【保存版】WordPressのセキュリティ設定10選|ハッキングされる前に今すぐやるべき対策
WordPressは「世界で最も狙われるCMS」
世界のWebサイトの約43%がWordPressで構築されています。このシェアの高さは、同時にハッカーにとって「最も効率の良いターゲット」であることを意味します。
Sucuriの年次セキュリティレポートによると、ハッキング被害を受けたCMSサイトの約96%がWordPressでした。これはWordPressが脆弱だからではなく、圧倒的なシェアの高さゆえに攻撃のツールやノウハウが豊富だからです。
しかし、実際にハッキングされたWordPressサイトの大半は、「基本的なセキュリティ設定をしていなかった」ことが原因です。結論から言うと、この記事で紹介する10個の設定を実施するだけで、ハッキングリスクの90%以上を防げます。
この記事で分かること
- WordPressが攻撃される主な4つの経路
- 今すぐ実施すべきセキュリティ設定10選
- 各設定の難易度と所要時間
- 無料で使えるセキュリティプラグインの比較
- 万が一ハッキングされた時の初動対応
WordPressが攻撃される4つの経路
経路①:ログインページへのブルートフォース攻撃
WordPress のデフォルトのログインURL(/wp-login.php や /wp-admin/)に対して、ボット(自動プログラム)が膨大な数のパスワードを試行する攻撃です。パスワードが「admin123」や「password」のような単純なものだと、数分で突破されます。
経路②:古いプラグイン・テーマの脆弱性
更新されていないプラグインやテーマには、公開されたセキュリティホール(既知の脆弱性)が残っています。ハッカーはこの脆弱性データベースを常にチェックし、未更新のサイトを自動スキャンして侵入します。
経路③:SQLインジェクション・XSS
フォームやURLパラメーターから不正なコードを注入し、データベースを操作したり、サイト上で悪意のあるスクリプトを実行させたりする攻撃手法です。
経路④:ファイルのアップロード脆弱性
メディアアップロード機能やお問い合わせフォームの添付ファイル機能を悪用し、マルウェア(悪意のあるプログラム)をサーバーにアップロードする攻撃です。
| 攻撃経路 | 頻度 | 危険度 | 対策の難易度 |
|---|---|---|---|
| ブルートフォース攻撃 | 非常に高い | 高 | 簡単 |
| プラグインの脆弱性 | 高い | 非常に高い | 簡単(更新するだけ) |
| SQLインジェクション/XSS | 中程度 | 非常に高い | 中(WAFで防御) |
| ファイルアップロード | 低い | 高 | 中(設定で制限) |
今すぐ実施すべきセキュリティ設定10選
設定①:管理者パスワードを強力なものに変更する
難易度:★☆☆☆☆(5分)
最も基本的で、最も効果的な対策です。以下の条件を満たすパスワードに変更してください。
- 16文字以上
- 大文字・小文字・数字・記号を含む
- 辞書に載っている単語を含まない
- 他のサービスと使い回していない
WordPressの管理画面「ユーザー」→「プロフィール」から変更できます。「パスワード生成」ボタンを使えば、上記の条件を満たすランダムなパスワードが自動生成されます。
💡 ポイント:生成されたパスワードは覚えられないので、1Passwordやビットワーデンなどのパスワードマネージャーに保存してください。パスワードを付箋に書いてモニターに貼るのは論外です。
設定②:管理者ユーザー名を「admin」から変更する
難易度:★★☆☆☆(10分)
WordPressのデフォルトの管理者ユーザー名は「admin」です。ブルートフォース攻撃では、まず「admin」を試すのが常套手段です。
変更方法:
- 新しい管理者アカウント(例:yourname_admin2026)を作成
- 新しいアカウントに「管理者」権限を付与
- 新しいアカウントでログイン
- 古い「admin」アカウントを削除(投稿を新アカウントに引き継ぐ)
設定③:ログインURL を変更する
難易度:★★☆☆☆(10分)
デフォルトの /wp-login.php を、推測されにくいURLに変更します。
推奨プラグイン:WPS Hide Login(無料)
「設定」→「WPS Hide Login」で、ログインURLを任意の文字列(例:/my-secret-login-2026)に変更するだけです。
設定④:ログイン試行回数を制限する
難易度:★★☆☆☆(5分)
ブルートフォース攻撃を直接的に防ぐ設定です。一定回数のパスワード入力ミスでアカウントを一時的にロックします。
推奨プラグイン:Limit Login Attempts Reloaded(無料)
- 3回失敗で15分間ロック
- 3回ロックされたら24時間ロック
設定⑤:二段階認証を導入する
難易度:★★★☆☆(15分)
パスワードに加えて、スマートフォンの認証アプリ(Google Authenticator等)で生成されるワンタイムコードの入力を求める設定です。
二段階認証は、パスワードが漏洩しても不正ログインを防げる「最後の砦」です。管理者アカウントには必ず設定してください。
推奨プラグイン:Two-Factor(無料)
設定⑥:WordPressとプラグインの自動更新を有効にする
難易度:★☆☆☆☆(5分)
WordPress 5.6以降、マイナーアップデート(セキュリティパッチ)は自動更新がデフォルトで有効になっています。プラグインの自動更新も有効にしましょう。
管理画面「プラグイン」→ 各プラグインの「自動更新を有効化」リンクをクリック。
⚠️ 注意:自動更新を有効にする前に、必ずバックアップの自動化(UpdraftPlus等)を設定してください。自動更新でサイトが壊れた場合に、すぐに元の状態に復元できるようにしておく必要があります。
設定⑦:Webアプリケーションファイアウォール(WAF)を導入する
難易度:★★★☆☆(20分)
WAFは、SQLインジェクションやXSSなどの攻撃パターンを自動検知し、ブロックする防御システムです。
方法A:レンタルサーバーのWAF機能を有効にする
エックスサーバー、ConoHa WING等は、管理画面からWAFのON/OFFが設定できます。費用:無料(サーバー料金に含まれる)。
方法B:Wordfence プラグイン(無料版)
WordPress専用のセキュリティプラグインで、WAF、マルウェアスキャン、ログインセキュリティがオールインワンで提供されます。
設定⑧:ファイルエディタを無効化する
難易度:★☆☆☆☆(5分)
WordPressの管理画面にはテーマやプラグインのPHPファイルを直接編集できる「テーマファイルエディター」があります。万が一管理画面に不正ログインされた場合、ここからマルウェアを仕込まれるリスクがあるため、無効化しましょう。
wp-config.php に以下の1行を追加:
define('DISALLOW_FILE_EDIT', true);設定⑨:XMLRPCを無効化する
難易度:★★☆☆☆(5分)
XML-RPCは、外部アプリからWordPressを操作するための古いAPIです。WP REST APIが主流の現在、XML-RPCはほとんどのサイトで不要であり、ブルートフォース攻撃の入口として悪用されるリスクがあります。
.htaccessに以下を追加:
order deny,allow
deny from all
設定⑩:データベースのテーブルプレフィックスを変更する
難易度:★★★★☆(30分、新規インストール時推奨)
WordPressのデフォルトのテーブルプレフィックスは wp_ です。SQLインジェクション攻撃では、このデフォルト値を前提にしたコードが使われるため、プレフィックスを変更するだけで多くの攻撃を無効化できます。
既存サイトでの変更はリスクが伴うため、新規インストール時に設定するのが望ましいです。
設定の優先順位まとめ
| 優先度 | 設定 | 難易度 | 所要時間 | 防御効果 |
|---|---|---|---|---|
| 🥇 最優先 | ①パスワード強化 | ★☆☆☆☆ | 5分 | ★★★★★ |
| 🥇 最優先 | ④ログイン試行制限 | ★★☆☆☆ | 5分 | ★★★★★ |
| 🥇 最優先 | ⑥自動更新有効化 | ★☆☆☆☆ | 5分 | ★★★★★ |
| 🥈 早期対応 | ②ユーザー名変更 | ★★☆☆☆ | 10分 | ★★★★☆ |
| 🥈 早期対応 | ③ログインURL変更 | ★★☆☆☆ | 10分 | ★★★★☆ |
| 🥈 早期対応 | ⑤二段階認証 | ★★★☆☆ | 15分 | ★★★★★ |
| 🥉 推奨 | ⑦WAF導入 | ★★★☆☆ | 20分 | ★★★★☆ |
| 🥉 推奨 | ⑧ファイルエディタ無効化 | ★☆☆☆☆ | 5分 | ★★★☆☆ |
| 🥉 推奨 | ⑨XMLRPC無効化 | ★★☆☆☆ | 5分 | ★★★☆☆ |
| 🏅 新規時 | ⑩DBプレフィックス変更 | ★★★★☆ | 30分 | ★★★☆☆ |
✅ 所要時間の合計:①〜⑨をすべて実施しても、合計約1時間半です。この1.5時間の作業で、ハッキングリスクの90%以上を排除できます。まずは「最優先」の3つ(パスワード強化、ログイン試行制限、自動更新有効化)を今日中に。これだけでリスクは劇的に下がります。
万が一ハッキングされた場合の初動対応
ステップ1:サイトを一時的に非公開にする
メンテナンスモードにするか、サーバーの管理画面からアクセス制限をかけ、ユーザーがマルウェアに触れるのを防ぎます。
ステップ2:パスワードを全て変更する
WordPress管理者、FTP、データベース、サーバーのコントロールパネル——関連するすべてのパスワードを即座に変更します。
ステップ3:バックアップから復元する
UpdraftPlusで取得しておいたクリーンなバックアップから復元します。バックアップがない場合は、専門家に依頼してマルウェアの手動除去が必要です(費用:30〜100万円が相場)。
ステップ4:原因の特定と再発防止
サーバーのアクセスログを確認し、侵入経路を特定。該当するプラグインの更新または削除、セキュリティ設定の強化を行います。
まとめ:セキュリティ対策は「壊れてから」では遅い
WordPressのセキュリティ対策は、「やらなくても今は大丈夫」ではなく「やらなければいつか確実にやられる」ものです。ハッキング被害の復旧コスト(30〜100万円+機会損失)を考えれば、今日1.5時間をかけて基本設定を済ませることは、最もコスパの高い投資です。
今日からのアクション:
- 今日:最優先の3設定(パスワード・ログイン制限・自動更新)を実施する
- 今週:早期対応の3設定(ユーザー名・ログインURL・二段階認証)を実施する
- 今月:推奨の設定(WAF・ファイルエディタ・XMLRPC)を実施する
サイト保守のご相談はこちら
WordPressのセキュリティ診断と設定代行を承っています。
「自分で設定するのが不安」「すでにハッキングされたかもしれない」という方もお気軽にどうぞ。
この記事を書いた人:進藤 優介|株式会社Acqua 代表取締役 飲食業界18年の実務経験を経て、Web制作・デジタルマーケティングの世界へ転身。2020年にAcquaを設立し、AI×Webの力で中小企業のビジネスを加速させることをミッションに、HP制作・LP制作からAI導入支援まで代表自らが伴走しています。