WordPressはオープンソースかつ、無料で使えて拡張性(プラグイン・テーマ)も高いので、世界中で最も利用されているCMSの1つです。ただ、オープンソースで有るが故に、脆弱性が発見されやすくハッカーの標的になりやすい、とも言われています。
ただ、実際のところは専門家もその主張には疑問を持っており、単にWordPress以外のCMSを売り込むために使われているだけだという意見もあります。そちらに関しては以下の記事でもまとめていますが、いずれにせよ世界中で使われているCMSなので、やるべきセキュリティ対策を行っていれば、安全に運用できるのがWordPressです。

「WordPressはセキュリティに弱い」 と言われているのはご存知でしょうか。 個人やフリーランスの方よりも、企業。特に大企業のWeb担当者はWordPressの脆弱性を意識される傾向があります。規模が大きな企業ほど社内コンプライアンスの意識が確立されていることに加え、被害が出た時のダ...
そこで今回は、初心者でも簡単にできるWordPressのセキュリティ対策を厳選して紹介します。これさえやっておけば、大型のWebサイトでも特段問題はないかと思います。
目次
なお、「WordPressとは何か?」を解説した記事も用意していますので、併せてご参照ください。

WordPress(ワードプレス)をご存じですか? WordPressとは、無料で使えるCMS(コンテンツマネジメントシステム)のことです。個人ブログから企業のコーポレートサイト、オウンドメディアまで、さまざまなWebサイトを構築できます。 WordPressの市場シェアは世界中のWebサイトの...
1. WordPressやプラグインのバージョンを最新に
先に述べたように、WordPressは世界で最も有名なCMSのためハッカーのターゲットになりやすく、脆弱性も発見されやすいのです。
脆弱性が発見された場合、Wordpressはその都度バージョンアップをして対策をしています。最新バージョンは(既知の)脆弱性がなく、逆にバージョンが古いほど、脆弱性は多くなります。基本的な事ですが、非常に重要なので、できるだけ常に最新版にしておくことをおすすめします。プラグインも同様です。
2. 未使用・更新停止したプラグインは削除
インストールしているだけで使っていないプラグインや、一度は使用したが、現在は使わなくなっているプラグインは、「停止」にするだけではなく、「削除」するようにしましょう。なぜなら、「削除」しておかないと、プラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。使わないプラグインは ”完全に削除” することが大切です。
また、使っていてもアップデートが止まっているプラグインもたくさんあります。1年以上更新が止まっているプラグインは要注意です。古いプラグインはセキュリティに穴がある可能性も高いため、類似機能を持った、しっかり更新されているプラグインに乗り換えることをおすすめします。
3. PHPバージョンを推奨に更新
PHPは更新ごとにセキュリティの脆弱性を修正しています。よって、いつも最新のPHPバージョンにしておくことが安全です。WordPressの分析ページによると2021年9月時点でサポート終了したPHP7.2以前のバージョンを使用しているWebサイトは35%にのぼるようです。放置サイトも含めての数字だとは思いますが、少なくない割合です。
PHPバージョンはご利用のレンタルサーバーのコントロールパネルから簡単に変更できます。更新方法、及びWordPressとPHPバージョンの対応表は以下の記事に掲載しているので参考にしてください。
※レンタルサーバー会社によってはサポートが終了したPHPバージョンにしか対応していない(もしくは更新頻度が遅い)ことも多々あるので、レンタルサーバー選びもわりと重要です。

長期で運営しているWordPressのサイトで、以下のような問題が発生していませんか? 表示速度が遅くなった気がする 迷惑メールがたくさん届くようになった プラグインが正常に動作しないことがある 上記の問題の原因は、古いバージョンのPHPを使っているからかもしれません。...
4. ユーザー名とパスワードはセキュアなものにしておく
WordPressはログインされなければ、たいていは大丈夫です。逆にログインされてしまうとアウトです。何でも出来てしまいます。よって、不正ログインが起きないように、ユーザー名/パスワードはセキュアなものにしておく必要があります。
パスワードは最低限「10文字以上の英数字を織り交ぜたランダム文字列」でいきましょう(パスワードは8文字以内だとハッキングされやすいというデータもあります。)。間違っても自分が覚えやすいパスワードにするのはおすすめできません。
5. ログインの試行回数を制御する
ログインのセキュリティを上げるなら、試行回数の制限がおすすめです。例えば、「3回パスワードを間違えると1時間ログインできないようにする」などの設定をあらかじめしておくのです。これによって、機械的な不正ログインのアタックを防げる確率が劇的に上がります。
以下のプラグイン「Limit Login Attempts Reloaded」を使用すれば、難しい設定は必要ありません。

あなたのサイトでは、どんなセキュリティ対策を行っていますか? WordPressで作られているサイトは世界的にも高いシェアを誇りますが、ユーザーの母数が多いこともあり、セキュリティ面が乏しいサイトも少なくないと言われています。 しかし、WordPressには多くの優秀なプラグインがあるの...
6. ログイン履歴を管理する
プラグイン「User Login History」を導入することで、WordPressのログイン履歴を管理することができます。日付、ユーザー名、IPアドレス、国、ブラウザ、滞在時間も把握できるので、何かあった時に不正を検知・確認するのに役立ちます。

万が一悪質なユーザーに標的にされてしまい、あなたのサイトが不正にアクセスされたとしましょう。 その時、あなたが運営するサイトにユーザーのアクセス履歴などを記録する機能があれば、不正ログインに対する対策の幅が広がりますよね。ただ、デフォルトのWordPressではこういった機能は用意されていない...
不正を防止するためのプラグインではありませんが、複数の人で1つのWordPressサイトを運営してくなら必要なプラグインです。
7. 管理画面のログインURLを変更する
WordPressの管理画面にログインするには、次のURLを打ち込むことでログイン画面になります。
https://example.com/wp-admin/
末尾に「wp-admin」を追加すると、ログイン画面に入れてしまうので、その分アタックされる確率は上がります。ですので、そもそものログインURLを変えてしまえば、リスクを減らすことができます。
ログインURLは下記のプラグインで変更できます。

WordPressの各種設定やページ作成は下記の管理画面から行います。当記事では、管理画面にログインする方法について解説します。 管理画面にログインする方法 管理画面にログインするには、専用のURLにアクセスする必要があります。 サイトアドレスの末尾に「wp-admin」または、「wp-l...
8. 二要素認証ログインを導入
ログイン画面をもっとも強化する方法と言っても過言ではない「二要素認証」。二要素認証と言っても様々な手段がありますが、例えばログイン時に毎回メールアドレスに認証コードを送り、そのコードを入力しなければログインできないようにするという方法が考えられます。そうした二要素認証を容易に実行するのが「Two-Factor」というプラグイン。

WordPressのセキュリティを高めるには、簡単にログインできないようにすることが第一の対策です。もっともよく使われている対策はログイン時のパスワードを強化することですね。このようなサイトで最低10文字以上の英数字を生成するケースが多いかと思います。 パスワード強化だけでも十分効力はあります...
ただ、セキュリティを強化しすぎると今度は運営側の手間が増えるというデメリットがあります。なので、本題にある「これだけはしておきたい」からは少しかけ離れますが、個人情報を扱うような強力なセキュリティが必要なサイト(例えば、ECサイトなど)であれば、二要素認証は検討価値があります。正直、個人ブログでは必要のない対策かもしれません。
まとめ
最低限これだけはやっておきたいことを主眼に8つのセキュリティ対策を紹介しました。1-4に関しては、WordPressを運営していく上では必ず知っておきたいセキュリティ対策です。定期的にチェックする習慣をつけましょう。
Webサイトを公開している場合、ハッキングを100%防ぐことは不可能です。ウィルスや不正プログラムは日々進化していますし、そもそもシステムというのは(既知・未知含め)何かしらの脆弱性を含んでいるものです。つまり、セキュリティ対策と同等に、万一ハッキング被害に遭った時のために、バックアップをとっておく事も必須となります。バックアップは保険ですからね。
バックアップすべきなのは、下記3つになります。
- WordPressのフォルダ・ファイル一式
- WordPressで利用しているデータベース
- WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」
こちらのプラグインを使うと楽なので、おすすめです。