WordPressサイトを守るために押さえておきたいセキュリティ対策まとめ

WordPressは世界で最も利用されているCMSであり、その便利さと同時に「攻撃されやすい」という特徴もあります。
個人サイトであっても関係なく狙われるため、運用者が最低限の対策を理解しておくことがとても大切です。
この記事では、今日から実践できる基本的な対策から、実務で役立つ運用方法までを分かりやすくまとめました。 

レリゴではサイト設計からコーディング・運用までワンストップで対応可能です。ぜひお問合せ下さい。

無料相談はコチラ

よくある攻撃パターンと被害例

WordPressは世界中で最も利用されているCMSであり、その圧倒的な普及率ゆえに“攻撃対象として最も狙われやすい”という側面を持ちます。特に、プラグインの脆弱性、古いテーマの放置、ログインページへの総当たり攻撃など、運営者が気づかない部分でリスクが積み重なっていることが少なくありません。

WordPressへの攻撃でもっとも多いのが、不正ログインとプラグインの脆弱性を狙った侵入です。

被害例1. 不正ログインによる管理画面の乗っ取り

WordPressは標準のログインページが明確であるため、攻撃者がログインを試みやすい構造になっています。弱いパスワードを使っているサイトや、管理者IDが「admin」のままのサイトは特に危険です。

乗っ取り後は以下のような被害が発生します：

• サイトのデザインや文章が勝手に書き換えられる
• 管理者権限を奪われ、ログインできなくなる
• マルウェアを埋め込まれ、閲覧ユーザーへ被害が広がる

最悪の場合、サイト閉鎖に追い込まれるケースも珍しくありません。

被害例2. 改ざんによる不正リンク設置・スパム化

攻撃者がサイト内部に侵入すると、商品ページやブログ記事に 気づかれにくい不正リンク を埋め込むことがあります。
特に多いのは以下のようなパターンです：

• 海外の怪しいサイトへの誘導リンク
• スパム広告や不正アプリへのリンク
• フィッシングページへの誘導

サイト運営者が気づくのが遅れると、Googleに「危険なサイト」と判断され、検索結果から除外されることもあり、SEO面で壊滅的なダメージを受けます。

被害例3. マルウェア感染によるページの自動転送（リダイレクト攻撃）

悪意あるコードを仕込まれると、サイト訪問者が勝手に別サイトへ飛ばされる現象が起こります。
例えば、以下のようなリダイレクトです。

• 通常のトップページにアクセス → なぜか広告サイトに移動
• 商品ページにアクセス → マルウェア配布ページに転送

こうした状態が続くと、販売機会の消失（CV激減）＋顧客の信頼喪失で、EC運営者にとって致命的です。

被害例4. プラグイン・テーマの脆弱性を突いた攻撃

WordPress攻撃の約半数以上は「プラグインの脆弱性」が原因と言われています。
実際に起きている被害としては：

• 決済関連プラグインの脆弱性から情報を抜き取られる
• 問い合わせフォーム経由でスクリプトを挿入される
• 画像スライダーの脆弱性からファイルをアップロードされる

脆弱性は“公開された瞬間”に攻撃者の標的になるため、更新を怠ると一気に危険度が上がるのが特徴です。

まず実行すべき基本のセキュリティ対策

上記で紹介した被害に遭わないためにも、WordPressを安全に保つためには、日頃の更新管理が最も重要です。 

WordPress本体・テーマ・プラグインの更新

もっとも多い侵入経路が「古いまま使われているプラグイン」です。
更新を放置しないためにも、自動更新できる仕組みにしておくのがおすすめです。
特にテーマ・プラグインは、自動更新に対応しているものを選ぶことが安全性を高めます。

パスワードとユーザー名の強化

推測しにくい複雑なパスワードを使用し、ユーザー名に「admin」を使わないこと。
これだけでも攻撃成功率が大きく下がります。 

サイトのSSL化（HTTPS）

通信が暗号化されるため、ログイン情報の漏えいを防ぐ役割があります。
基本設定として必ず導入しておきましょう。 

テーマ編集によるリスクを避ける方法

WordPressのカスタマイズでは、テーマを直接編集してしまう方が多く見られます。
しかし、親テーマをいじると更新のたびに変更が上書きされたり、セキュリティ上の不具合を生む可能性があります。 

安全に運用するためには「子テーマ」で編集する

親テーマのコードを直接触ると、誤った編集によってサイト全体が表示されなくなるトラブルも起こりやすくなります。子テーマであれば、親テーマの機能を継承しつつ、必要な部分だけを安全に上書きできるため、デザイン変更や追加CSSの管理が格段に安全で効率的になります。

長期的に安定したサイト運用を行う上で、子テーマの使用は必須といえる基本対策です。

ログインページを守るアクセス制限

不正ログイン対策は複数の方法を組み合わせると一気に強度が上がります。 

ログインURLの変更 

/wp-admin や /login といった既定のURLは攻撃者に狙われやすく、URLを変更するだけでも攻撃件数が大幅に減ります。 

ログイン試行回数の制限

ログイン試行回数を制限することで、総当たり攻撃（ブルートフォース）を防止できます。
一定回数失敗したIPを自動ブロックし、不正アクセスのリスクを大幅に減らせます。

reCAPTCHAの導入 

Googleが提供する「reCAPTCHA」を導入することは非常に効果的です。
reCAPTCHAは、ユーザーが人間かボットかを自動判定し、不正な送信をブロックします。
特にWordPressの問い合わせフォームやログインページは攻撃されやすく、reCAPTCHAを設置するだけでセキュリティが大幅に向上します。導入はプラグインで簡単に行え、安全な運用に欠かせない基本対策です。

ベーシック認証で二重ロックをかける 

ログインページにベーシック認証を追加することで、ID・パスワードの二重ロックとなり、不正アクセスを強力に防止できます。外部からの攻撃対策として非常に有効な手段です。

VPN接続で管理画面へのアクセスを限定

もっとも強力な方法が、VPN接続でアクセスを制限する方法です。
特定ネットワークからのみ管理画面にアクセスを許可することで、外部からの攻撃はほぼ不可能になります。

企業サイトやECサイトなど、重要度の高いサイトではぜひ検討したい対策です。 

バックアップと復旧の準備

どれだけ対策をしていても、100％安全ということはありません。
そのため、バックアップを取っておくことが最終的な保険になります。
具体的には以下の方法でバックアップをすることがオススメです。

• 毎日または週次で自動バックアップ
• サーバーだけでなく外部ストレージにも保管 
• 復旧テストを実施して「戻せる状態」を確認 

万が一の際も、短時間で復元できる体制を整えておけば安心です。 

サーバー側でできる追加セキュリティ

WordPress本体だけでなく、サーバーの設定も重要です。
サーバーの設定として検討したい方法は以下のようなものがあります。

• WAF（Webアプリケーションファイアウォール）の有効化
• PHPバージョンの更新 
• ファイル権限の適切な設定（書き込み権限の調整） 
• サーバー会社が提供するセキュリティオプションの活用 

これらを組み合わせることで、攻撃の大部分をブロックすることが可能です。 

今日からできる“最低ライン”を整えよう

WordPressのセキュリティは難しいイメージがありますが、実際は「更新」「アクセス制限」「バックアップ」の3つを押さえるだけでリスクが大きく下がります。特に自動更新やベーシック認証、VPNアクセスは効果が高く、実務でもよく採用される方法です。 

今日できるものから順番に対策して、安心してサイト運用を続けていきましょう。 

セキュリティについては専門的な知識が必要な部分もあるため、プロに依頼することもオススメです。
レリゴは、持続可能なWeb戦略を提案し実行するWEBサイト総合サポート企業です。

WordPressサイトのセキュリティをはじめ、集客や運用、その他のWeb関連の課題について、専門家の意見が必要な場合や具体的な改善策を検討したい場合は、ぜひレリゴにご相談ください。
レリゴの経験豊富なチームが、Webサイトの継続的な改善と成功をサポートします。

レリゴでの事例