はじめに:WordPressは“狙われやすい”?
世界のWebサイトの約40%以上がWordPressで作られています。利用者が多いということは、それだけ攻撃者にとって「狙いやすい標的」ということ。
特に初心者が構築したサイトは、初期設定のまま放置されているケースが多く、攻撃にとって格好の的です。
「立ち上げたばかりだから大丈夫」ではなく、最初の設定段階で守りを固めることが、後の大きなトラブル回避につながります。
セキュリティ設定1:管理者アカウントの最小化+MFA
危険な例
- “admin”というユーザー名をそのまま利用
- 管理者権限のアカウントを複数人が共有
やるべき対策
- 管理者は1名に絞る
- 他のスタッフは「編集者」「寄稿者」権限を付与
- 多要素認証(MFA)を必ず有効化
→ Google AuthenticatorやAuthyなどのアプリを使う
セキュリティ設定2:ログイン防御
WordPressで最も多い攻撃はブルートフォース攻撃(総当たりログイン)。
対策方法
- ログイン試行回数制限プラグイン(Limit Login Attempts Reloadedなど)
- reCAPTCHAを導入してボット攻撃をブロック
- 管理画面のURLを変更(/wp-admin → 任意の文字列)
セキュリティ設定3:更新と互換性管理
放置されがちなリスク
- プラグインやテーマの更新を忘れ、脆弱性を突かれる
- 無料テーマのコピーサイトに感染コードが仕込まれる
対策方法
- コア・テーマ・プラグインの自動更新設定を有効化
- 本番前にステージング環境で検証
- 不要なプラグインを削除(“入れっぱなし”は危険)
セキュリティ設定4:バックアップ戦略(3-2-1ルール)
3-2-1バックアップルール
- 3つのコピー
- 2種類の異なる媒体
- 1つはオフサイトに保管
実践例
- プラグイン(UpdraftPlusやBackWPup)で自動バックアップ
- DropboxやGoogle Driveに定期転送
- 復元テストを定期的に実施
セキュリティ設定5:監査ログと改ざん検知
重要な理由
「誰がいつ、どのファイルを変更したのか」を把握できることは、不正アクセス検知のカギ。
対策方法
- 監査ログプラグイン(WP Activity Logなど)で変更履歴を保存
- 改ざん検知プラグイン(Wordfence, Sucuri)で異常を検出
- 通知設定をオンにし、怪しい動きがあれば即対応
SMBケーススタディ
- 茨城の工務店サイト:更新を怠った結果、スパムリンクを仕込まれ検索結果が汚染
- 飲食店のWordPress:無料Wi-Fiから不正ログインされ、メニュー改ざん → 売上に直結する被害
- 小規模NPOサイト:バックアップがなく、全データを失って再構築費用が数十万円に
これらはすべて初期設定+運用習慣で防げた事例です。
まとめ
WordPress初心者がまずやるべきことは「5つの基本を守る」こと。
- 管理者アカウント管理
- ログイン防御
- 更新管理
- バックアップ戦略
- ログ監査
これを押さえれば、サイトのセキュリティは格段に高まります。
FAQ
Q1. プラグインは何を入れるべきですか?
最低限、ログイン防御・改ざん検知・バックアップの3種類です。
Q2. 自動更新は危険ではありませんか?
ステージングで検証とロールバック準備をすれば安全に運用可能です。
Q3. 無料でどこまで対応可能ですか?
基本的な防御策は無料で十分。ただし運用体制を整えることが重要です。
How-To:初心者向けセキュリティ設定の流れ
- 管理者1名+MFA有効化
- ログイン試行回数制限とreCAPTCHA導入
- 自動更新ポリシーを設定しステージング検証
- 3-2-1バックアップを自動化
- 監査ログと改ざん検知を設定
