今すぐできる!WordPressセキュリティ対策10選【ハッキング防止の基本】
WordPressは世界で最も使われているCMS(コンテンツ管理システム)ですが、その普及率の高さゆえに攻撃の対象にもなりやすいのが実情です。
「自分のサイトは関係ない」と思っていませんか?
実は、小規模なブログや企業サイトでも、自動ボットによる攻撃対象になっているのです。
そこで今回は、専門知識がなくても今すぐ実行できるWordPressセキュリティ対策10選を紹介します。
✅ この記事で得られること
- ハッキングの典型的な手口と対策がわかる
- プラグイン不要でできる基本対策がわかる
- サイトを守るための「定期点検」の考え方がわかる
🔐 セキュリティ対策①:管理者パスワードの強化
弱いパスワードはブルートフォース攻撃(総当たり攻撃)で簡単に破られます。
対策ポイント:
- 英数字+記号を含む20文字以上のパスワードを使用
- 他サービスとパスワードの使い回し禁止
- パスワードマネージャー(1Password, Bitwarden等)を活用
🔐 セキュリティ対策②:多要素認証(MFA)の導入
IDとパスワードだけでは不十分。本人確認の多要素認証を加えることで、乗っ取りリスクを大幅に減らせます。
導入向けツール
- Two-Factor(プラグイン)
- WP 2FA(プラグイン)
- Wordfence Login Security(プラグイン)
- Azure Entra IDによるシングルサインオン
🔐 セキュリティ対策③:ログインURLの変更
WordPressの標準ログインURL(/wp-login.php)は攻撃者にも知られています。
方法:
functions.phpではなく、専用プラグイン(例:Solid Security)を使用/login,/adminなど単純なものではなく、ランダムな文字列に変更
🔐 セキュリティ対策④:不要なテーマ・プラグインの削除
使用していないテーマ・プラグインでも、サーバー上にあるだけで脆弱性の原因になります。
対策:
- 「無効化」ではなく完全に削除
- データベース内の該当プラグインの残骸データは手動削除が必要
- デフォルトテーマ(twentytwentyoneなど)も使っていなければ削除OK
🔐 セキュリティ対策⑤:WordPress本体・プラグイン・テーマを常に最新に
脆弱性のほとんどは「既知のセキュリティホール」から侵入されます。
更新のポイント:
- 自動更新をオンにしておく(プラグイン側で通知を受けるのも可)
- 更新前にはバックアップを取得しておくと安心
- 長期間更新されていないプラグインは使用中でも見直し対象
🔐 セキュリティ対策⑥:セキュリティプラグインを導入する
攻撃の可視化・自動ブロック・ログ監視などを一括で対応できます。
定番プラグイン:
- Wordfence Security(初心者にも使いやすい)
- Solid Security(多機能)
- All In One WP Security & Firewall
🔐 セキュリティ対策⑦:wp-config.phpの保護
設定ファイルである wp-config.php は絶対に改ざんさせてはいけないファイルです。
対策方法:
- パーミッションを
400または440に変更 - 配置場所を変える
.htaccessを使ってアクセスをブロック
<files wp-config.php>
order allow,deny
deny from all
</files>
🔐 セキュリティ対策⑧:ディレクトリリスティングの無効化
サーバー設定によっては、/wp-content/uploads/ の中身が丸見えになることがあります。
対策方法:
.htaccess に以下を追加:
Options -Indexes
🔐 セキュリティ対策⑨:XML-RPCの無効化
WordPressの外部通信機能(XML-RPC)は、ほとんどのサイトで不要です。
攻撃者はここからブルートフォース攻撃やDDoSを行うケースがあります。
無効化方法:
- プラグイン「Disable XML-RPC」
.htaccessに以下を追加:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
🔐 セキュリティ対策⑩:定期バックアップの運用
万が一被害に遭っても、迅速に復旧できる仕組みがあれば被害を最小限にできます。WordPressプラグインが不具合を起こすケースを想定し、Wordpress自身によるバックアップ機能ではなく、サーバーやクラウドなどによる長期バックアップ『2回/月で6~12ヶ月』、短期バックアップ『毎日で1~3ヶ月』をおすすめします。
バックアップツール:
- UpdraftPlus(クラウド連携可能)
- BackWPup(FTP転送やメール通知が便利)
- サーバー側の自動バックアップ機能(レンタル共有サーバーは保存期間が短く、問題に気づいた時にはバックアップ保存期間が既に過ぎてしまっているなどがありがち)
- AWS S3、Lambda、EventBridgeなど
- AWS Backup(AWS上で運用している場合)
✅ セキュリティ対策チェックリスト(印刷用)
| No | 項目 |
|---|---|
| 1 | 強固なパスワードを使用している |
| 2 | 2段階認証を導入している |
| 3 | ログインURLを変更済み |
| 4 | 不要なテーマ・プラグインは削除済み |
| 5 | すべて最新版に更新している |
| 6 | セキュリティプラグインを導入している |
| 7 | wp-config.php を保護している |
| 8 | ディレクトリリスティングを無効化している |
| 9 | XML-RPC を無効化している |
| 10 | 定期バックアップを行っている |
🧩 関連記事
- 👉 [WordPressハッキングの原因トップ5と再発防止チェックリスト【保存版】]
- 👉 [WordPressサイトがハッキングされた時の初動対応チェックリスト(7ステップ)]
- 👉 [【自力で復旧したい方へ】WordPress改ざん・マルウェア感染時の復旧手順まとめ]
✉️ ハッキング被害を受けた直後の方へ
復旧だけで終わらせず、必ず再発防止まで行いましょう。
- ✅ 改ざん除去・ログ解析・クラウド移行までサポート
- ✅ 過去の不要なプラグインの残骸データも削除
- ✅ 最短2時間で緊急対応可
