとても便利で人気のシステム(CMS)であるため、それに比例して世界一狙われやすいシステムです。必ずセキュリティ対策しましょう。
きちんとセキュリティ対策をしていないと、がんばって書いたブログ記事がぜんぶ消えてしまうという最悪なこともありえます。
書いた記事がぜんぶ消える…。ヒャー考えただけで恐ろしい惨劇ですね。ブログ記事を書く労力、ブログから得られていた効果を一瞬で失うと考えたら大損害になるはずです。
セキュリティ対策において完璧というものはありませんが、ほとんどのクラッキングは、この記事で紹介したような最低限やるべきことを怠ったサイトでおきています。
ここでご紹介したセキュリティ対策だけでもだいぶ効果的なので、ぜひ実践してみてくださいね。
