WordPressのセキュリティ対策チェックリスト|今日からできる基本の守り10項目

WordPressセキュリティ対策チェックリスト

「うちみたいな小さなサイトは狙われない」――これはWordPress運営で最も危険な誤解です。攻撃の大半は人間ではなくプログラム(ボット)による無差別攻撃であり、サイトの規模も知名度も関係ありません。公開した瞬間から、あなたのサイトは自動巡回の対象です。

幸い、被害の大半は「基本の対策」だけで防げます。この記事では、専門知識がなくてもできる10項目をチェックリスト形式で解説します。

攻撃者はどこから入ってくるのか

WordPressの攻撃経路の図解。ログイン画面への総当たり、古いプラグイン、古い本体、管理者アカウント推測と、それぞれの対策
入口を知れば、対策の意味がわかります

WordPressへの攻撃は、①ログイン画面へのパスワード総当たり、②古いプラグイン・テーマの脆弱性、③古い本体の脆弱性、④推測しやすい管理者名、の4経路がほとんどです。つまり、「更新を怠らない」「ログインを固める」の2本柱で大半の攻撃は無力化できます。

セキュリティ10のチェックリスト

WordPressセキュリティ対策の10項目チェックリスト。更新、不要プラグイン削除、ログイン制限、2段階認証、バックアップなど
上から順に。1〜6だけでも防御力は劇的に変わります

1. すべてを最新に保つ(最重要)

脆弱性の大半は「修正版が出ているのに更新していない」ことで悪用されます。本体のマイナー更新は自動が既定。プラグインも、実績のあるものは自動更新を有効にして構いません。大型更新の前にはバックアップを1回挟みましょう。

2. 使っていないテーマ・プラグインを削除

停止中でもファイルが存在する限り攻撃対象になり得ます。「停止」ではなく「削除」が正解です。

3. ログイン試行回数を制限

総当たり攻撃への直接的な対策です。Limit Login Attempts Reloadedなどのプラグインで、失敗回数によるロックを設定します(当サイトも導入済みの構成です)。

4. パスワードを強くする

「長く・複雑で・使い回さない」が原則です。人間の記憶に頼らず、パスワード管理ツールで生成・保存しましょう。詳しくはパスワード管理の記事で解説しています。

5. ユーザー名「admin」を避ける

攻撃ボットが最初に試すユーザー名が「admin」です。新規に管理者アカウントを作り、旧adminを削除する手順で変更できます(削除時に記事の帰属を新アカウントへ移せます)。

6. 2段階認証を導入

パスワードが破られても、もう1つの関門で止められます。プラグインで認証アプリ方式(TOTP)を追加するのが定番です。二段階認証の仕組みは別記事も参考に。

7. 自動バックアップ

防御が破られた場合の復旧手段です。設定手順はWordPressバックアップの記事で詳説しています。「守り」と「復元」はセットで初めて機能します。

8. SSL(https)の確認

通信の暗号化は今や標準です。アドレスバーに鍵マークがあるか、http://でアクセスしてもhttps://へ転送されるかを確認してください。

9. ニックネームで実ユーザー名を隠す

投稿者名がログインIDのまま表示されていると、攻撃者にヒントを与えます。「ユーザー」→「プロフィール」でニックネームを設定し、ブログ上の表示名を変更しましょう。

10. 月1回の健康診断

ログイン制限プラグインの失敗ログ、ユーザー一覧に見知らぬアカウントがないか、Search Consoleからの警告メール――月に1回、5分だけ確認する習慣が、異変の早期発見につながります。

やりすぎ注意:上級者向け対策との距離感

ログインURLの変更、WAFの細かなチューニング、ファイル改ざん検知などの高度な対策もありますが、基本10項目より先に手を出す必要はありません。設定ミスで自分が閉め出されるリスクもあります。レンタルサーバーのWAF機能(多くは管理画面でオンにするだけ)があれば有効化しておく、程度で十分です。

よくある質問

Q. セキュリティプラグインは何個も入れるべきですか?

A. 同種の機能を重複導入すると競合や速度低下の原因になります。「ログイン制限系1つ+サーバーのWAF+バックアップ1つ」程度のシンプルな構成がおすすめです。

Q. 乗っ取られたかもしれません。どうすれば?

A. ①全ユーザーのパスワード変更、②バックアップからの復元、③本体・プラグインの全更新、④サーバー会社への相談、の順で対応します。改ざんが広範囲な場合は専門業者への依頼も検討してください。

Q. 更新でサイトが壊れるのが怖くて放置しています。

A. その状態が最も危険です。「更新前に自動バックアップ」の体制を作れば、壊れても数クリックで戻せます。恐怖の原因はバックアップの不在にあります。

まとめ

WordPressのセキュリティは「更新を保つ・ログインを固める・バックアップを持つ」の3本柱に集約されます。チェックリストの1〜6を今日実施し、7のバックアップを仕込めば、無差別攻撃の大半はあなたのサイトの前を素通りしていきます。