WordPressのセキュリティ対策|福岡の企業サイトを守る7つの必須設定
目次
WordPressセキュリティ対策のチェックリスト
福岡の企業ホームページで、WordPressのセキュリティが適切に保たれているか、以下のチェックリストで確認しましょう。
基本設定:
- [ ] WordPress本体は最新版に更新されているか
- [ ] すべてのWordPressプラグインは最新版に更新されているか
- [ ] WordPressテーマは最新版に更新されているか
- [ ] 使用していないWordPressプラグインとWordPressテーマは削除されているか
ログイン認証:
- [ ] WordPress管理者アカウントのユーザー名は「admin」以外か
- [ ] すべてのユーザーが強力なパスワードを設定しているか
- [ ] 二段階認証を導入しているか
- [ ] ログイン試行回数の制限を設定しているか
バックアップ:
- [ ] 定期的な自動バックアップが設定されているか
- [ ] バックアップは外部ストレージにも保存されているか
- [ ] バックアップからの復元テストを行ったことがあるか
WordPressセキュリティプラグイン:
- [ ] WordPressセキュリティプラグインを導入しているか
- [ ] ファイアウォール機能を有効にしているか
- [ ] マルウェアスキャンを定期的に実行しているか
サーバー設定:
- [ ] SSL化(https化)が完了しているか
- [ ] PHPのバージョンは最新に近いか(少なくともPHP 7.4以上)
- [ ] サーバーのファイアウォールやセキュリティ設定は適切か
WordPressセキュリティ対策を怠るとどうなるか
適切なWordPressのセキュリティ対策を行わないと、どのような被害を受ける可能性があるのでしょうか。
ホームページの改ざん:
- WordPressサイトのトップページや記事が書き換えられ、偽の情報や有害なリンクが表示される
- 企業の信用を大きく損ない、顧客離れにつながる
マルウェア感染:
- 訪問者にもマルウェアを感染させてしまい、損害賠償を請求される可能性がある
- Googleからペナルティを受け、検索結果から除外されることもある
個人情報の流出:
- お問い合わせフォームから送信された顧客情報が盗まれる
- 個人情報保護法違反で行政指導や罰則の対象になる可能性がある
SEOスパムの踏み台:
- WordPressサイトに不正なリンクを埋め込まれ、SEOスパムの踏み台にされる
- Googleからスパムサイトと判定され、検索順位が大幅に下がる
WordPressサイトのダウン:
- DDoS攻撃やマルウェア感染により、WordPressサイトが表示されなくなる
- 新規顧客からの問い合わせ機会を失い、売上に影響する
まとめ
WordPressは非常に優れたCMSですが、その人気の高さゆえに、常にサイバー攻撃の標的になっています。福岡の企業ホームページでWordPressを使用している場合、適切なWordPressのセキュリティ対策とWordPress脆弱性対策は必須です。
本記事で紹介した7つの必須設定を実施し、定期的にWordPressのセキュリティ状況をチェックすることで、WordPress特有のセキュリティリスクを大幅に減らすことができます。
WordPressのセキュリティ対策は一度設定すれば終わりではなく、継続的な管理が必要です。WordPress本体、WordPressプラグイン、WordPressテーマの定期的な更新、セキュリティプラグインによる監視、そしてバックアップの徹底が、WordPressサイトを守るための基本です。
もし自社でWordPressのセキュリティ対策が難しい場合は、WordPressのセキュリティ保守を専門とする制作会社に相談することをおすすめします。WordPressの脆弱性は日々新しく発見されているため、専門家によるWordPressセキュリティ管理が安心です。
WordPressは世界で最も利用されているCMSで、W3Techsによれば世界中のWebサイトの約43.5%がWordPressで構築されています。福岡の企業ホームページでもWordPressを使用しているケースは非常に多く、WordPressの使いやすさと拡張性の高さから人気があります。しかし、WordPressが世界で最も使われているからこそ、WordPressのセキュリティは常にサイバー攻撃の標的になっています。Patchstackの「State of WordPress Security 2025」によれば、2024年に報告されたWordPress関連のセキュリティ脆弱性のうち、96%がプラグイン、4%がテーマに起因しています。本記事では、福岡の企業がWordPressサイトのセキュリティを強化するために今すぐ実施すべき7つの必須設定と、WordPress特有のセキュリティ脆弱性対策を詳しく解説します。
なぜWordPressはサイバー攻撃の標的になりやすいのか
WordPressのセキュリティを考える前に、なぜWordPressがサイバー攻撃の標的になりやすいのかを理解しておきましょう。
圧倒的なシェア率がもたらすセキュリティリスク
WordPressが世界中のWebサイトの約43.5%を占めるという圧倒的なシェア率は、サイバー攻撃者にとって魅力的なターゲットです。一つのWordPressのセキュリティ脆弱性を発見すれば、世界中の膨大な数のWordPressサイトを攻撃できる可能性があるからです。
福岡の中小企業がWordPressで作ったホームページも、この大きなターゲット群の一部として狙われるセキュリティリスクがあります。「うちは小さい会社だから狙われない」という考えは通用しません。
WordPressプラグインとテーマの脆弱性
WordPress本体(コア)のセキュリティは比較的堅牢ですが、WordPressプラグインとテーマに脆弱性が多いという特徴があります。Patchstackのレポートでは、2024年に報告されたWordPress関連のセキュリティ脆弱性のうち、96%がプラグインに起因していました。
WordPressの大きな魅力は、プラグインを追加することで簡単に機能を拡張できることです。しかし、多数のWordPressプラグインが存在するからこそ、セキュリティ品質やレベルにばらつきがあり、脆弱性が発生しやすくなっています。
オープンソースであることのメリットとデメリット
WordPressはオープンソースソフトウェアであり、ソースコードが公開されています。これは開発者コミュニティによる改善や、セキュリティ専門家による監査が行いやすいというメリットがあります。
一方で、サイバー攻撃者もソースコードを研究できるため、特有のセキュリティ脆弱性を見つけ出しやすいというデメリットもあります。セキュリティの脆弱性が発見されると、修正パッチがリリースされるまでの間に攻撃が集中することがあります。
WordPressサイトが受けやすいサイバー攻撃の種類
WordPressのセキュリティを脅かす具体的な攻撃手法を知っておくことで、適切なWordPress脆弱性対策を講じることができます。
ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃とは、WordPressの管理画面(/wp-admin/)のログインIDとパスワードを、自動ツールを使って次々と試していくサイバー攻撃の手法です。単純なパスワードや、よくあるユーザー名(admin、test、usernameなど)を使っていると、簡単に突破されてしまいます。
一度WordPress管理画面にログインされてしまうと、WordPressサイトを改ざんされたり、マルウェアを埋め込まれたり、他のサイトへの攻撃の踏み台にされたりするセキュリティリスクがあります。
SQLインジェクション
SQLインジェクションは、WordPressサイトのデータベースに不正なSQL文を送り込んで、データを盗んだり改ざんしたりするサイバー攻撃です。特にWordPressプラグインやテーマにセキュリティの脆弱性がある場合、SQLインジェクション攻撃の標的になりやすくなります。
2024年に発見されたWordPressプラグインのセキュリティ脆弱性の中にも、SQLインジェクションの脆弱性が複数報告されています。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)は、WordPressサイトに悪意のあるスクリプトを埋め込み、訪問者のブラウザで実行させるサイバー攻撃です。これにより、訪問者の個人情報を盗んだり、別のサイトに誘導したりすることができます。
WordPressプラグインの脆弱性情報を見ると、XSSのセキュリティ脆弱性が非常に多く報告されています。適切なWordPressのセキュリティ対策を行っていないと、訪問者にも被害が及ぶ可能性があります。
マルウェア感染
WordPress特有のセキュリティの脆弱性を突いてマルウェア(悪意のあるソフトウェア)を埋め込まれるケースも増えています。感染したWordPressサイトは、他のサイトへの攻撃の踏み台にされたり、訪問者にもマルウェアを感染させたりすることがあります。
古いバージョンのWordPress本体やWordPressプラグインを使い続けていると、既知のセキュリティ脆弱性を突かれてマルウェアに感染するリスクが高まります。
ファイルインジェクション
ファイルインジェクションは、WordPressサイトに不正なファイルをアップロードしたり、既存のファイルを改ざんしたりするサイバー攻撃です。WordPressテーマやプラグインのファイルが書き換えられ、バックドア(裏口)が仕掛けられることがあります。
一度バックドアが仕掛けられると、WordPress管理画面のパスワードを変更しても、サイバー攻撃者が再び侵入できてしまいます。
WordPressのセキュリティを強化する7つの必須設定
それでは、福岡の企業がWordPressサイトのセキュリティを強化するために、今すぐ実施すべき7つの必須設定を詳しく解説します。
1. WordPress本体・プラグイン・テーマを最新版に保つ
最も重要なWordPressのセキュリティ対策は、WordPress本体、プラグイン、テーマを常に最新版に更新することです。
WordPressのセキュリティチームは、脆弱性が発見されると速やかに修正パッチをリリースします。しかし、更新を怠っていると、既知のセキュリティ脆弱性を突かれてサイバー攻撃を受けるリスクが高まります。
WordPress本体の更新:
- WordPressはマイナーバージョン(例:6.6.0→6.6.1)のセキュリティアップデートを自動で適用する設定が可能です
- メジャーバージョンアップ(例:6.6→6.7)は、互換性を確認した上で手動で更新することをおすすめします
WordPressプラグインの更新:
- WordPressプラグインはセキュリティの脆弱性が発見されやすいため、更新通知が来たら速やかに対応しましょう
- 更新前には必ずバックアップを取っておくことが重要です
WordPressテーマの更新:
- WordPressテーマにもセキュリティの脆弱性が見つかることがあります
- カスタマイズしたWordPressテーマの場合、子テーマを使って更新時にカスタマイズが消えないようにしましょう
注意点: 福岡の企業ホームページで、制作会社に任せっきりで何年も更新していないWordPressサイトは非常に危険です。古いバージョンのWordPress本体やプラグインには、既に公表されているセキュリティ脆弱性が残っている可能性が高く、サイバー攻撃の格好の標的になります。
2. 強固なログイン認証を設定する
WordPressの管理画面へのブルートフォース攻撃を防ぐため、強固なログイン認証設定が必要です。WordPressのセキュリティを高める上で、ログイン認証の強化は最優先事項です。
ユーザー名の変更:
- デフォルトの「admin」というユーザー名は絶対に使わないでください
- WordPressのユーザー名は推測されにくいものに変更しましょう
強力なパスワードの設定:
- 十分な長さ(できるだけ長く)で、英大文字・小文字・数字・記号を組み合わせたパスワードを設定しましょう
- WordPressは強力なパスワードを自動生成してくれるので、それを利用するのもおすすめです
二段階認証の導入:
- WordPressプラグイン(Google Authenticator、Two Factor Authenticationなど)を使って二段階認証を設定しましょう
- パスワードに加えて、スマートフォンアプリで生成されるワンタイムパスワードが必要になるため、WordPressのセキュリティが大幅に向上します
ログイン試行回数の制限:
- WordPressプラグイン(Limit Login Attempts Reloaded、WP Limit Login Attemptsなど)を使って、ログイン失敗回数に制限を設けましょう
- 一定回数ログインに失敗したIPアドレスを一時的にブロックすることで、ブルートフォース攻撃を防げます
3. 不要なWordPressプラグインとテーマを削除する
使用していないWordPressプラグインやWordPressテーマは、セキュリティリスクになります。無効化しているだけでは不十分で、完全に削除することが重要です。
なぜなら、無効化されたWordPressプラグインやWordPressテーマにセキュリティの脆弱性があった場合でも、サーバー上にファイルが残っていれば攻撃の対象になる可能性があるからです。
定期的な棚卸しを実施:
- 福岡の企業ホームページでWordPressを長年運用していると、いつの間にか使っていないWordPressプラグインが溜まっていることがあります
- 定期的にWordPressプラグインとWordPressテーマの一覧を確認し、不要なものは削除しましょう
WordPressプラグインは必要最小限に:
- WordPressプラグインは便利ですが、数が増えるほどセキュリティリスクも高まります
- 本当に必要なWordPressプラグインだけを厳選して使いましょう
4. 信頼できるWordPressプラグインとテーマだけを使用する
WordPressプラグインやWordPressテーマは、信頼できる開発元のものを選ぶことが、WordPressのセキュリティの観点から重要です。
WordPressプラグイン選びのポイント:
- WordPress公式ディレクトリに掲載されているWordPressプラグインを優先的に選びましょう
- 評価・レビューが高く、ダウンロード数が多いWordPressプラグインは比較的安心です
- 最終更新日が古いWordPressプラグインは、開発が止まっている可能性があるため避けましょう
- WordPress脆弱性対策として、定期的に更新されているWordPressプラグインを選びましょう
WordPressテーマ選びのポイント:
- WordPress公式テーマディレクトリや、実績のあるテーマ販売サイト(ThemeForest、日本のテーマ開発会社など)から選びましょう
- 無料のWordPressテーマでも品質の高いものはありますが、セキュリティの観点では有料WordPressテーマの方が安心な場合が多いです
海外の無料WordPressテーマには注意:
- 出所不明の無料WordPressテーマの中には、マルウェアが仕込まれているものもあります
- 特に違法にクラックされた有料WordPressテーマ(nulledテーマ)は絶対に使用しないでください
5. 定期的なバックアップを取る
どれだけWordPressのセキュリティ対策を講じても、100%安全ということはありません。万が一、サイバー攻撃を受けてWordPressサイトが改ざんされたり、データが失われたりした場合に備えて、定期的なバックアップは必須です。
バックアップすべきもの:
- WordPressのファイル(WordPressテーマ、WordPressプラグイン、アップロードした画像など)
- データベース(記事、固定ページ、コメント、設定情報など)
バックアップの頻度:
- 更新頻度が高いWordPressサイトは、毎日バックアップを取ることをおすすめします
- 更新頻度が低いWordPressサイトでも、最低でも週1回はバックアップを取りましょう
バックアップの保存場所:
- サーバー上だけにバックアップを保存していると、サーバー自体がサイバー攻撃を受けた際にバックアップも失われる可能性があります
- 外部ストレージ(Google Drive、Dropbox、AWS S3など)にもバックアップを保存しましょう
おすすめのWordPressバックアッププラグイン:
- UpdraftPlus(無料版でも基本的な機能が使える)
- BackWPup(日本語対応で使いやすい)
- VaultPress / Jetpack Backup(WordPress開発元Automattic社が提供する有料サービス)
6. WordPress管理画面URLを変更する
デフォルトでは、WordPressの管理画面は「https://ドメイン名/wp-admin/」でアクセスできます。この標準的なURLは、サイバー攻撃者にとって攻撃対象を見つけやすくしています。
WordPress管理画面のURLを変更することで、WordPress特有のセキュリティリスクを軽減できます。
URLを変更する方法:
- WordPressプラグイン「WPS Hide Login」や「Rename wp-login.php」を使うと、簡単にWordPress管理画面URLを変更できます
- 例:「https://ドメイン名/wp-admin/」→「https://ドメイン名/login-福岡企業名/」
注意点:
- 変更後のURLを忘れないように、必ずメモしておきましょう
- ブックマークも新しいURLに変更してください
7. WordPressセキュリティプラグインを導入する
WordPressのセキュリティ対策を総合的に行うため、セキュリティ専門のWordPressプラグインを導入しましょう。
おすすめのWordPressセキュリティプラグイン:
Wordfence Security(ワードフェンス):
- 最も人気のあるWordPressセキュリティプラグインの一つ
- ファイアウォール機能、マルウェアスキャン、ログイン保護などのセキュリティ機能を備えています
- 無料版でも十分なセキュリティ機能が使えますが、有料版ではリアルタイムの脅威情報が利用できます
iThemes Security(旧Better WP Security):
- WordPressのセキュリティ設定を一元管理できるWordPressプラグイン
- WordPress脆弱性対策として、ブルートフォース攻撃対策、データベース保護、ファイル改ざん検知などのセキュリティ機能があります
All In One WP Security & Firewall:
- 初心者でも使いやすいインターフェースのWordPressセキュリティプラグイン
- セキュリティの強度をグラフで表示してくれるため、WordPressサイトのセキュリティ現状把握がしやすいです
Sucuri Security:
- Webサイトセキュリティの専門企業が提供するWordPressプラグイン
- WordPress脆弱性のスキャン、ブラックリスト監視、ファイアウォールなどのセキュリティ機能があります
- 無料版は基本的なスキャン機能のみで、本格的なセキュリティ保護には有料サービスが必要です
注意点:
- WordPressセキュリティプラグインを複数同時に有効化すると、競合して問題が起こることがあります
- 基本的には1つのWordPressセキュリティプラグインを選んで使いましょう
WordPress特有のセキュリティリスクと対策
ここからは、WordPress特有のセキュリティリスクと、それに対する具体的なWordPress脆弱性対策を解説します。
wp-config.phpファイルの保護
「wp-config.php」は、WordPressのデータベース接続情報などの重要な設定が記載されているファイルです。このファイルが外部から読み取られると、WordPressのセキュリティが完全に破られてしまいます。
WordPress脆弱性対策:
- .htaccessファイルに以下のコードを追加して、wp-config.phpへの直接アクセスを拒否しましょう:
<files wp-config.php>
order allow,deny
deny from all
</files>
xmlrpc.phpの無効化
「xmlrpc.php」は、WordPressの外部からの投稿や操作を可能にするファイルですが、ブルートフォース攻撃やDDoS攻撃に悪用されることがあります。使用していない場合は無効化することをおすすめします。
WordPress脆弱性対策:
- WordPressプラグイン「Disable XML-RPC」を使って無効化する
- または、.htaccessファイルに以下のコードを追加:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
ファイル編集機能の無効化
WordPressの管理画面から、WordPressテーマやWordPressプラグインのファイルを直接編集できる機能があります。便利な機能ですが、万が一WordPress管理画面に不正ログインされた場合、悪意のあるコードを埋め込まれるセキュリティリスクがあります。
WordPress脆弱性対策:
- wp-config.phpファイルに以下のコードを追加して、ファイル編集機能を無効化しましょう:
define('DISALLOW_FILE_EDIT', true);
ディレクトリリスティングの無効化
サーバーの設定によっては、WordPressのディレクトリ構造が外部から見えてしまうことがあります。これにより、どのWordPressプラグインやWordPressテーマを使っているかが分かり、既知のセキュリティ脆弱性を突かれやすくなります。
WordPress脆弱性対策:
- .htaccessファイルに以下のコードを追加:
Options -Indexes
データベースのテーブル接頭辞の変更
WordPressのデータベーステーブルは、デフォルトでは「wp_」という接頭辞が付いています。SQLインジェクション攻撃を受けた場合、標準的なテーブル名だと攻撃が成功しやすくなります。
WordPress脆弱性対策:
- WordPressインストール時に、デフォルトの「wp_」から別の接頭辞(例:「fukuoka_」「secure_」など)に変更しましょう
- すでに運用中のWordPressサイトの場合、WordPressプラグイン「Change Table Prefix」を使って変更できますが、慎重に行う必要があります
セキュリティ対策のチェックリスト
福岡の企業ホームページで、セキュリティが適切に保たれているか、以下のチェックリストで確認しましょう。
基本設定:
- [ ] 本体は最新版に更新されているか
- [ ] すべてのプラグインは最新版に更新されているか
- [ ] テーマは最新版に更新されているか
- [ ] 使用していないプラグインとテーマは削除されているか
ログイン認証:
- [ ] 管理者アカウントのユーザー名は「admin」以外か
- [ ] すべてのユーザーが強力なパスワードを設定しているか
- [ ] 二段階認証を導入しているか
- [ ] ログイン試行回数の制限を設定しているか
バックアップ:
- [ ] 定期的な自動バックアップが設定されているか
- [ ] バックアップは外部ストレージにも保存されているか
- [ ] バックアップからの復元テストを行ったことがあるか
セキュリティプラグイン:
- [ ] セキュリティプラグインを導入しているか
- [ ] ファイアウォール機能を有効にしているか
- [ ] マルウェアスキャンを定期的に実行しているか
サーバー設定:
- [ ] SSL化(https化)が完了しているか
- [ ] PHPのバージョンは最新に近いか(少なくともPHP 7.4以上)
- [ ] サーバーのファイアウォールやセキュリティ設定は適切か
セキュリティ対策を怠るとどうなるか
適切なセキュリティ対策を行わないと、どのような被害を受ける可能性があるのでしょうか。
ホームページの改ざん:
- サイトのトップページや記事が書き換えられ、偽の情報や有害なリンクが表示される
- 企業の信用を大きく損ない、顧客離れにつながる
マルウェア感染:
- 訪問者にもマルウェアを感染させてしまい、損害賠償を請求される可能性がある
- Googleからペナルティを受け、検索結果から除外されることもある
個人情報の流出:
- お問い合わせフォームから送信された顧客情報が盗まれる
- 個人情報保護法違反で行政指導や罰則の対象になる可能性がある
SEOスパムの踏み台:
- サイトに不正なリンクを埋め込まれ、SEOスパムの踏み台にされる
- Googleからスパムサイトと判定され、検索順位が大幅に下がる
サイトのダウン:
- DDoS攻撃やマルウェア感染により、サイトが表示されなくなる
- 新規顧客からの問い合わせ機会を失い、売上に影響する
まとめ
WordPressは非常に優れたCMSですが、その人気の高さゆえに、常にサイバー攻撃の標的になっています。福岡の企業ホームページを使用している場合、適切なセキュリティ対策と脆弱性対策は必須です。
本記事で紹介した7つの必須設定を実施し、定期的にセキュリティ状況をチェックすることで、特有のセキュリティリスクを大幅に減らすことができます。
セキュリティ対策は一度設定すれば終わりではなく、継続的な管理が必要です。もし自社で対応が難しい場合は、セキュリティ保守を専門とする制作会社に相談することをおすすめします。
▶ 関連記事:
従業員のセキュリティ教育と意識向上|福岡の企業が実践すべき対策
従業員のセキュリティ教育と意識向上|福岡の企業が実践すべき対策
SSL化(https化)は必須|福岡の企業ホームページで今すぐ対応すべき理由
福岡の中小企業が知るべきホームページセキュリティ対策の基本【2025年版】
不正アクセスとホームページ改ざんを防ぐ|福岡の企業が実践すべき対策
ホームページのバックアップと復旧体制|福岡の企業が知るべきデータ保護の重要性
