MENU
  1. ホーム
  2. WordPressの初期設定
  3. WordPressのセキュリティ対策9選!初心者が最初にやるべきことは?

WordPressのセキュリティ対策9選!初心者が最初にやるべきことは?

WordPressの初期設定

WordPressを始めたばかりの人が感じる不安のひとつに、セキュリティがあります。

  • 何をすればいいか分からない
  • プラグインを入れるだけで大丈夫?
  • 攻撃されたらどうなるの?

こういった疑問を持っている方に向けて、今日からできるセキュリティ対策を優先順位順にまとめました。

結論から言うと、何もしない状態は危ないです。

WordPressは世界シェアNo.1のCMSなので、それだけ攻撃の標的にもなりやすい。

ただ、難しい知識は必要ありません。

正しい順番で基本を押さえるだけで、リスクは大きく下げられます。

この記事では、今日からできるWordPressのセキュリティ対策を9つ、優先順位順に解説します。

目次

前提:WordPressのセキュリティ対策が必要な理由

セキュリティ対策を後回しにしていると、気づかないうちに取り返しのつかない状態になることがあります。

実際に起きる被害としては、こんなケースがあります。

  • サイトを乗っ取られ、管理画面にログインできなくなる
  • 知らない間にスパムメールの送信元にされる
  • Googleから「このサイトは危険です」と警告が表示される

自分だけでなく、サイトに来てくれた読者にも迷惑がかかります。

一度こうなると、信頼を取り戻すのは簡単ではありません。

難しい対策は必要なく、基本を押さえるだけで、リスクは大きく下げられます。

攻撃は「有名サイト」だけが対象ではない

初心者spa

自分のような小さなサイトは狙われない!

こう思っていませんか?

実際は逆です。攻撃の多くは人間が手動で行うのではなく、ツールで自動的に脆弱なサイトを探し回っています。

サイトの規模は関係ありません。

プラグインを入れるだけでは不十分な理由

セキュリティプラグインを入れれば安心、と思う人も多いです。

ただ、WordPressは、

  • 本体の更新
  • プラグイン・テーマの更新
  • 2FA
  • バックアップ
  • HTTPS

などがセットで基本対策なんですね。

プラグインはあくまで補助です。

よくある誤解正しい考え方
プラグイン1本で安全になるプラグインは対策の一部にすぎない
一度設定すれば終わり継続的な運用が必要
攻撃されることはない侵入ゼロは無理。復旧準備も必要
spa

まずは定期更新などが重要!プラグインはそれからです!

結論:WordPressのセキュリティ対策9選

優先度順に、WordPressのセキュリティ対策を9つ紹介していきます。

  • 本体・プラグイン・テーマを常に更新する
  • 使っていないプラグイン・テーマは削除する
  • ファイルとデータベースを自動バックアップする
  • HTTPSを使う
  • WAF・サーバー側の防御を有効にする
  • 2要素認証(2FA)を設定する
  • ログイン試行回数を制限する
  • 使っていないXML-RPCを無効化する
  • コメント欄にCAPTCHAを設定する
spa

それぞれ詳しく見ていきましょう!

本体・プラグイン・テーマを常に更新する

最優先でやるべき対策は、更新です。

脆弱性が公開された古いバージョンは攻撃される確率が高め。

更新をしないだけで、リスクは大きく上がります。

管理画面の「更新」画面を週1回でも確認する習慣をつけましょう。

使っていないプラグイン・テーマは削除する

使っていないプラグイン・テーマは削除しておきましょう。

無効化だけでなく、削除まで行うのが正解です。

無効化中のプラグインにも脆弱性は存在しますからね。

spa

そもそも、使わないなら残しておく理由はありませんから…

ファイルとデータベースを自動バックアップする

侵入ゼロは現実的に難しいです。

それよりも「侵入されても復旧できる状態」を作ることが重要です。

バックアップで必要なのは、ファイルとデータベースの2種類です。

WordPressのサイトはこの2つで構成されているので、どちらか片方だけでは復旧できません。

バックアップ用のプラグインを使えば、両方を自動で定期バックアップできます。

保存先はサーバー内ではなくDropboxやGoogleドライブなど外部ストレージにしておくと、サーバーごと問題が起きたときにも安心です。

HTTPSを使う

サイトがHTTPSになっていないと、ログイン情報が暗号化されずに送信されてしまいます。

ほとんどのレンタルサーバーで無料SSLが使えるので、まだの人はすぐ設定しましょう。

GoogleもHTTPS化を推奨しており、検索順位のシグナルの1つとして使っています。

ただし、HTTPSにしただけで順位が大きく上がるわけではありません。

spa

SEO効果だけを期待してやるものというより、安全のためにやるものと考えておきましょう!

WAF・サーバー側の防御を有効にする

使っているサーバーにWAFやファイアウォールの機能があれば、有効にしておきましょう。

WAFは、WordPressに到達する前の段階で不審なリクエストをブロックしてくれます。

プラグインでの対策はWordPressが起動してから動きますが、WAFはその手前で動くのが特徴です。

手前で動くので、サーバーへの負荷も減らせます。

エックスサーバーやConoHa WINGなど国内の主要なレンタルサーバーでは、管理画面から有効にできます。

spa

サーバーの管理パネルを確認してみましょう!

2要素認証(2FA)を設定する

パスワードが漏れても、2FAがあれば不正ログインを防げます。

防御力をすごい高める設定なので、必ず設定してください。

XO Securityのようなプラグインで設定できます。

ログイン試行回数を制限する

同じIPから何度もログインを試みる「総当たり攻撃」への基本的な対策です。

WordPressはデフォルトでログイン試行回数に制限がありません。

つまり、何千回でも自動でパスワードを試し続けることができる状態です。

XO Securityで「1時間で3回まで」など、失敗が続いたIPを自動でブロックする設定を入れておきましょう。

使っていないXML-RPCを無効化する

XML-RPCはWordPressの古い外部連携機能で、攻撃に悪用されやすいです。

プラグインが使っている場合を除き、使っていないなら無効化しておくのが安心です。

有名なプラグインで使われているのは、主に下の3つですかね。

  • Jetpack
  • Disable XML-RPC-API
  • Manage XML-RPC
spa

特にJetpackは入れている方も多そうです!

コメント欄にCAPTCHAを設定する

コメント欄を開けているなら、スパム対策としてCAPTCHAを設定しておきましょう。

放置しているとスパムコメントが大量に届くことがあります。

spa

コメント欄を使わないなら、そもそも閉じるのがおすすめです!

XO Securityとはどんなプラグイン?

XO Securityは、日本人開発者が作ったWordPress向けのセキュリティプラグインです。

設定画面がすべて日本語で、ログイン周りの対策に必要なものが一通りそろっています。

この記事で紹介した対策のうち、

  • 2要素認証(2FA)を設定する
  • ログイン試行回数を制限する
  • 使っていないXML-RPCを無効化する
  • コメント欄にCAPTCHAを設定する

これらは、XO Security単体で対応できます。

XO Securityで有効にすべき設定

2要素認証(2FA)は、管理者アカウントに必ず設定してください。

パスワードが漏れても、2FAがあれば不正ログインを防げます。

ログイン試行制限も有効化しましょう。

「1時間で3回まで」などに設定しておくと、総当たり攻撃への基本的な対策になります。

XML-RPCは、WordPressアプリやJetpackを使っていないなら無効化しておくのが安心です。

REST APIには注意

REST APIの全面停止は、外部連携やプラグインに影響が出ることがあります。

制限するとしても部分的な設定にとどめるのが無難です。

設定後に問題が起きた場合には、REST APIを疑ってみましょう。

ログインURLを忘れないよう注意

ログインURLの変更は補助策として有効ですが、設定ミスで自分がログインできなくなる事故も起きています。

設定を保存する前に、URLを保存しておきましょう。

セキュリティ対策の優先順位まとめ

セキュリティ対策の優先順位をまとめると、こんな感じですね。

優先度対策
最重要本体・プラグイン・テーマの更新
自動バックアップ
HTTPS化
2FA(2要素認証)
不要プラグイン・テーマの削除
WAF・サーバー側の防御
補助XO Securityなどのプラグイン

まずは、下の3つを先に終わらせましょう。

  • 更新
  • バックアップ
  • 2FA

細かいプラグインの設定は、その後でも大丈夫です。

【Q&A】よくある質問と回答

セキュリティプラグインは何本入れればいい?

数より、機能の重複を避けることが大事です。

同じ役割のプラグインを複数入れると競合の原因になります。

ログイン周りの対策が目的なら、XO Security1本で十分対応できます。

無料テーマでも安全?

無名テーマでなければ比較的安心ですが、更新が続いているかを必ず確認しましょう。

更新が止まっているテーマは脆弱性が放置されるリスクがあります。

攻撃されているか確認する方法は?

XO Securityのログイン試行ログや、サーバーのアクセスログで確認できます。

不審なIPからのアクセスが多い場合は、ログインURL変更や試行制限の強化を検討しましょう。

まとめ:WordPressセキュリティは更新・バックアップ・2FAから始める

この記事で紹介した対策のポイントを、5つにまとめます。

  • プラグインだけではセキュリティは完成しない
  • まず更新・バックアップ・HTTPSの3つを整える
  • ログイン周りはXO Securityで強化できる
  • 2FAとログイン試行制限は必ず有効にする
  • セキュリティは一度設定して終わりではなく継続的な運用が必要

色々語りましたが、そこまで難しく考える必要はありません。

今日は更新画面の確認と、バックアップ設定だけでも済ませておきましょう。

WordPressの初期設定
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

spaのアバター spa

関連記事

目次