WordPressのセキュリティ対策完全ガイド｜初心者でもできる基本設定

WordPressサイトのセキュリティ相談を受ける中で、最も多いのが「何をすればよいのか分からない」という声です。

実際、多くのサイト運営者はセキュリティの設定を後回しにしがちです。
私がこれまで対応してきた現場でも、サイト公開後に対策を忘れていたケースが非常に多くありました。

WordPressは世界中で利用されているCMSであるため、攻撃対象としても非常に多く狙われます。

そのため、初心者であっても最低限のセキュリティ対策を理解しておくことが重要です。

この記事では、私が実際にサイト構築や保守で実施しているWordPressセキュリティ対策を、判断の考え方も含めて解説します。

WordPressが攻撃されやすい理由

WordPressのセキュリティ対策を考えるとき、まず理解しておくべきなのは「なぜ狙われるのか」です。

私も最初にWordPress運用を始めたときは、攻撃を受けるのは大規模サイトだけだと思っていました。
しかし実際の現場では、小規模サイトでも攻撃ログが頻繁に記録されています。

WordPressが攻撃対象になりやすい理由は主に次の通りです。

• 世界で最も利用されているCMS
• プラグイン数が非常に多い
• 初心者でも運用できるため設定が甘くなりやすい
• 自動ボットによるログイン攻撃

特に多いのが自動ボットによるログイン攻撃です。

これは世界中のWordPressサイトに対して、管理画面へログインを試みるプログラムです。

私が運用している、とあるサイトではログを確認すると1日で500回以上ログイン試行がありました。調査すると、ランダムに攻撃するボットが原因でした。

このようにWordPressを公開しているだけで一定の攻撃を受けるという前提で考えた方がよいです。

WordPressは「攻撃されないサイト」ではなく「攻撃されても守れるサイト」にすることが重要です。

WordPressセキュリティ対策の基本5項目

WordPressのセキュリティ対策は多くありますが、すべてを最初から完璧に実施する必要はありません。

まずは以下の基本5項目から設定しましょう。この5つだけでも、多くの攻撃を防げます。

• WordPress本体の更新
• プラグイン管理
• 強力なパスワード設定
• ログイン制限
• バックアップ

これらは難しい設定ではありませんが、意外と見落とされます。

あるサイト保守の現場では、WordPressの更新が2年以上行われていませんでした。

運営者は「サイトが動いているから問題ない」と判断していましたが、実はそのバージョンには既知の脆弱性がありました。

そのため、私はサイト公開時に更新ルールを必ず説明するようにしています。

WordPress本体・プラグインを常に最新にする

WordPressのセキュリティ対策の中でも、最も基本で効果が高いのが更新です。

多くの脆弱性は、アップデートによって修正されています。そのため、更新を止めることはリスクになります。

更新すべき対象

• WordPress本体
• テーマ
• プラグイン

これらはすべて最新版を維持するのが基本です。 WordPressには自動更新機能があります。

 define('WP_AUTO_UPDATE_CORE', true); 

この設定をwp-config.phpに追加すると、コア更新が自動化されます。

手動にしていると更新し忘れも多くあるため、自動更新での管理がお勧めです。

ログイン画面のセキュリティ対策

WordPressの攻撃の多くはログイン画面から始まります。

そのため、ログイン周りの対策は非常に重要です。私はサイト構築時に必ずログイン保護を設定しています。

基本的なログイン対策

• ログイン試行制限
• 2段階認証
• ログインURL変更

代表的なプラグインとしては次のものがあります。

• Limit Login Attempts Reloaded
• Wordfence
• SiteGuard WP Plugin

特に効果が高いのがログイン試行制限です。これは一定回数ログイン失敗するとIPをブロックする仕組みです。
私が管理しているサイトでも、この設定を導入した後にログイン攻撃のログが大幅に減りました。

WordPressの最大の攻撃入口である、ログイン画面を対策することでセキュリティが向上します。

バックアップ体制を必ず整える

セキュリティ対策というと「攻撃を防ぐこと」に意識が向きがちです。
しかし実際の運用では、復旧できる体制も同じくらい重要です。

バックアップ対象

• WordPressファイル
• データベース

この2つが揃っていれば、サイトは復元できます。バックアップ方法としては次のものがあります。

• サーバー自動バックアップ
• プラグインバックアップ
• 手動バックアップ

代表的なプラグインは以下です。

• UpdraftPlus
• BackWPup

私が過去に関わったサイトでは、バックアップが一切ありませんでした。

テーマ更新の際に表示エラーが発生し、バックアップがないため元に戻せませんでした。そのため、バックアップは必ず自動化して行いましょう。

不要なプラグインとテーマを整理する

WordPressのセキュリティ対策で見落とされがちなのが、不要なプラグインやテーマの整理です。

私は保守作業の際、まず最初にプラグイン一覧を確認します。
なぜなら、攻撃の入口になるケースの多くがプラグインだからです。

WordPress公式の脆弱性レポートでも、問題の多くはプラグインに関連しています。
特に更新停止しているプラグインはリスクが高い傾向があります。

削除すべきプラグインの判断基準

これらに当てはまる場合は削除を検討します。

• 1年以上更新されていない
• 現在使用していない
• 開発元が不明
• 機能が重複している

以前、保守を引き継いだサイトでプラグインが40個以上入っているケースがありました。

運営者は「昔必要だったものを残しているだけ」という認識でしたが、その中の1つがすでに開発終了しており、そのプラグインの脆弱性が攻撃の入口になっていました。

同様の状況にならないために、私は使わないプラグインは削除するというルールにしています。

停止しているプラグインも安全ではありません。

ファイル権限とサーバー設定を見直す

WordPressのセキュリティ対策は、アプリケーションだけではなくサーバー設定も重要です。

私はサイト公開前に、必ずファイル権限を確認するようにしています。
ここが適切でないと、改ざんリスクが高くなります。

基本的なファイル権限

対象	推奨権限
フォルダ	755
ファイル	644
wp-config.php	600

これらは多くのサーバー環境で推奨される設定です。

 ls -la 

こちらのコマンドで権限を確認できます。

WAF（Web Application Firewall）の導入

WordPressのセキュリティを強化する方法として、WAFの導入があります。
WAFは、攻撃リクエストをサイトに届く前にブロックする仕組みです。

私は保守を担当するサイトでは、できる限り導入するようにしています。

WAFの主な役割

• SQLインジェクション対策
• XSS攻撃対策
• ブルートフォース攻撃対策
• 不正アクセスの遮断

代表的なサービスは次の通りです。

• Cloudflare
• Sucuri
• Wordfence

特にCloudflareはDNSレベルで防御できるため効果が高いです。

私が管理しているあるサイトでは、WAF導入後に攻撃ログが大幅に減りました。
セキュリティは「サイトの前」で止めると効果が高いです。

定期的なセキュリティチェック

WordPressのセキュリティ対策は、一度設定して終わりではありません。
運用中も定期的なチェックが必要です。

私は保守作業の際、月1回程度のチェックを実施しています。

定期チェックのポイント

• WordPress更新確認
• プラグイン更新確認
• 不審ユーザー確認
• Search Console警告確認

これらを確認するだけでも、異常を早く発見できます。

あるサイトでは、Search Consoleに「ハッキングされた可能性があります」という警告が表示されていました。

運営者はその通知に気づいておらず、数百ページのスパムページが生成されていました。

このように、Search Console通知も重要な監視ポイントになります。

FAQ

Q1. WordPressのセキュリティ対策は初心者でもできますか？

基本的な対策は初心者でも実施できます。
例えば以下の内容は管理画面から設定可能です。

• WordPress更新
• プラグイン更新
• ログイン制限
• バックアップ設定

Q2. セキュリティプラグインは必ず必要ですか？

必須ではありませんが、多くの場合導入した方が安全です。
ログイン制限やファイアウォール機能があるためです。

Q3. 無料の対策だけでも安全ですか？

基本対策をしっかり行えば、多くの攻撃は防げます。
無料対策でも更新管理とログイン制限を徹底するだけで安全性は大きく改善しました。
ただし、サイト規模が大きい場合は追加対策も検討します。

まとめ

WordPressのセキュリティ対策は、難しい技術だけが重要なわけではありません。
むしろ、基本的な設定を継続することが最も効果的です。

私がこれまでの運用経験から重要だと感じている判断軸は次の3つです。

• 更新を止めない
• 不要な機能を減らす
• 復旧できる体制を作る

この3つを意識するだけでも、WordPressの安全性は大きく変わります。

セキュリティは「問題が起きてから考えるもの」ではなく、「運用の一部として管理するもの」です。

もしWordPressのセキュリティ対策に不安がある場合は、まず基本設定から整えることをおすすめします。