本文へスキップ

WordPress セキュリティ対策|自分でできる設定5つを解説

※本記事にはプロモーション(広告)が含まれます。

WordPressのサイトを公開したあと、セキュリティ設定はできていますか?

  • 何をすればいいかわからず、そのままにしている
  • プラグインを入れた気がするけど、正しく設定できているか不安

こうした状態でも、最低限の設定を5つ済ませるだけでリスクを大幅に減らせます。

この記事では、WordPress制作・保守をサポートするフリーランスWebディレクターの筆者が、
管理画面から自分でできるセキュリティ設定を順番に解説します。

具体的には

  • SSLが有効かどうかの確認方法
  • 管理画面へのログインを守る設定
  • バックアップの自動化

の順でご紹介します。設定が難しいと感じた場合の相談先も、記事の後半でご案内します。

WordPressサイトに必要なセキュリティ対策とは

WordPressのセキュリティ対策とは、不正アクセス・改ざん・情報漏洩を防ぐための設定を、サイト公開後に行うことです。

難しそうに聞こえますが、最低限の設定は管理画面から自分でできるものがほとんどです。
まず「なぜ必要なのか」を理解してから、手順に進みましょう。

なぜWordPressは狙われやすいのか

WordPressは世界中のWebサイトの約43%で使われているCMSです(W3Techs調べ)。
利用者が多い分、攻撃者にとって「狙う価値が高い」標的になりやすい特徴があります。

特に多いのは、次の2種類の攻撃です。

  • ブルートフォース攻撃:ログインIDとパスワードを機械的に大量入力して不正ログインを試みる
  • 古いプラグインの脆弱性を突く攻撃:更新されていないプラグインのセキュリティホールを狙う

どちらも「設定をしていない状態」のサイトが主なターゲットになります。

放置すると起きること

セキュリティ設定をしないまま運用を続けると、次のようなリスクがあります。

  • サイトが改ざんされ、訪問者にマルウェアが配布される
  • スパムメールの踏み台として使われる
  • 管理画面に不正ログインされ、個人情報が流出する

被害が起きてから復旧するのは時間もコストもかかります。
予防のための設定を、公開直後に一度やっておくことが重要です。

自分でできる設定5つ

管理画面から操作できる設定を、優先順位の高い順に5つ紹介します。

順番通りに進めると、最低限のセキュリティ対策が完了します。

① SSLが有効か確認する

SSLとは、サイトとブラウザ間の通信を暗号化する仕組みです。
URLが https:// で始まっていれば、SSLが有効な状態です。

確認手順:

  1. サイトのURLをブラウザで開く
  2. アドレスバーの左端に鍵マークが表示されているか確認する
  3. http:// のままの場合は、レンタルサーバーの管理画面でSSLを有効にする

WordPressの管理画面では「設定 → 一般」のサイトURLが https:// になっているかも合わせて確認してください。

② WordPress・テーマ・プラグインを最新に保つ

古いバージョンのWordPress・テーマ・プラグインは、攻撃の入り口になりやすい状態です。
更新の通知が来たら、できるだけ早めに対応しましょう。

確認手順:

  1. 管理画面の「ダッシュボード → 更新」を開く
  2. 更新が必要な項目が表示されていれば、「すべて更新」をクリックする

更新前にはバックアップ(⑤で紹介)を取っておくと、万が一のときに復元できます。

③ 管理画面のログインURLを変更する

WordPressの管理画面URLは、初期設定では /wp-admin です。
この初期URLは広く知られているため、自動的に攻撃が試みられることがあります。

「SiteGuard WP Plugin」は無料で使える定番のひとつです。ログインURLの変更や試行回数の制限を、比較的かんたんに設定できます。

ただし、セキュリティ用プラグインであっても脆弱性が報告されることはあります。SiteGuard WP Pluginでも、過去にログインURLの漏えいなどが報告され、修正版が公開されています(公式の脆弱性情報)。筆者自身も、脆弱性が報告されたタイミングで別のセキュリティプラグインに切り替えた経験があります。

いずれのプラグインにも同様のリスクはあります。導入したら最新版へ更新し、公式情報やJVNなどで最新の報告も確認しておくと安心です。

設定手順:

  1. 管理画面の「プラグイン → 新規追加」から「SiteGuard WP Plugin」を検索してインストール
  2. プラグインを有効化すると、ログインURLが自動で変更される
  3. 変更後のURLをブックマークして保存しておく(URLを忘れるとログインできなくなるため)

④ ログイン試行回数を制限する

「SiteGuard WP Plugin」を入れると、ログイン試行回数の制限も設定できます。
一定回数以上ログインに失敗したIPアドレスをロックアウトする機能です。

確認手順:

  1. 管理画面の「SiteGuard → ログインロック」を開く
  2. 「ログインロック」が「ON」になっているか確認する
  3. 初期設定のまま(5回失敗で30分ロック)で問題ありません

⑤ 定期バックアップを設定する

バックアップがあれば、万が一サイトが改ざんされても復元できます。
「BackWPup」などの無料プラグインで、定期的に自動バックアップを取れます。

設定手順:

  1. 管理画面の「プラグイン → 新規追加」から「BackWPup」をインストール
  2. 「BackWPup → 新規ジョブ追加」でバックアップの設定を作る
  3. 保存先はDropboxやGoogleドライブなど、サーバー外のストレージを選ぶ
  4. スケジュールを週1回程度に設定する

設定後も続ける「維持の習慣」

設定を一度やったら終わりではなく、定期的な確認が必要です。

更新は月1回チェックする

プラグインやWordPress本体の更新は、時間が経つと溜まっていきます。
月に1回、管理画面の「ダッシュボード → 更新」を確認する習慣をつけましょう。

セキュリティプラグインも最新版に保つ

SiteGuard WP Pluginのようなセキュリティ向けプラグインも、WordPress本体と同様に更新対象です。

過去の脆弱性は修正版で対応されることが多いですが、古いバージョンのまま放置するとリスクが残ります。月1回の更新確認に、セキュリティプラグインのバージョン確認も含めておきましょう。

不要なプラグイン・テーマは削除する

使っていないプラグインやテーマは、有効化していなくても脆弱性の対象になります。
不要なものは「無効化」だけでなく、「削除」まで行うのがおすすめです。

月1回、マルウェアの有無もチェックする

設定を済ませても、感染のリスクはゼロにはなりません。
「site:自分のドメイン」で検索して身に覚えのないページがないか、月1回確認しておくと異変に早く気づけます。

チェックを自動化したい場合は、外部から定期診断するサービスを使う選択肢もあります。

SiteLock

万が一感染してしまったときの対処手順は、筆者の実体験を別記事にまとめています。

難しいと感じたら専門家に相談を

手順を見てみたものの「自分では難しい」と感じた場合は、無理に進めなくて大丈夫です。

設定の途中で操作を誤ると、サイトにアクセスできなくなるケースもあります。
「自分では不安」「まとめて設定してほしい」という場合は、無理に進めなくて大丈夫です。
制作・保守ができるフリーランスや制作会社に相談することをおすすめします。

よくある質問

Q. セキュリティプラグインは有料じゃないとダメですか?

A. いいえ、最低限の対策であれば無料プラグインで十分対応できます。
「SiteGuard WP Plugin」と「BackWPup」はどちらも無料で使えます。
本格的なセキュリティ強化が必要な場合は、有料のWAFサービスも選択肢になります。

Q. SiteGuard WP Pluginは安全に使えますか?

A. 定番の無料プラグインとして広く使われていますが、過去に脆弱性の報告もあります。
いずれも修正版が公開されているため、導入後は最新版へ更新し、公式の脆弱性情報を確認することが大切です。
別のセキュリティプラグインを選ぶ選択肢もあります。筆者も、報告を受けて切り替えた経験があります。

Q. WordPressを更新したらサイトが壊れませんか?

A. 稀に更新後にレイアウトが崩れたり機能が動かなくなることがあります。
事前にバックアップを取っておけば、問題が起きても更新前の状態に戻せます。
更新 → バックアップ確認 の順番を習慣にしましょう。

Q. バックアップはどこに保存すればいいですか?

A. サーバー内だけに保存すると、サーバーの障害やハッキング時に一緒に失われるリスクがあります。
DropboxやGoogleドライブなど、サーバーとは別の場所に保存するのがおすすめです。
BackWPupを使うと、これらのサービスに自動で送信する設定ができます。

まとめ:WordPressセキュリティ対策、まずこの5つから

この記事では、WordPress公開後に自分でできるセキュリティ設定を5つ紹介しました。

  • ① SSLが有効か確認する(URLが https:// になっているか)
  • ② WordPress・テーマ・プラグインを最新に保つ(月1回更新を確認)
  • ③ 管理画面のログインURLを変更する(SiteGuard WP Plugin)
  • ④ ログイン試行回数を制限する(SiteGuard WP Plugin)
  • ⑤ 定期バックアップを設定する(BackWPup + サーバー外保存)

設定は一度やれば終わりではなく、月1回の更新確認と不要プラグインの削除を習慣にすることで、安全な状態を維持できます。

設定が難しいと感じた場合や、まとめて対応を依頼したい場合はお気軽にご相談ください。

WordPressの保守・セキュリティ設定のご相談はこちら

筆者はフリーランスのWebディレクターとして、WordPress制作・保守をサポートしています。

「設定してみたけど不安が残る」「まとめて対応してほしい」という方は、お気軽にご相談ください。

小松 直

小松 直

LP・コーポレートサイト・ECサイトの制作ディレクションを行うフリーランスWebディレクター。Web制作歴5年、ディレクション歴2年。

プロフィールを見る →
← コラム一覧に戻る