【チェックリスト付き】WordPressサイトのセキュリティ強化ガイド｜今日からできる15の対策

WordPressサイトは「狙われやすい」という現実

WordPressは世界中のWebサイトの約43%で利用されている圧倒的なシェアを持つCMSです。しかし、そのシェアの大きさがハッカーにとっての格好のターゲットになっているのも事実です。

「うちは小さな会社だから狙われない」と思っていませんか？残念ながら、ハッキングの多くは自動化されたボットによるもので、サイトの規模に関係なく無差別に攻撃されます。

実際に、WordPressサイトがハッキングされると以下のような被害が発生します。

• サイトの改ざん（知らない広告やリンクが挿入される）
• マルウェアの埋め込み（訪問者のPCに感染）
• スパムメールの踏み台にされる
• 顧客情報の漏洩
• Googleから「危険なサイト」として警告表示される

この記事では、こうした被害を防ぐための15のセキュリティ対策を、技術レベル別にまとめました。

レベル1：今すぐできる基本対策（5つ）

対策①：WordPress本体を常に最新に保つ

WordPressのアップデートには、セキュリティ修正が含まれています。管理画面に更新通知が表示されたら、できるだけ早く適用しましょう。

自動更新を有効にしておくのも有効です。wp-config.phpに以下を追加します。

define('WP_AUTO_UPDATE_CORE', true);

対策②：プラグインとテーマを最新に更新する

プラグインやテーマの脆弱性を突いた攻撃は、WordPress攻撃の最も多いパターンです。

• 使用中のプラグイン・テーマは必ず最新版に更新する
• 更新されなくなったプラグイン（最終更新が1年以上前）は代替品に切り替える
• 使っていないプラグインとテーマは無効化ではなく完全に削除する

対策③：強力なパスワードを設定する

• 最低12文字以上
• 英大文字・英小文字・数字・記号を組み合わせる
• 複数サイトでパスワードを使い回さない
• パスワードマネージャー（1Password、Bitwarden等）で管理する

対策④：ユーザー名「admin」を使わない

WordPressのデフォルトのユーザー名「admin」は、ブルートフォース攻撃で真っ先に試されます。管理者アカウントのユーザー名は推測しにくいものに変更しましょう。

変更方法：新しいユーザー名で管理者アカウントを作成し、旧「admin」アカウントを削除するのが最も確実です。

対策⑤：ログインURLを変更する

WordPressのデフォルトのログインURL（/wp-admin、/wp-login.php）は世界中に知られています。これを独自のURLに変更するだけで、自動攻撃の大半をブロックできます。

「WPS Hide Login」プラグインを使えば、簡単にログインURLを変更できます。

レベル2：少し手間をかける中級対策（5つ）

対策⑥：二段階認証（2FA）を導入する

ログイン時にパスワードに加えて、スマートフォンのアプリ（Google Authenticator等）で生成されるワンタイムコードを入力する仕組みです。

パスワードが漏洩しても、二段階認証があれば不正ログインを防止できます。「Two Factor Authentication」プラグインで簡単に導入可能です。

対策⑦：ログイン試行回数を制限する

ブルートフォース攻撃（パスワードを総当たりで試す攻撃）を防ぐために、ログインの試行回数を制限します。

「Limit Login Attempts Reloaded」プラグインを導入すると、指定回数以上ログインに失敗したIPアドレスを一時的にブロックできます。

• 推奨設定：3回失敗で15分ロック、5回失敗で24時間ロック

対策⑧：セキュリティプラグインを導入する

総合的なセキュリティ対策を1つのプラグインで実現できます。

おすすめのセキュリティプラグイン：

• Wordfence Security（無料版あり）：ファイアウォール、マルウェアスキャン、ログイン保護の三位一体
• Sucuri Security（無料版あり）：ファイル整合性チェック、セキュリティ通知
• SiteGuard WP Plugin（無料）：日本製プラグイン。ログインページの保護に特化

対策⑨：SSL（HTTPS）を導入する

SSLはデータの暗号化通信を実現し、ログイン情報やフォームの入力内容が盗聴されるのを防止します。

2026年現在、ほとんどのレンタルサーバーで無料のSSL証明書（Let’s Encrypt）が利用可能です。まだ導入していない場合は、サーバーの管理パネルから設定しましょう。

対策⑩：定期的なバックアップを自動化する

セキュリティ対策をどれだけ施しても、100%安全にはなりません。万が一に備えて、定期的な自動バックアップは必須です。

• UpdraftPlusプラグインでGoogleドライブに自動保存
• データベース：毎日バックアップ
• ファイル：週1回バックアップ
• サーバーの自動バックアップ機能と併用して二重化

レベル3：技術者向けの上級対策（5つ）

対策⑪：wp-config.phpのパーミッションを制限する

wp-config.phpにはデータベースの接続情報が含まれています。パーミッションを440または400に設定して、他のユーザーからの読み取りを制限しましょう。

chmod 440 wp-config.php

対策⑫：ディレクトリリスティングを無効化する

.htaccessに以下を追加して、ディレクトリの内容一覧が外部に表示されるのを防ぎます。

Options -Indexes

対策⑬：XMLRPCを無効化する

XML-RPCは外部アプリからWordPressを操作するための機能ですが、ブルートフォース攻撃やDDoS攻撃に悪用されることがあります。使用していない場合は無効化しましょう。

.htaccessに以下を追加します。

Order Deny,Allow
Deny from all

対策⑭：データベースのプレフィックスを変更する

WordPressのデフォルトのテーブルプレフィックス「wp_」は、SQLインジェクション攻撃の標的になります。インストール時にランダムなプレフィックス（例：「x7k2_」）に変更するのがベストです。

既存サイトでの変更は慎重な作業が必要です。専門家に依頼することを推奨します。

対策⑮：ファイル編集機能を無効化する

WordPress管理画面のテーマエディタ・プラグインエディタは便利ですが、不正アクセスされた場合にコードを改ざんされるリスクがあります。

wp-config.phpに以下を追加して無効化しましょう。

define('DISALLOW_FILE_EDIT', true);

セキュリティ対策チェックリスト

今すぐ（レベル1）

1. WordPress本体が最新版か
2. すべてのプラグイン・テーマが最新版か
3. 使っていないプラグイン・テーマを削除したか
4. 管理者パスワードが12文字以上の強力なものか
5. ユーザー名が「admin」以外になっているか

今週中に（レベル2）

1. ログインURLを変更したか
2. 二段階認証を導入したか
3. ログイン試行回数の制限を設定したか
4. セキュリティプラグインを導入したか
5. SSL（HTTPS）が有効になっているか
6. 自動バックアップが設定されているか

余裕があれば（レベル3）

1. wp-config.phpのパーミッションを制限したか
2. ディレクトリリスティングを無効化したか
3. XML-RPCを無効化したか
4. ファイル編集機能を無効化したか

まとめ

WordPressのセキュリティ対策は、レベル1の5項目だけでもリスクの80%を軽減できます。専門知識がなくても、プラグインの更新とパスワードの強化だけで大きな効果があります。

まずはこのチェックリストを上から順に確認して、未対応の項目から取り組んでみてください。

Acquaでは、WordPressのセキュリティ診断から対策実施まで、ワンストップでサポートしています。「うちのサイトは安全ですか？」というご不安があれば、お気軽にご相談ください。