WordPressはブログや企業サイトで広く使われているCMSですが、世界中で使われているだけに、サイバー攻撃の標的になりやすいのも事実です。セキュリティ対策を後回しにしていると、ある日突然ハッキングされてサイトが改ざんされたり、マルウェアを埋め込まれたりするリスクがあります。
この記事では、WordPressのセキュリティ対策として今すぐ実践できる基本設定と、無料で使えるおすすめプラグインをわかりやすく解説します。初心者の方でも今日から取り組める内容を中心にまとめました。
WordPressがハッキングされるとどんなリスクがあるのか
「自分のサイトは小さいから大丈夫」と思っている方も多いのですが、攻撃者は規模に関係なく、セキュリティが甘いサイトを狙います。ハッキングされた場合に起こりうる主なリスクは以下のとおりです。
- サイトのコンテンツが改ざんされ、スパムリンクや有害なコードを埋め込まれる
- 訪問者の個人情報や会員情報が漏洩する
- Googleのセーフブラウジングリストに登録され、検索順位が大幅に下落する
- サーバーアカウントごと乗っ取られ、他のサイトにも被害が及ぶ
特にSEO面での影響は深刻で、一度ブラックリストに登録されると復旧に多大な時間と手間がかかります。「被害が出てから対処する」では遅く、早めのWordPressセキュリティ対策が不可欠です。
プラグイン不要でできるWordPressの基本セキュリティ設定
まずは追加プラグインなしにすぐ対処できる設定を確認しましょう。
WordPressを常に最新バージョンに保つ
WordPressのアップデートには、新機能の追加だけでなく、既知の脆弱性に対するセキュリティパッチが含まれています。バージョンを古いまま放置するのは、鍵のかかっていないドアを開けたままにするようなものです。管理画面のダッシュボードで定期的に確認し、テーマやプラグインも含めて最新の状態に保ちましょう。
管理者ユーザー名を「admin」から変更する
WordPressインストール時にデフォルトで「admin」というユーザー名を使っている場合はすぐに変更してください。攻撃者は「admin」というユーザー名でパスワードを総当たり(ブルートフォース攻撃)するスクリプトを使うことが多く、ユーザー名を変えるだけで攻撃の難易度が大幅に上がります。新しい管理者ユーザーを作成してから古い「admin」ユーザーを削除する方法で変更できます。
強力なパスワードを設定する
パスワードは大文字・小文字・数字・記号を組み合わせた12文字以上のものを使いましょう。WordPressの管理画面ではパスワードの強度が表示されます。「強い」と表示されるレベルのパスワードを設定してください。1PasswordやBitwardenなどのパスワードマネージャーを使うと管理が楽になります。
セキュリティを強化する無料プラグイン3選
基本設定だけでは不十分な部分を、プラグインで補いましょう。以下の3つはいずれも無料で利用でき、WordPressのセキュリティを大幅に強化できます。
SiteGuard WP Plugin
日本語対応の国産セキュリティプラグインです。ログインURLの変更、ログイン試行回数の制限、画像認証(CAPTCHA)の追加など、ログインページへの不正アクセスを防ぐ機能が充実しています。設定画面もわかりやすく、初心者にも扱いやすいプラグインです。国内のWordPressユーザーには特におすすめです。
Wordfence Security
世界中で5,000万以上インストールされている定番のセキュリティプラグインです。マルウェアスキャン、ファイアウォール機能、ブルートフォース攻撃への対策など、包括的なセキュリティ機能を無料で利用できます。定期的にサイトをスキャンして不審なファイルを検出してくれるため、継続的な監視に役立ちます。
Loginizer
ログイン試行回数の制限に特化したシンプルなプラグインです。一定回数ログインに失敗したIPアドレスを自動的にブロックする機能があります。機能が絞られているためサイトへの負荷も少なく、SiteGuardやWordfenceと組み合わせて使いやすい点が魅力です。
ログインURLを変更して不正アクセスを大幅に減らす
WordPressのデフォルトのログインページURL(/wp-login.phpや/wp-admin/)は攻撃者に広く知られています。このURLを独自のものに変更するだけで、ブルートフォース攻撃の大部分を防ぐことができます。
「SiteGuard WP Plugin」をインストールすると、ログインURLをワンクリックで変更できます。変更後のURLは必ずメモしておきましょう。忘れてしまうと管理画面にアクセスできなくなるため注意が必要です。
さらに上級者向けの対策として、.htaccessファイルを使ってwp-adminへのアクセスを自分のIPアドレスのみに制限する方法もあります。固定IPをお持ちの方は検討してみてください。
まとめ
WordPressのセキュリティ対策は「完璧」を目指す必要はありませんが、基本的な対策を講じるだけで攻撃リスクを大幅に低減できます。この記事でご紹介した対策をまとめると以下のとおりです。
- WordPress・テーマ・プラグインを常に最新バージョンに保つ
- 管理者ユーザー名を「admin」以外に変更する
- 強力なパスワードを設定する
- SiteGuard WP Pluginでログインページを保護・URLを変更する
- Wordfenceでマルウェアスキャンと不正アクセスをブロックする
セキュリティ対策はサイト運営の「保険」です。何か起きてから対処するのではなく、今すぐ取り組むことをおすすめします。まだプラグインを何も入れていない方は、まず「SiteGuard WP Plugin」の導入から始めてみてください。
