セキュリティ 5分で読める

WordPressサイトのセキュリティ対策

WordPressは世界中で使われている分、ハッカーの攻撃対象にもなりやすいです。「うちは小さい会社だから大丈夫」は危険な考え。必須の対策をまとめました。

なぜWordPressが狙われやすいのか

WordPressは世界のWebサイトの約40%以上で使用されている、最も人気のあるCMSです。しかし、その普及率の高さゆえに、ハッカーの格好のターゲットにもなっています。

40%+ 世界のWebサイトにおけるWordPressのシェア
90% CMSを使ったサイトへの攻撃のうち、WordPressを狙ったもの

「小さな会社だから狙われない」と思うかもしれませんが、攻撃者はサイトの規模に関係なく自動化されたツールで脆弱性を探しています。対策は全てのサイトに必要です。

1. WordPress本体を常に最新版に

WordPress本体のアップデートには、機能追加だけでなくセキュリティの修正も含まれています。古いバージョンのまま放置すると、既知の脆弱性を突かれるリスクが高まります。

アップデートの注意点

  • 自動更新を有効に - マイナーアップデートは自動更新がおすすめ
  • 更新前にバックアップ - 万が一に備えて必ずバックアップ
  • テスト環境で確認 - 大きなアップデートはテスト環境で先に確認
  • 更新情報をチェック - 重大な脆弱性は緊急アップデートが配布される

2. プラグイン・テーマの管理

プラグインやテーマの脆弱性も攻撃の入口になります。使っていないものは削除し、使っているものは常に最新版に保ちましょう。

プラグイン管理のポイント

  • 使っていないプラグインは「無効化」ではなく「削除」
  • 長期間更新されていないプラグインは代替を検討
  • 信頼できる開発元のプラグインを選ぶ
  • 必要最低限のプラグイン数に抑える
⚠️

非公式サイトからダウンロードした無料のプレミアムテーマ・プラグインにはマルウェアが仕込まれていることがあります。公式ディレクトリか正規販売元から入手しましょう。

3. 強力なパスワードを設定

単純なパスワードは総当たり攻撃(ブルートフォース)で簡単に破られます。管理者アカウントには強力なパスワードを設定しましょう。

強力なパスワードの条件

  • 12文字以上の長さ
  • 大文字・小文字・数字・記号を組み合わせる
  • 辞書に載っている単語を使わない
  • 他のサービスと使い回さない
  • パスワードマネージャーの利用を推奨

弱いパスワード例

password123, admin2024, company名

強いパスワード例

Kx#9mL$2vQ8nP@wZ

4. セキュリティプラグインの導入

セキュリティプラグインを導入することで、様々な攻撃から自動的にサイトを守ることができます。

Wordfence Security

ファイアウォール、マルウェアスキャン、ログイン試行制限など包括的な保護を提供。無料版でも十分な機能。

SiteGuard WP Plugin

日本製のセキュリティプラグイン。管理ページへのアクセス制限、ログインロックなどシンプルで使いやすい。

Sucuri Security

マルウェアスキャン、ブラックリスト監視、セキュリティ強化など。有料版ではWAF機能も。

5. ログインページの保護

WordPressの管理画面ログインページ(/wp-admin, /wp-login.php)は攻撃者にとって最も狙いやすいポイントです。追加の保護を施しましょう。

ログイン保護の方法

  • ログイン試行回数の制限 - 複数回失敗したらロックアウト
  • 二段階認証の導入 - パスワード+認証アプリ
  • ログインURLの変更 - デフォルトのURLを変更
  • CAPTCHA(画像認証)の追加 - ボット対策
  • 「admin」ユーザー名を使わない - 推測されやすい

6. 定期的なバックアップ

万が一ハッキングされた場合や、更新でサイトが壊れた場合に備えて、定期的なバックアップは必須です。

バックアップのポイント

  • データベースとファイルの両方をバックアップ
  • 最低でも週1回の自動バックアップを設定
  • バックアップデータはサーバー外にも保存
  • 複数世代のバックアップを保持
  • 定期的に復元テストを実施
💡

「UpdraftPlus」や「BackWPup」などの無料プラグインで、Google DriveやDropboxへの自動バックアップが設定できます。

7. SSL証明書の導入

SSL証明書を導入すると、サイトとユーザー間の通信が暗号化されます。「http://」から「https://」になり、ブラウザに鍵マークが表示されます。

SSLのメリット

  • 通信の暗号化 - 個人情報の盗聴を防止
  • 信頼性の向上 - ユーザーに安心感を与える
  • SEO効果 - Googleがhttpsを推奨
  • ブラウザ警告の回避 - 「保護されていない」警告が出ない

多くのレンタルサーバーでは無料のSSL証明書(Let's Encrypt)が利用できます。まだ導入していない場合は、すぐに設定しましょう。

まとめ

  • WordPress本体は常に最新版に更新
  • 使わないプラグイン・テーマは削除
  • 強力なパスワードを設定(12文字以上)
  • セキュリティプラグインを導入
  • ログインページに追加の保護を設定
  • 週1回の自動バックアップを設定
  • SSL証明書を導入してhttps化

セキュリティ対策は「やりすぎ」ということはありません。これらの基本的な対策を実施することで、多くの攻撃からサイトを守ることができます。自分で対応が難しい場合は、専門家に相談することをおすすめします。

ブログ一覧に戻る