【WordPressのセキュリティ】まずはこれ！ 7つの基本対策を解説

WordPressの利用にあたって、「セキュリティ対策って何か必要なの？」といった疑問を抱えていませんか？

この記事では、初心者でもできるWordPressでの基本的なセキュリティ対策について、解説します。

クサカベ

この記事で解決できる疑問はこれ！

• 「WordPressにセキュリティ対策は必要？」
• 「最低限やるべきセキュリティ対策は？」
• 「攻撃にあうとどんなことが起きる？」

「WordPressはみんな使っているから」、「まだアクセスが少ないから」と油断している人もいるかもしれません。

しかし、こうした油断こそがとても危険です。

被害にあうと攻撃の踏み台にされたり、記事を書き換えられたりと復旧がとても大変です。

せっかく立ち上げたブログやサイトを台無しにしないためにも、あらかじめしっかり対策しておきましょう。

WordPressは狙われやすい？その理由とは

はじめに、「WordPressは狙われやすい」ということを念頭においておきましょう。

何もセキュリティ対策をしていないと、それだけで攻撃にあうリスクは高いです。

WordPressが狙われやすい理由は、主に以下の3つです。

利用者が多いから

WordPressが狙われやすい理由の一つは、利用者が多いからです。

W3Techsのデータによると、全世界のCMS（コンテンツ管理システム）のシェアにおいて、WordPressはダントツの1位。

2位のShopifyと比べても、10倍以上のユーザーがいます。

参考：W3Techs

CMS（コンテンツ管理システム）の脆弱性は、それぞれCMSによって異なります。

攻撃者の視点では、利用者が多いWordPressを狙ったほうが、同じ手段で多数のサイトを攻撃できることから「効率がいい」のです。

利用者が多いのはユーザーにとって安心材料ですが、それだけ攻撃を企んでいる人も多いことを覚えておきましょう。

利用者のセキュリティ意識が低いから

WordPressが狙われやすい理由として、利用者のセキュリティ意識が低いことが挙げられます。

たとえば、株式会社ロードマップが実施した調査では、企業経営者の44.8％がWordPressのセキュリティを「意識したことない」と回答しました。

みなさんのなかにも、「WordPressはみんな使っているし、大丈夫でしょ」という気持ちがあるのではないでしょうか？

セキュリティ対策がされていないサイトは、いうなれば「ノーガード」の状態。

悪用を考えている人からすれば、格好の標的になってしまいます。

とくにブログやサイトを立ち上げたばかりだと、開設したことに満足してしまい、セキュリティ対策まで手が及ばないかもしれません。

しかし、「まだアクセスが少ないから大丈夫」とはせず、早めのセキュリティ対策が重要なのです。

オープンソースで中身を検証しやすいから

3つ目の理由として、WordPressがオープンソースであることが挙げられます。

「オープンソース」とは、プログラムのソースコードが公開されており、誰でも改変できるソフトウェアのこと。

つまり、悪用を考えている人たちからすると、プログラムの脆弱性がWeb上に公開されていることになります。

WordPressがオープンソースであることは、無料で利用できるなどのメリットが多いですが、それだけセキュリティ対策の重要性は高いと言えるでしょう。

WordPressを乗っ取られると何が起きる？

では、「実際に攻撃されたらどうなるの？」と気になりますよね？

WordPressを乗っ取られたときの被害例は以下のようなものです。

記事コンテンツが改ざんされる

WordPressを乗っ取られると、記事を悪意のある情報やでたらめな記号などに書き換えられることがあります。

過去には、WordPressの脆弱性をつくコードが濫用され、約150万のサイトが改ざん被害にあうこともありました。
（参考：WordPressサイトの改ざん被害は150万件超に　「最悪級の脆弱性」）

改ざんの被害にあうと、文章を修正したり、不正なリンクやファイルを削除したりと、膨大な作業を強いられます。

これまで積み重ねてきた記事をもう一度作り直すことになり、時間のロスは計り知れないでしょう。

迷惑メールの踏み台にされる

自分のブログやサイトから、大量の迷惑メールが送られるケースもあります。

これは、セキュリティの穴を突いて、有害な動作をするマルウェアを埋め込まれるなどで起こります。

そのほか、お問い合わせフォームの自動返信機能を悪用して、迷惑メールが送られる事例もあります。

メールとは異なりますが、自動転送プログラムを埋め込まれ、詐欺サイトに転送されたり、ウイルスをサイト内に埋め込まれたりするパターンも。

こうした被害にあうと、知らず知らずのうちに犯罪に加担してしまう、なんてことにもなりかねません。

データの流出・情報漏えい

WordPressで管理しているデータや情報を盗み取られることもあります。

たとえば、ECサイトのように、機密性の高い情報を多く扱うWordPressサイトはとくに危険です。

機密性の高い情報が流出すれば、社会的信用が失墜するだけでなく、損害賠償請求がなされる可能性も十分にあります。

とくに企業でWordPressを利用する場合は、顧客情報の管理には細心の注意が必要です。

【初心者はまずこれ】WordPressのセキュリティ対策7つ

ここからは実際に、WordPress初心者が行っておくべきセキュリティ対策を解説します。

実際の画面を参考にし、さっそく自分のWordPress管理画面から設定してみてください。

1. パスワードの強度を上げる

はじめに、WordPress管理画面へのパスワードを見直しましょう。

たとえば、以下のようなパスワードを設定している場合、簡単に推測されてしまいます。
すぐに強度の高いパスワードへ変更しましょう！

パスワードは、大文字や小文字、数字、記号などを織り交ぜると、より強力になります。

パスワードの変更手順は以下のとおり。

WordPressが自動で測定してくれるパスワード強度を参考に、設定していきましょう。

ツールバー右上の「こんにちは、〇〇さん」にマウスカーソルをあて、「プロフィールを編集」をクリック

画面下部にある「アカウント管理」から、「新しいパスワードを設定」をクリック
パスワードが「強力」となっていることを確認

画面下部の「プロフィールを更新」をクリック

また、セキュリティ保全のためには、定期的にパスワードを変更することが大切です。

2. WordPress、テーマ、プラグインをアップデートする

WordPress本体、テーマ、プラグインなどは、常に最新の状態にアップデートしておきましょう。

アップデートが必要なときは、必ず管理画面にて通知が届きます。

メニュー部にも赤いバッジが表示されるので分かりやすいです。

アップデートは1分程度で終わることが多いため、通知をみたらすぐにアップデートする癖をつけるといいでしょう。

「更新通知を見逃さないか心配」という人は、自動更新ONに設定しておくのがおすすめです。

それぞれの更新手順として、以下の内容を順に紹介していきます。

WordPress本体の更新設定の状態を確認する方法

「ダッシュボード」内の「更新」メニューをクリックしてください。

「現在のバージョン」記載の少し下に出ているメッセージを確認すれば、状態を確認できます。

WordPressを最新の状態に保つという意味では、すべての更新を自動的に適用する設定をおすすめします。

ただ、アップデート適用時には不具合が起こりやすいため、きちんとコントロールしたいという方は、限られたアップデートを自動適用する設定としてください。

クサカベ

ダッシュボードから「サイトヘルスステータス」を見ると、WordPressの状態やセキュリティ改善の提案も確認できます。

こちらも活用してみましょう！

WordPress本体の手動更新手順

以下の手順で更新を適用できます。

ダッシュボードの「更新」をクリック

「WordPressの新しいバージョンがあります」の項目内にある「今すぐ更新」ボタンをクリック

WordPress本体の自動更新設定手順

すべての更新を自動適用する設定にするには、以下の手順に沿ってください。

ダッシュボードの「更新」をクリック

「WordPress のすべての新しいバージョンに対する自動更新を有効にします。」をクリック

「すべての WordPress バージョンに対する自動更新を有効化しました。ありがとうございます。」と表示されたら、自動更新手続き完了

プラグインの手動更新手順

管理画面の「プラグイン」メニューに進んだあと、青字の「更新」をクリックすればOKです。

プラグインの自動更新設定手順

管理画面の「プラグイン」メニューに進んだあと、プラグイン一覧の右端に表示されている「自動更新を有効化」を押せば完了です。

テーマの手動更新手順

「外観」内の「テーマ」メニューに進み、「新しいバージョンがあります」と表示されている部分の「今すぐ更新」をクリックすればOKです！

テーマの自動更新設定手順

「外観」内の「テーマ」メニューに進み、対象テーマの上にカーソルを乗せ、「テーマの詳細」をクリック

「自動更新を有効化」をクリック

WordPress公式ディレクトリに登録されていないテーマだと、有効化しない限り設定を有効化できません。

公式に登録されているテーマは、無効化されていても自動更新を有効化できますが、使わないテーマであれば削除しておくのが安全です。

3. 使っていないテーマやプラグインを削除する

テーマやプラグインは、定期的に不要なものがないかチェックし、削除しておくことが大切です。

これはインストールされているテーマやプラグインは、無効化していても攻撃の踏み台にされることがあるためです。

また、無効化しているものは自動更新ができず、リスクが増大する可能性もあります。

被害にあうリスクを下げるためにも、不要なものは定期的に削除しましょう。

プラグインは、「プラグイン」メニューに進んだあと、一覧の中に「削除」メニューがあります。

テーマは、「外観」内の「テーマ」メニューに進み、「テーマ詳細」画面の右下に「削除」メニューがあります。

4. レンタルサーバーのセキュリティ機能を活用する

ブログやサイト運営にあたってレンタルサーバーを契約している人は、各レンタルサーバー会社が提供するセキュリティ機能を活用するといいでしょう。

たとえば、当社が提供する『エックスサーバー』では、以下のようなセキュリティ機能があります。

上記のセキュリティ機能は初期時点で有効になっていますが、念のため無効になっていないか確認しておくと安心です。

クサカベ

手間やコストをかけずにセキュリティを強化できますので、ぜひ活用しましょう！

5. バックアップをとっておく

改ざんによる被害を最小限に抑えるには、バックアップをとっておくと安心です。

被害を受ける前のWordPressサイトを復元できる可能性があり、万が一の状況では非常に有用です。

簡単にバックアップをとるなら、以下のような方法があります。

たとえば、当社が提供する『エックスサーバー』では、「自動バックアップ」機能を無料で提供しており、常に過去14日分のデータを保持しています。

データの復元も、サーバーの管理画面から簡単に行えるため、もしものときもスムーズに対処できます。

また、バックアップ用のプラグインを使う方法もあります。たとえば、著名なプラグインでは「BackWPup」など。

事前に設定した頻度で自動的にバックアップデータを取得してくれるため、便利です。

クサカベ

バックアップを事前にとっておけば、もしものときでも慌てずにサイトやブログを復元できます！

WordPressのバックアップの取り方は？おすすめのプラグインも紹介

6. プラグインを導入する

専用のプラグインを導入することで、サイトやブログのセキュリティを強化することもできます。

たとえば、セキュリティ用のプラグイン「XO Security」です。

出典：XO Security

以下のようにレビュー評価も高く、セキュリティを強化したい人はインストールしておくといいでしょう。

設定画面もわかりやすく、作動も安定していて、ログイン試行履歴とかも見れます（結構不正ログインされようとしているのがわかって楽しい）、随時他のサイトのセキュリティプラグインもこちらに切り替えていこうと思っています。感謝感謝

引用元：XO Security

軽量かつマルチサイトも対応で素晴らしいです。

引用元：XO Security

「XO Security」にはさまざまな機能がありますが、以下のような設定がとくに重要です。

とくに便利なのは、画像認証を簡単に追加できること。
設定をひらがなにしておけば、国外からの不正アクセスに対する強度をアップできます。

いずれの設定も、管理画面の「設定」にある「XO Security」から変更できます。

CAPTCHA（画像認証）について

CAPTCHAとは、画像を用いたテストによって、ロボットか人間かを見分ける仕組みのことです。

CAPTCHAによる画像認証を設定しておくことで、ロボットによる不正なログインを防止できます。

手順は以下のとおりです。

「設定」から「XO Security」をクリック

「ログイン」タブをクリック

「ログインフォーム」内の「CAPTCHA」で言語を設定

画面下部の「変更を保存」をクリック

言語は、国外からの不正アクセスを防止しやすい「ひらがな」を指定するのがおすすめです。

ログインページのURL変更について

ログインページのURLを変更することで、セキュリティを強化できます。

WordPressのログインページは、初期状態ではどのサイトでも同じURLであるため、容易に特定できてしまうためです。

変更手順は以下のとおりです。

「設定」から「XO Security」をクリック

「ログイン」タブをクリック

「ログインページの変更」をオンにし、「ログインファイル」欄に任意のファイル名を入力

画面下部の「変更を保存」をクリック

設定後は、サイトアドレスの後ろに、上記で入力したファイル名を入れることでログインページにアクセスできます。

変更したこと自体や、変更後のファイル名を忘れないように注意してくださいね！

クサカベ

URLを変更したらブックマークしておくのがおすすめ！

ログイン試行回数の制限について

短時間のうちにログインしようとする回数を制限することで、セキュリティを強化する設定です。

これは、パスワード解読の手口として有名な「ブルートフォースアタック」に有効なセキュリティです。

設定手順は以下のとおりです。

「設定」から「XO Security」をクリック

「ログイン」タブをクリック

「ログイン」内の「試行回数制限」にて、時間と回数を入力

画面下部の「変更を保存」をクリック

設定時間を長くするほど、強度は高くなりますが、自身の運用に照らして設定してみてください。

時間は「1時間」または「12時間」、リトライ回数は「5回」程度までにしておくのがおすすめです。

7. Google サーチコンソールに登録する

検索パフォーマンスを計測するのに便利なGoogle サーチコンソールも、セキュリティ対策に役立てられます。

出典：Google Search Console

Google サーチコンソールは、以下の3つを検知するとユーザーに報告を行います。

そのため、知らず知らずのうちに被害を受けたときでも、早期発見につながるでしょう。

Google サーチコンソールでは、ほかにもサイトの表示回数や検索順位の推移などを確認できます。

無料で利用できるため、セキュリティ対策もかねて登録しておくといいでしょう。

導入方法は以下の記事を参考にしてみてくださいね。

WordPressにGoogleサーチコンソールを導入する方法！基本的な使い方も解説

それでもセキュリティ被害にあったときの対処法

ここまで7つのセキュリティ対策を紹介しましたが、それでもセキュリティ被害にあうかもしれません。

そんなときは、まずは以下を行いましょう。

まずは早急にユーザー名とパスワードを変更するのが肝要です。

また、不正アクセス用のユーザーを追加しておいたり、テーマやプラグインを悪用されることもあります。
見覚えのない不審なものがあれば削除しておきましょう。

そのあとはサイトを復旧していくことになりますが、バックアップデータから復元するのが手っ取り早いです。

そもそものログインができない場合も、バックアップデータを用いて復元するのがよいでしょう。

クサカベ

バックアップデータでの復元でも解決しないような場合、復旧はかなり困難になってきます。

そんな状況に陥らないように、日頃から異常にはすぐに気づけるようにしておくことが大事です！

まとめ

この記事では、初心者がまずやるべきセキュリティ対策をご紹介いたしました。

ポイントをまとめると以下のとおりです。

また、以下のような対策を紹介しました。一つずつ振り返って設定してみてください。

WordPressはユーザーが多く、ユーザーの意識が低いことから、攻撃を受けやすい傾向にあります。

どれだけセキュリティ対策に注力しても、不正アクセスを100％ブロックできるとは限りません。

しかし、今回紹介した7つの方法を組み合わせれば、セキュリティ強度は相応にアップします。

何もしていない状態に比べれば、セキュリティには大きな差が出るでしょう。

WordPressを乗っ取られると、改ざんや不正アクセス、さらには情報漏えいのリスクがあります。

ぜひこの記事で紹介した7つの方法を実践し、自分のWordPressサイトを守っていきましょう！

WordPressを実際に始めたい方へ

キャンペーン開催中

国内シェアNo.1レンタルサーバー「エックスサーバー」では2024年5月1日12時まで、サーバー利用料金が最大30%オフとなる割引キャンペーンを実施中です！

今なら月額693円～とお得にWordPressブログが始められます！
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。

【5月1日まで】利用料金最大30%オフの割引キャンペーンはこちら！

ぜひこのお得な機会にWordPressをご検討ください！