Hara Daizo 
「WordPressは狙われやすいから、セキュリティ対策をしないと危ない」と聞いて、不安になっていませんか。いざ調べてみると、対策の数が10個も20個も並んでいて、「これを全部やらないといけないのか」と途方に暮れてしまう方は少なくありません。
ですが、実際の制作現場でも、すべての対策を完璧にこなしているサイトはほとんどありません。それでも被害なく運用できています。大切なのは数をこなすことではなく、「やる順番」だからです。
この記事では、WordPressのセキュリティ対策を優先度の高い順に整理して、まずどこから手をつければよいかを、制作のプロの視点でわかりやすく解説します。全部を一度にやる必要はありません。順番さえ間違えなければ、専門知識がなくてもサイトは十分に守れます。
WordPressのセキュリティ対策とは?放置できない理由
WordPressのセキュリティ対策とは、不正アクセスやサイトの改ざんといった被害を防ぐために、ログイン・更新・バックアップなどの守りを固める一連の取り組みのことです。WordPressは世界のWebサイトの4割以上で使われている人気のCMS(かんたんに言うと、専門知識がなくてもサイトを作れる仕組みのこと)です。広く使われているぶん、攻撃の標的にもなりやすい特徴があります。だからこそ、最低限の備えはどんなサイトにも欠かせません。
そもそもなぜ対策が必要なのか
WordPressは、インストール直後の状態だと攻撃者に狙われやすいまま放置されがちです。理由はシンプルで、ログイン画面の場所や初期のユーザー名が世界共通だからです。つまり、攻撃する側は「どこを叩けばいいか」を最初から知っている状態と言えます。
誤解しないでほしいのは、WordPress自体が危険なわけではない、という点です。仕組みそのものはしっかり作られており、世界中の企業サイトでも使われています。問題になるのは、初期設定のまま運用したり、更新を放置したりして「隙」が生まれることです。裏を返せば、基本を押さえれば安全に使えるツールでもあります。
個人ブログだから狙われない、という考えも危険です。多くの攻撃は人間が手作業で行うのではなく、プログラムが自動で大量のサイトを巡回して弱点を探します。サイトの規模や知名度に関係なく、無差別に試されるのが実情です。だからこそ、小さなサイトでも基本的な対策は必要になります。
対策しないと起きること(被害・リスク)
対策を怠ったときに起きる被害は、大きく「不正ログイン」「サイトの改ざん」「情報漏えい」の3つに分けられます。なかでも怖いのが改ざんで、トップページが見知らぬ内容に書き換えられたり、訪問者を危険なサイトへ飛ばす仕掛けを埋め込まれたりします。
制作現場で実際に見てきた中で、特に厄介なのは改ざん後の影響です。サイトが改ざんされると、Googleの検索結果に「このサイトは危険です」といった警告が表示されることがあります。こうなると、復旧作業に加えて、検索順位やお客様からの信頼を取り戻すのに時間がかかります。被害の本当の重さは、復旧そのものより信頼の回復にあります。
さらに、問い合わせフォームや会員機能を持つサイトでは、情報漏えいのリスクも見過ごせません。お客様の個人情報が外部に流れれば、賠償や謝罪といった事業上の問題にも発展します。こうした事態の多くは、これから紹介する基本の対策で防げます。
WordPressが狙われる理由と攻撃手口
WordPressが狙われやすいのには、はっきりした理由があります。仕組みを知っておくと、このあと紹介する対策が「なぜ効くのか」が腑に落ちます。攻撃の入り口を理解することが、効率のよい守りの第一歩です。
WordPressが標的になりやすい3つの理由
WordPressが攻撃の標的になりやすい理由は、主に次の3つです。
1つ目は、利用者が圧倒的に多いことです。世界中で使われているため、一つの弱点が見つかれば、それを使って大量のサイトを一気に狙えます。攻撃する側にとって効率がよいのです。
2つ目は、ソースコード(かんたんに言うと、サイトを動かす設計図のこと)が公開されていることです。誰でも中身を確認できる反面、攻撃者も弱点を探しやすくなります。
3つ目は、プラグインやテーマが弱点になりやすいことです。WordPress本体は比較的しっかり守られていますが、後から追加するプラグインやテーマは品質にばらつきがあります。実際の制作現場でも、攻撃の入り口になるのは本体より、更新が止まった古いプラグインであるケースが目立ちます。
知っておきたい代表的な攻撃手口
代表的な攻撃手口を知っておくと、どの対策が必要かが見えてきます。ここでは初心者がまず押さえたい3つを紹介します。
1つ目は「ブルートフォース攻撃」(かんたんに言うと、パスワードを片っ端から試す総当たりのこと)です。単純なパスワードほど破られやすく、ログイン画面が集中的に狙われます。実際、対策前のサイトのログイン履歴を見ると、海外から1日に何百回も試行が記録されていることは珍しくありません。
2つ目は「クロスサイトスクリプティング」(略してXSS。サイトに悪意のあるプログラムを埋め込む手口のこと)です。コメント欄や問い合わせフォームが入り口になりやすい攻撃です。
3つ目は「SQLインジェクション」(データベースを不正に操作する手口のこと)です。会員情報などを保存している場合、情報漏えいに直結する恐れがあります。
これらの攻撃は、古いプラグインや弱いパスワードといった「隙」を突いてきます。逆に言えば、隙をふさげば多くは防げるということです。
ここで気になるのが、「自分のサイトに弱点が残っていないか」という点です。WordPress本体やプラグインの脆弱性(かんたんに言うと、攻撃に悪用されうる弱点のこと)は日々新しく見つかっており、公式や専門機関が情報を公開しています。こうした情報を定期的にチェックしておくと、危険なプラグインを早めに見直せます。
今すぐやる対策チェックリスト【優先度つき】
ここからが、この記事の核心です。全部を一度にやる必要はありません。まずは「最優先」の4つだけで、最低限の守りは固まります。 対策には効果の大きいものと、状況によって必要なものがあります。そこで、優先度を「最優先(全員が今すぐ)」「次点(できれば全員)」「状況次第(サイトの規模で判断)」の3段階に分けて整理しました。上から順に手をつければ迷いません。
最優先:まず全員がやるべき対策
最優先は、効果が大きく、誰でもすぐにできる次の4つです。これだけで、よくある攻撃の大半は防げます。
1つ目は、WordPress本体・テーマ・プラグインを常に最新に保つことです。更新には、見つかった弱点をふさぐ修正が含まれます。更新の放置は、最大の弱点になります。 自動更新を設定しておくと、手間をかけずに守れます。
2つ目は、管理者のユーザー名を「admin」以外にして、強いパスワードを使うことです。「admin」は最初に狙われる定番なので避けます。パスワードは12文字以上で、英字・数字・記号を混ぜるのが目安です。
3つ目は、ログイン画面のURLを変更し、ログインの試行回数を制限することです。総当たり攻撃は、ログイン画面の場所がわからなければ始められません。専用のプラグインを使えば、初心者でも設定できます。
4つ目は、定期的にバックアップを取ることです。これは攻撃を防ぐ対策ではなく、万一のときに元へ戻すための備えです。被害に遭っても、バックアップさえあれば立て直せます。
次点:できれば加えたい対策
最優先を終えたら、次の3つを加えると安心感がぐっと高まります。今すぐでなくても、近いうちに済ませておきたい対策です。
5つ目は、二段階認証を導入することです。二段階認証(かんたんに言うと、パスワードに加えてスマホの確認コードなどでもう一段チェックする仕組みのこと)を入れておくと、仮にパスワードが漏れても、それだけでは入られにくくなります。ログイン防御をさらに固めたいときに効果的です。設定はプラグインで行え、初心者でも短時間で済みます。具体的な手順は「WordPressで二段階認証を設定する方法」で詳しく解説しています。
6つ目は、サイトをSSL化(常時https化。通信を暗号化して盗み見を防ぐこと)することです。今はほとんどのサーバーで無料で設定でき、検索評価の面でも有利になります。
7つ目は、使っていないプラグインやテーマを削除することです。停止しているだけでは弱点が残ります。使わないものは思い切って消すのが安全です。
状況次第:サイト規模で判断する対策
ここからは、すべてのサイトに必須ではありません。サイトの規模や扱う情報の重要度に応じて判断します。
8つ目は、WAF(かんたんに言うと、不正な通信を入り口でブロックする仕組みのこと)の導入です。多くのレンタルサーバーに標準で備わっており、管理画面からオンにするだけのこともあります。
9つ目は、ユーザー権限を適切に分けることです。複数人でサイトを運営する場合に効果的で、記事を書く人に管理者権限まで渡さないようにします。
10個目は、脆弱性診断やログの監視です。会員情報や決済を扱う重要なサイトでは、専門のツールやサービスで定期的にチェックする価値があります。個人ブログや小規模な集客サイトなら、ここまでは必須ではありません。
ログイン情報を守る設定の手順
WordPressへの攻撃で最も多いのが、ログイン画面を狙ったものです。そのため、ログイン周りの設定は最優先で固める価値があります。ここでは、先ほどの最優先項目のうち、ログインに関わる設定を具体的な手順で見ていきます。
まず、管理者のユーザー名です。「admin」や、サイト名そのままのユーザー名は推測されやすく危険です。新しい管理者ユーザーを別名で作成し、元の「admin」ユーザーを削除する流れが安全です。記事の投稿者名(表示名)は、ユーザー名とは別に設定できます。ですから、ユーザー名を変えても、記事に表示される名前はそのまま使えます。
次に、パスワードの強化です。「password」や「12345678」のような単純なものは、総当たり攻撃ですぐに破られます。12文字以上で、英大文字・小文字・数字・記号を混ぜましょう。サイトごとに違うパスワードを使うのも大切です。覚えきれない場合は、パスワード管理ツールに任せるのが現実的です。
最後に、ログイン画面そのものの防御です。実際の制作現場では、ログインURLの変更とログイン試行回数の制限を、ほぼ必ずセットで入れています。日本製のプラグイン「SiteGuard WP Plugin」を使うと、この2つを管理画面から手軽に設定できます(本記事執筆時点)。導入後、それまで毎日記録されていた不正なログイン試行が、ぱたりと止まるケースをよく目にします。ログインの場所を隠すだけで、攻撃の多くは入り口で止まります。
プラグインでのセキュリティ対策
セキュリティ対策プラグインの役割
セキュリティ対策プラグインとは、ログイン防御・スパム対策・改ざん検知などをまとめて担ってくれる拡張機能です。一つ入れておくと、複雑な設定を自分で行わなくても、基本的な守りを底上げできます。初心者がまず頼るべき味方と言えます。
代表的なものに、ログイン防御に強い「SiteGuard WP Plugin」や、総合的に守る「All-In-One Security」などがあります(本記事執筆時点)。どれを使うかで悩むより、まず一つ導入して有効にすることが大切です。ただし、似た機能のプラグインを何個も重ねると、動作がぶつかって不具合の原因になります。役割が重ならないよう、組み合わせには注意しましょう。
失敗しないプラグイン選びの3つの軸
プラグイン選びで迷ったら、「更新頻度・サポート体制・日本語対応」の3つの軸でチェックしてみてください。この3点を満たすものを選べば、導入後のトラブルをかなり減らせます。
具体的には、まず最終更新が半年以内かを確認します。更新が長く止まったプラグインは、WordPress本体の更新後に不具合を起こしやすいためです。次に、公式フォーラムやレビューで開発者が質問に返信しているかを見ます。サポートが生きているプラグインは、問題が起きても解決しやすいでしょう。最後に、管理画面や説明が日本語に対応しているかを確認します。初心者ほど、日本語対応の有無が使い勝手を大きく左右します。
どのプラグインが自分のサイトに合うかは、目的によって変わります。ログイン防御を重視するのか、スパム対策やバックアップまで含めたいのかで、最適な選択は異なります。用途別のおすすめや具体的な設定方法を知りたい方は「WordPressのおすすめセキュリティプラグイン」で詳しく解説しています。導入前にあわせて読んでおくと、選びやすくなります。
バックアップと被害に遭ったときの対処法
定期バックアップが最後の砦
どれだけ対策をしても、被害をゼロにはできません。だからこそ、元の状態へ戻せるバックアップが「最後の砦」になります。攻撃だけでなく、更新の失敗やデータの誤削除からも救ってくれる備えです。
制作現場では、プラグインやテーマの更新作業の前には、必ず手動でバックアップを1つ取っておきます。更新前のバックアップが、トラブル時の復旧速度を決めます。 自動バックアップだけに頼ると、直前の状態に戻せないことがあるためです。
バックアップで意識したいのは、頻度と保存先です。更新の多いサイトなら週に一度、内容が頻繁に変わるなら毎日が目安になります。保存先は、サイトと同じサーバーだけでなく、外部のクラウドにも置いておくと安心です。バックアップの取り方や保存先の選び方は「WordPressのバックアップの方法」で具体的に紹介しています。専用のプラグインを使えば、初心者でも自動化できます。
もし不正アクセス・改ざんされたら(手順)
万一、不正アクセスや改ざんに気づいたら、あわてず次の手順で対応します。被害を広げないことが最優先です。
1つ目は、サイトを一時的に非公開(オフライン)にすることです。訪問者への被害拡大と、攻撃の継続を止めます。
2つ目は、被害の範囲を確認することです。どのファイルが書き換えられたか、いつから異常があったかを把握します。
3つ目は、安全な時点のバックアップから復元することです。改ざん前の状態に戻すのが、最も確実な復旧方法になります。
4つ目は、復元後にすべてのパスワードを変更し、原因となった弱点をふさぐことです。同じ入り口を放置すると、再び狙われます。自力での対応が難しいときは、契約しているサーバー会社や専門業者に相談しましょう。
WordPressのセキュリティ対策でよくある質問
WordPressのセキュリティ対策は本当に必要ですか?
はい、どんな規模のサイトでも必要です。多くの攻撃はプログラムが自動で無差別に行うため、個人ブログや小さなサイトも例外なく狙われます。最低限の対策をするだけで、被害の多くは防げます。
最低限なにをすればいいですか?
まずは「本体やプラグインの更新」「管理者名をadmin以外にして強いパスワードを使う」「ログイン画面の防御」「バックアップ」の4つです。この4つだけで、よくある攻撃の大半は防げます。余裕が出たら、二段階認証やSSL化を加えましょう。
セキュリティプラグインを入れれば対策は十分ですか?
プラグインは守りを底上げしますが、それだけで万全ではありません。更新の徹底や強いパスワードの設定など、基本の運用とあわせて初めて効果を発揮します。プラグインは「補助」と考え、基本対策と組み合わせるのがおすすめです。
無料でセキュリティ対策はできますか?
はい、紹介した対策の大半は無料で実施できます。更新やパスワードの強化は費用ゼロで、ログイン防御やバックアップも無料プラグインで対応可能です。費用がかかるのは、専門の診断サービスや一部の有料WAFなど、規模の大きいサイト向けの対策に限られます。
管理者のユーザー名を「admin」から変える理由は何ですか?
「admin」は誰もが知る初期値で、攻撃者が最初に試すユーザー名だからです。ユーザー名が分かると、あとはパスワードを破るだけで侵入されてしまいます。推測されにくい名前に変えるだけで、総当たり攻撃の成功率を大きく下げられます。
まとめ
WordPressのセキュリティ対策は、数の多さに圧倒されがちですが、大切なのは「やる順番」です。全部を一度に完璧にこなす必要はありません。
まず押さえたいのは、最優先の4つです。本体やプラグインを最新に保ち、管理者名を「admin」以外にして強いパスワードを使い、ログイン画面を守り、バックアップを取る。この4つだけで、よくある攻撃の大半は防げます。
次に、余裕があれば二段階認証やSSL化を加え、サイトの規模に応じてWAFや権限管理を検討します。そして、どれだけ守ってもバックアップという最後の砦は欠かさないこと。被害に遭っても、元へ戻せる備えがあれば立て直せます。
優先順位さえ間違えなければ、専門知識がなくてもサイトは十分に守れます。できるところから、一つずつ進めていきましょう。