【実践】WordPressの不正アクセス対策ガイド|ログ監視・WAF設定・二段階認証で守る方法
「うちみたいな小さい会社のサイトなんか、ハッカーに狙われるわけないでしょ」——みなさん、本気でそう思っていますか?実はWordPressのハッキング被害は、大企業よりも中小企業のほうが圧倒的に多いのです。理由はシンプルで、セキュリティ対策が甘いサイトのほうが侵入しやすいからです。
結論から言うと、WordPressの不正アクセス対策は「高度な技術知識」がなくても実施可能です。プラグインの導入とサーバーの設定変更だけで、不正アクセスの95%以上を防ぐことができます。この記事では、僕が保守を担当するサイトで実際に行っているセキュリティ対策を、優先度順に全て公開します。
WordPressが狙われる理由——「人気者ゆえの宿命」を理解する
なぜWordPressが攻撃対象No.1なのか
| 要因 | 詳細 |
|---|---|
| 圧倒的なシェア | 全Webサイトの約43%がWordPress。攻撃者にとって「最も効率的な標的」 |
| ログインURLが共通 | デフォルトで /wp-admin/ や /wp-login.php でアクセス可能 |
| プラグインの脆弱性 | サードパーティ製プラグインの品質がバラバラ。古いプラグインが最大のリスク |
| 管理の甘さ | 中小企業の多くがアップデートを放置している |
| 自動化された攻撃 | ボットが世界中のWordPressサイトを24時間スキャン・攻撃 |
⚠️ 重要な事実:WordPressサイトへの攻撃の大半は「人間のハッカー」ではなく「自動化されたボット」によるものです。つまり、サイトの規模や業種は関係なく、WordPressを使っている時点で攻撃対象になります。「うちは小さいから大丈夫」は完全な誤りです。
攻撃の種類と被害
| 攻撃手法 | 概要 | 被害例 | 発生頻度 |
|---|---|---|---|
| ブルートフォース攻撃 | パスワードを総当たりで試行 | 管理者アカウントの乗っ取り | 非常に高い |
| プラグインの脆弱性攻撃 | 古いプラグインの脆弱性を突く | マルウェア設置・データ漏洩 | 高い |
| SQLインジェクション | データベースへの不正クエリ | 顧客データの窃取 | 中程度 |
| クロスサイトスクリプティング | 悪意あるスクリプトの埋め込み | 訪問者への悪影響・フィッシング | 中程度 |
| ファイルインクルード攻撃 | 不正ファイルのサーバーへの設置 | バックドア設置・完全制御奪取 | やや低い |
対策①:ログインセキュリティの強化——最も効果の高い防御
WordPressへの不正アクセスの約80%がログインページからのブルートフォース攻撃です。ここを強化するだけで、大半の攻撃を防げます。
ログインURL の変更
デフォルトの /wp-login.php や /wp-admin/ は世界中のハッカーに知られています。このURLを変更することで、ボットの自動攻撃を無効化できます。
推奨プラグイン: WPS Hide Login(無料)
- インストール→有効化→設定画面でログインURLを任意のパスに変更
- 例:
/wp-login.php→/my-secret-login-2024/
二段階認証(2FA)の導入
パスワードが万が一漏洩しても、二段階認証を設定していれば不正ログインを99.9%防ぐことができます。
推奨プラグイン: WP 2FA(無料版あり)
- Google AuthenticatorやMicrosoft Authenticatorアプリと連携
- 管理者アカウントには必ず設定。編集者・寄稿者にも推奨
✅ 僕が保守するすべてのサイトで二段階認証を必須化しています。導入以来、不正ログイン被害はゼロです。設定は5分で完了。これだけでセキュリティレベルが劇的に向上します。
ログイン試行回数の制限
ブルートフォース攻撃は「何千回もパスワードを試す」手法なので、試行回数を制限すれば攻撃が成立しなくなります。
推奨設定:
- 5回連続でログイン失敗したIPアドレスを15分間ブロック
- 15回連続で失敗したIPアドレスを24時間ブロック
推奨プラグイン: Limit Login Attempts Reloaded(無料)またはWordfence Security
管理者ユーザー名の変更
初期設定の「admin」というユーザー名を使っていませんか?これは攻撃者にとってパスワードだけ当てれば侵入できる状態です。
⚠️ 「admin」ユーザー名は今すぐ変更してください。WordPress管理画面の「ユーザー」メニューから新しい管理者ユーザーを作成し、古い「admin」ユーザーは削除する手順が最も安全です。
対策②:WAF(Web Application Firewall)の設定
WAFとは
WAFは、Webアプリケーション(WordPress)への通信を監視し、不正な通信を自動的にブロックするファイアウォールです。SQLインジェクション、クロスサイトスクリプティングなどの攻撃を、WordPressに到達する前にブロックしてくれます。
WAFの導入方法
| WAFの種類 | 具体例 | 費用 | 適した場面 |
|---|---|---|---|
| サーバー付属WAF | エックスサーバー、ConoHa WINGの標準WAF | 無料(サーバー料金に含まれる) | 手軽に始めたい場合 |
| クラウドWAF | Cloudflare、AWS WAF | 無料プランあり〜月額数千円 | より高度な防御が必要な場合 |
| プラグインWAF | Wordfence Security | 無料版あり(有料版は年$119) | サーバーWAFと併用する場合 |
💡 ポイント:レンタルサーバーに付属のWAF機能があれば、まずそれを有効化するだけで十分な防御効果があります。エックスサーバーなら管理画面の「WAF設定」をONにするだけ。所要時間は1分です。
Cloudflareの無料プラン——追加コストゼロで本格防御
Cloudflareの無料プランは、WAFに加えてDDoS防御、CDN(表示速度向上)、SSLも提供しています。
- DNS設定を変更するだけで導入可能
- 「Under Attack Mode」で大規模攻撃にも対応
- ボットトラフィックの自動フィルタリング
対策③:ログ監視——「気づく力」を手に入れる
攻撃を「防ぐ」だけでなく、「気づく」仕組みも重要です。ログ監視を設定しておけば、不審な活動をリアルタイムで検知し、被害が拡大する前に対処できます。
監視すべきログの種類
セキュリティログで監視すべき5項目
- ①ログイン履歴:成功・失敗のすべて。特に「未知のIPアドレスからのログイン」に注意
- ②ファイル変更履歴:wp-config.php、.htaccessなどの重要ファイルが変更されていないか
- ③プラグイン変更履歴:知らないプラグインがインストールされていないか
- ④ユーザー追加履歴:身に覚えのない管理者ユーザーが追加されていないか
- ⑤不審なURLアクセス:wp-config.phpやデータベースバックアップへの直接アクセス試行
おすすめセキュリティプラグイン比較
| プラグイン | 主な機能 | 費用 | おすすめ対象 |
|---|---|---|---|
| Wordfence Security | ファイアウォール、マルウェアスキャン、ログイン制限、リアルタイムログ | 無料版あり | 総合的なセキュリティを求める方 |
| Solid Security(旧iThemes) | ログイン保護、ファイル変更検知、データベース保護 | 無料版あり | 設定が簡単なものを求める方 |
| All In One WP Security | ログイン制限、ファイル保護、ファイアウォール | 無料 | コストをかけたくない方 |
| Sucuri Security | セキュリティ監視、マルウェア除去、CDN/WAF | 有料(年$199〜) | プロレベルの防御が必要な方 |
💡 ポイント:迷ったらWordfence Securityの無料版をインストール。これ1本で、ファイアウォール+ログイン制限+マルウェアスキャン+リアルタイムログの4機能が使えます。僕が保守するサイトの80%以上でWordfenceを採用しています。
メール通知の設定
セキュリティプラグインの通知機能を有効にし、以下のイベントが発生したらメールで即座に通知が届くように設定します。
- ログイン失敗が5回以上連続(ブルートフォース攻撃の兆候)
- 管理者権限のユーザーが追加された
- 重要ファイルが変更された
- マルウェアが検出された
- プラグインがインストール/削除された
対策④:日常的な保守——最大の防御は「更新の徹底」
高度なセキュリティツールを導入しても、WordPress本体やプラグインが古いままではリスクが残る。実は、ハッキング被害の原因の約9割がアップデートの放置に起因しています。
セキュリティ保守の月次チェックリスト
月1回実施するセキュリティチェックリスト
- ✅ WordPress本体を最新バージョンに更新
- ✅ 全プラグインを最新バージョンに更新
- ✅ テーマを最新バージョンに更新
- ✅ 使っていないプラグイン・テーマを完全削除
- ✅ セキュリティプラグインのスキャンを実行
- ✅ ユーザーリストを確認(不審なアカウントがないか)
- ✅ バックアップが正常に動作しているか確認
- ✅ セキュリティログを確認(異常なアクセスがないか)
自動更新の設定
WordPress 5.5以降、プラグインとテーマの自動更新が可能になっています。管理画面の「プラグイン」一覧から各プラグインの「自動更新を有効化」をクリックするだけです。
⚠️ 自動更新の注意点:まれにプラグインの更新がサイトの不具合を引き起こすことがあります。そのため、自動更新を有効にする場合は、必ずバックアッププラグイン(UpdraftPlus等)も併用してください。不具合が発生してもバックアップから即座に復元できる体制が整っていれば、自動更新のリスクは最小化できます。
まとめ——セキュリティは「コスト」ではなく「保険料」
WordPressのセキュリティ対策は、被害に遭わない限り「やっても何も変わらない」ように感じるかもしれません。しかし、被害に遭ったときの復旧コスト(30〜100万円+ビジネス停止)を考えれば、月に30分のセキュリティチェックと無料プラグインの導入は、極めて安い「保険料」です。
今日から始める4つのアクション
- ① Wordfence Securityをインストール・有効化:基本設定だけで十分な防御力
- ② ログインURLを変更:WPS Hide LoginでデフォルトのURLを隠す
- ③ 二段階認証を設定:管理者アカウントに必ず設定
- ④ 全プラグイン・テーマを最新に更新:古いプラグインは最大のセキュリティホール
この4つを今日中に実行すれば、みなさんのWordPressサイトのセキュリティは劇的に向上します。すべて無料で実施でき、合計の作業時間は約1時間。1時間の投資で何年分ものビジネス資産を守れる——これほどコスパの良い保守作業は他にありません。
サイト保守のご相談はこちら
「セキュリティ対策が不安」「プロに任せたい」という方へ。
AcquaではWordPressサイトの保守・セキュリティ管理を月額プランで承っています。
お気軽にお問い合わせください。
この記事を書いた人:進藤 優介|株式会社Acqua 代表取締役
飲食業界18年の実務経験を経て、Web制作・デジタルマーケティングの世界へ転身。2020年にAcquaを設立し、AI×Webの力で中小企業のビジネスを加速させることをミッションに、HP制作・LP制作からAI導入支援まで代表自らが伴走しています。