本文へスキップ
サーバー選び.jp
無料診断
診断ツール 初心者ガイド ランキング 比較 サーバー一覧 VPS
WordPress入門

WordPressのセキュリティ対策、最低限ここまでやっておきたい7つ

📅 2026年1月20日 👤 サーバー選び.jp 編集部 👀 2 views

WordPress は世界中で使われている分、攻撃者からも狙われやすいCMSです。「うちは個人ブログだから大丈夫」と思っていても、ブルートフォース攻撃や脆弱性スキャンは、人を選びません。

このページでは、WordPress を運用する人が最低限やるべきセキュリティ対策7つを、優先度順に整理します。

1. WordPress 本体・テーマ・プラグインを最新化

セキュリティ対策の8割はこれです。

  • WordPress 本体のバージョン更新
  • インストール済みテーマの更新
  • プラグインの更新

更新通知が来たら、サクッと適用。古いバージョンには既知の脆弱性が含まれていることが多く、攻撃者は古いバージョンのサイトを狙います。

リスクなく更新するためには:

  • 更新前にバックアップ(UpdraftPlus)
  • メジャーアップデートは2週間程度様子を見てから
  • 更新後は表示確認

2. ログイン関連のセキュリティ強化

WordPress 攻撃の代表が、/wp-login.php への大量試行。

対策:

  • SiteGuard WP Plugin:ログインURL変更、ピクセル認証
  • 強固なパスワード:12文字以上、英数字記号混在
  • 二段階認証:Google Authenticator 等
  • 管理者ユーザー名「admin」を使わない

これだけで、ブルートフォース攻撃は95%以上ブロック。

3. SSL を必ず有効化

すでに別記事で書きましたが、SSL なしの WordPress は致命的。

  • ログイン情報が平文で流れる
  • セキュリティ警告でユーザーが離脱
  • Google から評価下がる

無料SSL(Let's Encrypt)で十分なので、必ず有効化。

4. 必要のないプラグインは削除

プラグインは「便利」と引き換えに「脆弱性のリスク」を持ち込みます。

  • 使っていないプラグインは「停止」ではなく「完全削除」
  • 数年更新されていないプラグインは要注意
  • ダウンロード数が少ない無名プラグインは避ける

定期的な棚卸し(月1回)で、サイトをスリムに保つ。

5. 定期バックアップ

「最終防衛ライン」。万が一改ざんされても、バックアップから戻せば被害最小化。

UpdraftPlus などで週1回、Google Drive へ自動バックアップ(別記事 wp-backup 参照)。

6. WAF(Web Application Firewall)を有効化

WAFは、悪意のあるリクエストを自動で遮断する仕組み。

  • レンタルサーバー側:主要サーバーは標準装備(エックスサーバー、ConoHa WING、mixhost 等)
  • プラグイン側:Wordfence Security(高機能、無料版あり)

サーバー側の WAF が有効になっているか、管理画面で確認を。

7. 不正アクセスの監視

「実は攻撃されていた」を気づかないために、ログ監視。

  • Wordfence Security:ログイン履歴、不審なアクセスを通知
  • SiteGuard WP Plugin:不正ログイン試行をメール通知
  • サーバー側のアクセスログをたまに確認

「今日は500回のログイン試行があった」みたいな状況が見えれば、対策の必要性が見えます。

中級者向け:追加の対策

基本7つを終えたら、

  • ファイル編集機能の無効化(wp-config.phpDISALLOW_FILE_EDIT を true)
  • データベース prefix の変更(デフォルト wp_ 以外に)
  • XML-RPC の無効化(使わない場合)
  • ディレクトリのアクセス制限

これらは技術的に少し詳しい人向け。基本対策で攻撃の大半は防げるので、慌てて手を出さなくてOK。

起きがちな実際の事例

編集部がサポートしたサイトで実際にあったケース:

  • ケース1:管理者パスワード「admin/admin」のまま運用、3日で乗っ取られ → 強固なパスワード必須
  • ケース2:更新放置3年、既知脆弱性で改ざん → 定期更新の重要性
  • ケース3:不正なプラグイン(検索でヒットしたフリーソフト) → 公式ディレクトリ以外からインストールしない

「自分のサイトに限って」と思いがちですが、これらは初心者・個人運用で多い事故です。

サーバー会社のサポート

万が一、被害に遭ったら:

  • サーバー会社のサポートに連絡
  • バックアップから復元を依頼
  • 改ざんされた箇所の特定を支援してもらう
  • セキュリティ強化のアドバイスを受ける

主要レンタルサーバーは、こうしたインシデント対応のノウハウがあります。慌てず連絡を。

結論

WordPress のセキュリティは、

  • 最新化(本体・テーマ・プラグイン)
  • ログイン強化(SiteGuard、強固なパスワード)
  • SSL 有効化
  • 不要プラグイン削除
  • 定期バックアップ
  • WAF 有効化
  • 監視・ログ確認

の7つで十分です。

100%の安全はないけれど、95%は基本対策で防げる、というのが現実。手を抜かず、しかし完璧主義にもならず、淡々と運用するのが王道。

よくある質問

Q. WordPress のセキュリティ対策、業者に依頼する価値は?
A. 法人サイトで本気なら依頼の価値あり(月数千〜数万円)。個人なら基本7つを自分でやれば十分。
Q. 改ざんされたら、自分で修復できますか?
A. 軽微なものなら可能(改ざんファイル特定→クリーンなバックアップから戻す)。深刻なものは業者依頼を推奨。
Q. セキュリティプラグインの「Wordfence」と「SiteGuard」、両方入れる?
A. 機能が重なる部分があるので、原則どちらか一方。日本語UIなら SiteGuard、機能の手厚さなら Wordfence。

あなたに合うサーバーを見つけるなら

記事を読んでも迷う方は、3分の診断ツールで1〜2社に絞り込めます。

▶ 無料で診断をはじめる

5つの質問に答えるだけ / 登録不要

関連する記事

セキュリティ
ブルートフォース攻撃(不正ログイン試行)から WordPress を守る方法
2026年4月18日 ・ 約4分で読めます
セキュリティ
レンタルサーバーのセキュリティ基本、何を見て選ぶか
2026年4月1日 ・ 約4分で読めます
WordPress入門
WordPressのバックアップを取る方法、初心者でも分かる3パターン
2026年1月25日 ・ 約4分で読めます