【2025年8月28日更新】セキュリティ対策として「ログインURLの変更」「二要素認証の導入」「ボット対策の導入」を追加しました。
この記事のレベル
| 初心者 | (4.5) |
| 重要度 | (4.5) |
| 難しさ | (2.0) |
こんにちは、T部長です!
「WordPressのセキュリティ対策は必要?」「どんな対策をすればいいの?」と疑問に思ったり悩んだりしていないでしょうか?
今回は初心者の方でも簡単にできる、WordPressブログでのセキュリティ対策を紹介します。
T部長
この記事は以下のような人におすすめ!
- 攻撃を受けるとどのような被害があるのか知りたい
- WordPressのセキュリティを向上させる方法が知りたい
セキュリティ対策というと「なんだか難しそう・・・」というイメージを持たれるかもしれませんが、要点を押さえれば初心者でも簡単に設定ができます。
「私のサイトはまだそこまでアクセスないし大丈夫!」と思っている方が一番危険ですので、今回の記事を読んでしっかり対策していきましょう!
それでは、どうぞ!
WordPressセキュリティの重要性
具体的な対策をお伝えする前に、まずは簡単にWordPresセキュリティの重要性についてお伝えさせてください。
なぜWordPressが狙われやすいのか?
WordPressが狙われやすい理由は、結論「めちゃくちゃ利用者が多いから」です!
2025年現在、世界中のウェブサイトの約43%がWordPressで作らており、そのシェアは高い水準を維持しています。
利用者が多いことで、悪意ある攻撃者にとって効率のいいターゲットとなっているのです。
有名なサイトだと、アメリカホワイトハウスのサイトもWordPressが使用されています。
攻撃する側からすると、あまり利用されていないシステムの脆弱性(システムの弱いところ・不具合)を探すよりも、たくさん使われているシステムを当たった方が効率がよいということもあって、悪さを企んでいる人も世界中にたくさんいます。
実際攻撃されるとどのような被害を受けるの?
実際に攻撃を受けると、具体的には次のような被害が発生します。サイト運営者にとって深刻なリスクになるものが含まれています。
- 記事内容を書き換えられる
- 攻撃の踏み台にされる
- 自分のブログから大量の迷惑メールが送信される
- 不正ファイルを設置される
- 他サイトへの攻撃に利用される
過去にはWordPressで記事の書き換えが行えてしまう脆弱性があり、約150万のサイトが改ざん被害に遭いました。
攻撃に遭ったサイトを復旧するには、「改ざんされた記事を1つ1つ確認し修正していく」「不正に設置されたファイルを調査して削除する」といった非常に負担が大きな作業が発生します。
レンタルサーバー側でも日々対策を行っていますが、WordPressを運用している皆さんに対策していただかないと防ぎようがないものも多くあります。
自分が被害者にならないよう、次にご説明するセキュリティ対策を行いましょう!
いますぐできるWordPressセキュリティ対策7つ
ここからは、被害に遭いにくくするためのセキュリティ対策を7つ紹介します。
具体的にどのような対策をしたらよいかを説明しますので、順に設定を進めましょう!
1.ログインパスワードの見直し(重要)
まずはWordPressのパスワードの見直しです。
「そんな簡単なこと?」と思われるかもしれませんが、じつはめちゃくちゃ重要です。
家の周りを高いフェンスで囲っていても、門がすぐ開くようでは普通に入れてしまうのと同じです。
いくら他のセキュリティ対策を頑張っていても、パスワードが簡単なものだとすぐに入られてしまいます。
英字や数字、記号を混ぜたパスワードにして、文字列は長めに設定することを心掛けましょう。
WordPressではパスワードの強度チェッカーもありますので、一つの指標として利用するがよいと思います!
パスワードの変更方法は以下のとおりです。
ツールバー右上にマウスカーソルを当てて、プロフィールを編集をクリックします。
画面をスクロールしていき、アカウント管理の項目の新しいパスワードを設定をクリックします。
新しいパスワードを入力します。パスワードは「強力」となるのが理想です。
変更後、画面下までスクロールしてプロフィールを更新をクリックします。
T部長
当社でもIDやパスワードに問題があって不正アクセスされたという事例がものすごく多いです。自分のサイトは大丈夫と思わずしっかり対策しましょう!
2.テーマ/プラグインを最新化しておく(重要)
テーマやプラグインは更新しないと脆弱性が残りますので、必ずアップデートをしてください。
この更新作業はWordPressの自動更新機能を利用することもできますが、全てのテーマやプラグインで有効とは限りません。
月1回以上は以下の手順を参考にしながら、定期的にログインしてアップデートがないか確認・対応しましょう。
※今回はテーマを例に説明しますが、プラグインも同様の手順で更新できます。
管理画面を開いて、ダッシュボードから更新をクリックします。
更新するテーマにチェックを入れて、テーマを更新をクリックします。
T部長
多くのユーザが利用しているプラグインに脆弱性がある場合は、当社からメールでお知らせしています!
WordPressには、テーマやプラグインを自動で更新する機能が備わっています。
この機能を活用すれば、手動で更新する手間を省くことができます。
ただし、自動更新が失敗したり、互換性の問題などから予期せぬ不具合が発生したりする可能性もゼロではありません。
とくに、カスタマイズを多く行っているサイトでは、自動更新によってレイアウトが崩れたり、機能が動かなくなったりするリスクがあります。
「定期的に手動で慎重に更新」とするのが理想的ですが、開設して間もない小規模ブログなら「セキュリティと効率を優先して自動更新」といった使い分けも一つの手です。
3.利用していないテーマ/プラグインは削除する(重要)
使用していないテーマやプラグインがある場合は削除しましょう。
「無効化してあるから大丈夫」と思っていませんか?
じつは無効化していても、ファイルはサーバー上に残っているため、悪用されるリスクがあります。
とくに「WordPress公式ディレクトリ以外からダウンロードしたテーマやプラグイン」は、無効化すると更新通知がされないため、気づかず脆弱性を放置してしまう可能性があります。
テーマ・プラグインの削除は管理画面上から行えますので、リスク低減のためにも使っていないものは削除しましょう!
テーマの場合
管理画面の「外観」からテーマをクリックします。
削除したいテーマにマウスカーソルを当ててテーマの詳細をクリックします。
※現在有効なテーマは削除できません。
詳細画面が表示されたら右下に表示されている削除をクリックします。
本当に削除するかポップアップ確認されますので、OKをクリックします。
プラグインの場合
管理画面の「プラグイン」からインストール済みプラグインをクリックします。
使用していないプラグインを無効化したあと、削除をクリックします。
「削除」をクリックすると、本当に削除するかポップアップ確認されますので、OKをクリックします。
4.レンタルサーバーのセキュリティ対策機能を利用する
利用しているレンタルサーバーによっては、WordPressのセキュリティ対策機能を提供しています。
エックスサーバーでももちろん機能を用意しており、専門的な知識がなくてもサーバーパネル上から簡単に対策ができます。
「WordPressセキュリティ設定」機能がサーバーパネルから簡単に設定可能です。
標準状態ですでに有効(ON)になっていますので、設定しわすれの心配もなく、安心して利用できますよ!
各項目の説明や手順などの詳細はエックスサーバーのマニュアルにてくわしく説明していますので、あわせてご確認ください。
T部長
WordPressセキュリティ対策機能は、特別な理由がなければそのままONの状態での運用をオススメします。
5. ログインURLを変更する
WordPressの初期設定ではログインページのURLが「/wp-login.php」に固定されており、誰でも簡単にアクセスできます。
ログイン画面へ簡単にアクセスできる状態だと、攻撃者は強硬手段に出ます。
自動ツールを使ってパスワードを総当たりで試す『ブルートフォース攻撃』という手法で、ブログサイトへの不正アクセスを試みてくる恐れがあります。
このリスクを減らすために有効なのが、ログインURLを変更する対策です。
攻撃者にログインページを特定されにくくすることで、不正アクセスの入り口そのものを隠す効果があります。
たとえば、「XO Security」という無料プラグインを使うと、ログインURLを任意のものに簡単に変更できます。
出典:XO Security – WordPress プラグイン | WordPress.org 日本語
「XO Security」はログインURL変更だけでなく、管理画面保護やログイン試行回数制限などのセキュリティ機能も備えているので、サイトのセキュリティを総合的に強化したい場合に便利です。
セキュリティ強化を考えるなら、こういったプラグインの導入をおすすめします。
T部長
ただし、ログインURLを変更したら必ずメモしておきましょう!
忘れると自分自身がログインできなくなる恐れがあります。
6. 二要素認証(2FA)を導入する
パスワードだけでは、ログイン時のセキュリティを完全に守りきれない可能性があります。
そこで役立つのが、二要素認証(2FA)です。
これは、パスワードに加えてスマホアプリやセキュリティコードを使い、本人確認を2段階で行う仕組みです。
本人確認の精度が格段に高まるため、仮にパスワードが漏れても、第三者が不正にログインすることは非常に困難になります。
導入すると、「ログイン」ボタンをクリックしたあとに以下のような画面が出るようになります。
導入は専用プラグインを使えば簡単で、前の章で紹介した「XO Security」なども利用できます。
プラグインの設定で、機能を有効化したあと、WordPressユーザーのプロフィールページにあるQRコードをスマホアプリで読み取るだけです。
毎回コードの入力が必要になるため少し手間はかかりますが、大きなセキュリティ効果が期待できます。
個人ブログや小規模サイトでも、取り入れたい対策の一つです。
7. ボット対策を導入する
WordPressサイトのセキュリティを強化する上で、ボットによる攻撃への対策は欠かせません。
ボットとは、インターネット上を自動で巡回するプログラムのことで、これらが大量のスパムコメントやスパムメール、不正なログイン試行を繰り返すことがあります。
ここまでに紹介した内容でも基本的な対策はできますが、ここではより効果的な「Cloudflare Turnstile」の導入をおすすめします。
「Cloudflare Turnstile」 は、アクセスするユーザーが人間かボットかを認証し、強力なスパム・不正アクセス対策を施すツールです。
従来の認証ツールとは異なり、ユーザーに「私はロボットではありません」とチェックさせたり、画像を選ばせたりする手間をほとんどかけさせません。
サイトを強力に保護しながらも、訪問者の使いやすさを損なわないのが大きな特長です。
WordPressにTurnstileを導入するには、いくつかの方法がありますが、「Simple Cloudflare Turnstile」プラグインを使う方法が手軽でおすすめです。
導入方法は以下の記事を参考にしてみてください。
記事の主題は異なりますが、サイトへ導入する手順は同様です。
セキュリティ対策プラグイン自体で脆弱性や不具合が発生することがあります。
どんなプラグインであっても、基本である「更新」と「使っていないプラグインは削除」を忘れずに行いましょう!
もしものためにバックアップを取っておこう
ここまで紹介してきたセキュリティ対策とあわせて、できればバックアップも取っておくとより安心です。
あってほしくはないですが、万が一サイト内容が改ざんされてしまったときでも、バックアップを取っていれば改ざん前の状態(被害を受ける前の状態)に戻せることがあります。
以下の関連記事を参考にサイトのバックアップを検討してみてください。
まとめ
今回の記事ではWordPressがなぜ狙われるのか、また攻撃を受けるとどのような被害に遭うのかを説明した後、初心者でもできる対策を紹介しました。
紹介したポイントは以下の7つです。
攻撃され被害に遭うと、積み上げてきた記事がめちゃくちゃにされたり、多くの人に迷惑をかけてしまうことがあります。
WordPressのセキュリティは「攻撃されてから」ではなく、「攻撃される前に」考えるもの。
被害を未然に防ぎ、大切なブログやビジネス資産を守ることが大切です。
今回ご紹介したポイントを押さえて、より安全にWordPressを運用しましょう。
以上、最後までお読みいただきありがとうございました。
ブログの始め方を知りたい!実際に始めたい方へ
国内シェアNo.1※レンタルサーバー「エックスサーバー」では2025年10月6日(月) 17:00まで、サーバー利用料金が最大30%オフになる期間限定キャンペーンを開催中です!
今なら月額693円~とお得にWordPressブログが始められます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
さらに、《すでにご契約中の方も対象!》
PlayStation®5や星野リゾート宿泊ギフト券などの豪華賞品が当たる『22周年プレゼントキャンペーン』も同時開催中!
ぜひこのお得な機会にWordPressブログをご検討ください!
※ 2025年6月時点、W3Techs調べ。
当メディア「初心者のためのブログ始め方講座」では、
初心者の方に分かりやすく簡単にブログを始められる方法を紹介しています!
WordPressに使用される国内シェアNo.1サービス「エックスサーバー」の中の人が確実で信頼性の高い情報をお届けしています!
ブログをこれから始める方はこちらの完全ガイドをぜひご覧ください!
また、初心者の方向けにWordPressでのブログ立ち上げがたった10分できる方法も紹介しています!
ブログの始め方・立ち上げに関する、ご質問・ご相談はX(旧Twitter)DM( @tbcho_xsv )までお気軽にどうぞ!
