WordPressのセキュリティ対策、何から始める？まずやるべき5つの対策

WordPressのセキュリティ対策、何から始めればいいか分からない。

調べると「更新」「バックアップ」「プラグイン」「パスワード」といろいろ出てくるけれど、全部やるのは無理。

セキュリティ対策が進まないのは、「これだけはやっておくべき」という最低ラインが見えないからです。

まずは最優先のものだけに絞れば、確実にセキュリティを強化できます。

この記事では、15年以上・累計1,000件以上の脆弱性診断実績を持つプロが、最優先の5つと、余裕があれば追加したい4つに分けて解説します。

規模に応じて9つまで段階的に進めてみてください。

そもそもWordPressはなぜ狙われやすい？3つの理由

WordPressは、世界のWebサイトの43%以上で使われています。

その規模の大きさが、攻撃者にとっては「効率の良い標的」になります。

具体的には、次の3つの理由があります。

こうした背景もあり、2024年には、WordPress関連の脆弱性が計7,966件報告されました（前年比34%増）。

実際、脆弱性の大半はプラグイン由来で、過去には未修正のプラグインを狙った攻撃で、大規模なマルウェア感染が発生したこともあります。

下記の記事では、最新の被害データ、緊急度の高かった脆弱性の実例、診断でよく見つかる3つの課題パターンまで、詳しく解説しています。

あわせて読みたい

WordPressの脆弱性を診断する3つの方法と専門家が教える対策

インターネットの普及に伴い、多くの企業や個人がウェブサイトを運営しています。 中でもWordPressは、世界中で広く利用されているコンテンツ管理システム（CMS）です。 しかし、その人気が裏目に出て、WordPressサイトは常にサイバー攻撃の標的となりやすいという問題があります。 しかし、

【最優先】まず実施すべき5つの基本セキュリティ対策

セキュリティ対策は、更新とバックアップから始めた方が進めやすいです。

この2つができていない状態だと、他の対策をしても効果が出にくくなります。

まずはこの5つから始めてください。

WordPress本体・プラグイン・テーマを最新に保つ

WordPressのセキュリティ事故は、本体やプラグインを最新版にしていれば避けられたケースが少なくありません。

まず最初にやりたいのが、WordPress本体・プラグイン・テーマを最新版に保つ運用です。

新しいバージョンでは、発見された脆弱性が修正されています。

古いバージョンのまま使い続けると、既知の脆弱性が残ったままになり、攻撃者に狙われやすくなってしまいます。

ここで気をつけたいのは、WordPress本体だけではなく、プラグイン、テーマ、サーバー側のPHPまで、すべて最新に保つことです。

更新に不安がある場合は、まず「更新前のバックアップ」を徹底してください。

バックアップさえあれば、万が一トラブルが起きても元に戻せます。

パスワードは10桁以上にする（ユーザー名も確認を）

ログイン対策の基本は、推測されない文字列にすることです。

目安は「10桁以上」「英大文字・英小文字・数字・記号の組み合わせ」です。

また、ユーザー名が「admin」のままになっていないか確認してください。

ユーザー名とパスワードの両方が推測されにくければ、総当たり攻撃は成立しにくくなります。

パスワードについて詳しくはこちら

WordPress不正ログイン対策｜まず塞ぐべき7項目を優先度別に解説

WordPressのセキュリティ対策記事、読んだことありますか？ 「やることが多すぎて、結局どこから手をつければいいのか分からない」 そう感じた経験がある方も多いのではないでしょうか。 実は、不正ログイン対策には明確な優先順位があります。 すべてを一度にやる必要はありません。 この記事では

使用していないプラグイン・テーマを削除する

不要なプラグインやテーマは、「無効化」だけで放置しないことが大事です。

無効化してもファイルはサーバー上に残るため、攻撃者に直接アクセスされて悪用されることがあります。

使わないなら削除する方が安全です。

削除前は、念のためバックアップを取っておきましょう。

バックアップは週1回以上、外部保存までセット

バックアップは、万が一のために必須です。

目安は、更新が多いサイトなら毎日、少ないサイトでも週1回です。

ただし、レンタルサーバーの自動バックアップだけだと、サーバー障害やアカウント停止で触れなくなったときに困ります。

外部ストレージ（クラウドストレージなど）にも残す形にしておいてください。

バックアップを設定したら、実際に動いているか定期的に確認してください。

管理画面やプラグインの履歴を開いて、最新のバックアップが記録されているか。外部保存先にファイルが残っているか。

この2つを月1回は確認します。

半年〜1年に一度は復元テストまでできれば完璧です。

テスト環境がない場合は、復元手順を読める状態にしておくだけでも、もしものときの混乱が減ります。

SSL/HTTPS化で通信を暗号化する

SSL/HTTPSは、ログイン情報やお問い合わせ内容など、通信内容を暗号化する対策です。

サーバー側でSSLを有効化する

多くのレンタルサーバーは、無料のSSL証明書を用意しています。

管理画面でドメインを選び、SSLを有効化してください。

設定反映に時間がかかることがあるため、作業は余裕のある時間帯で進めるのがおすすめです。

WordPress側のURLをhttpsに統一する

SSLを有効化したら、WordPressの「設定」→「一般」で、サイトURLをhttpsに変えます。

httpのままのアクセスを自動でhttpsへ転送する設定も必要です。

混在コンテンツを片付ける

画像や外部読み込みがhttpのままだと、ブラウザが警告を出すことがあります。

まずはページを開き、鍵マークが出ているか確認してください。

出ない場合は、原因となっている読み込み先を洗い出して置き換えます。

技術的に難しい場合は、作業前にバックアップを取り、無理をしない方が安全です。

企業サイトなら追加したい4つの対策

基本の5つができると、他の対策も回しやすくなります。

ここからは「攻撃を受けにくくする」「受けても気づける」対策を加えていきます。

たとえば、担当者が増えてログインが複数人になると、入口の管理が一段難しくなります。

企業サイトやECサイトは、特にこの4つを検討してください。

二要素認証（2FA）でパスワード漏えいに備える

2FAは、パスワードが漏れても突破されにくくする対策です。

ログイン時に、パスワードに加えてワンタイムコード（スマホの認証アプリなど）を求めます。

管理者アカウントだけでも導入すると効果が分かりやすいです。

端末をなくしたときのために、復旧コードの保管もセットで考えてください。

設定手順の詳細はこちら

WordPress不正ログイン対策｜まず塞ぐべき7項目を優先度別に解説

WordPressのセキュリティ対策記事、読んだことありますか？ 「やることが多すぎて、結局どこから手をつければいいのか分からない」 そう感じた経験がある方も多いのではないでしょうか。 実は、不正ログイン対策には明確な優先順位があります。 すべてを一度にやる必要はありません。 この記事では

ログインURL変更・試行回数制限で入口を固める

ログインページは、攻撃側が最初に試しやすい入口です。

複数の対策を重ねて攻撃の手間を増やすのが基本です。

組み合わせると、より効果的です。

ログイン対策の詳細はこちら

WordPress不正ログイン対策｜まず塞ぐべき7項目を優先度別に解説

WordPressのセキュリティ対策記事、読んだことありますか？ 「やることが多すぎて、結局どこから手をつければいいのか分からない」 そう感じた経験がある方も多いのではないでしょうか。 実は、不正ログイン対策には明確な優先順位があります。 すべてを一度にやる必要はありません。 この記事では

ファイルパーミッションを確認する

ファイルパーミッションは、誰が読み書きできるかを決める設定です。

WordPressはファイル数が多いため、ここが緩いと「書き換えられる余地」が広がります。

一般的な目安は、次のとおりです。

設定は、レンタルサーバーのファイルマネージャーやFTPソフトで行えます。

ただし、絞りすぎると更新や画像アップロードが失敗することがあります。

変更したら、管理画面の操作とサイト表示を一通り確認してください。

不安がある場合は、無理せず、まずバックアップを取ってから進める方が安全です。

似たセキュリティプラグインは1つに絞って使う

セキュリティプラグインは、複数の防御機能をまとめて管理できる便利なツールです。

代表的なものには、Wordfence Security、SiteGuard WP Plugin、All In One WP Security & Firewallなどがあります。

選ぶときは、最終更新日、利用者数、評価を確認してください。

また、似た機能のプラグインを複数入れると競合するため、1つに絞るのが無難です。

あわせて読みたい

WordPressのセキュリティ対策プラグインの選び方とプロ推奨の5選を紹介

WordPressのセキュリティ対策プラグインは、WAFやログイン保護、改ざん検知など、守れる範囲が製品ごとに違います。 目的を決めずに導入すると、必要な機能が抜けたまま「対策したつもり」になりやすいのです。 プラグインは「攻撃を止める」ためのもの、診断ツールは「弱点を見つける」ためのものです。

対策が効いているかを確かめるチェックとメンテナンス

セキュリティ対策は、設定した直後がもっとも効いている状態です。

時間がたつと、更新が止まる、プラグインが増える、担当者が変わる。

こうした変化で、穴が戻ってしまうことがあります。

そこで「確認する仕組み」を先に作っておきます。

月1回で確認したいチェックリスト

まずは月1回、次の項目だけでも確認してください。

このチェックを「毎月の作業」として固定すると、抜け漏れが減ります。

日次・週次・月次で回すメンテナンスの目安

継続しやすさを優先して、頻度別に整理します。

「毎週月曜は更新チェック」のように、予定として確保してしまうと続きやすいです。

頻度	やること（目安）
日次	サイト表示の確認（トップページと主要ページだけ）
週次	バックアップが取れているか確認、セキュリティログを確認
月次	更新の適用、不要プラグインの削除検討、全体チェック
四半期	PHPの版を確認、権限とアカウントの棚卸し
半年〜1年	復元テスト、必要に応じて脆弱性診断で確認

個人サイトは「月次」を中心に回すだけでも十分なことが多いです。

企業サイトは、担当者が変わることもあるため、週次と四半期も含めた方が安定します。

年1回の脆弱性診断で抜け漏れを確認する

対策を入れたあとに残りやすいのが、「見落とし」と「設定ミス」です。

セキュリティプラグインを入れていても、設定が甘いままのことがあります。

また、サイトの作り込み（カスタム機能）によっては、プラグインでカバーできない課題が残ることもあります。

そこで、定期的に脆弱性診断を受けると、自分では気づけなかった設定ミスや抜け漏れを洗い出せます。

個人サイトであれば、年1回のセルフチェックでも十分です。

企業サイトや顧客情報を扱うサイトは、年1回を目安に第三者の目で確認すると安心につながります。

あわせて読みたい

WordPressの脆弱性を診断する3つの方法と専門家が教える対策

インターネットの普及に伴い、多くの企業や個人がウェブサイトを運営しています。 中でもWordPressは、世界中で広く利用されているコンテンツ管理システム（CMS）です。 しかし、その人気が裏目に出て、WordPressサイトは常にサイバー攻撃の標的となりやすいという問題があります。 しかし、

私たち株式会社アイ・エフ・ティは、15年以上の診断実績があり、自動診断ツールと手動の確認を組み合わせた診断を提供しています。

また、従来の脆弱性診断だけでなく、WordPress特有の設定や運用状況を評価する、WordPress管理画面レビューというサービスもあります。

診断士が管理画面に直接アクセスし、WordPress特有の設定項目を目視で確認するサービスです。

まとめ：WordPressのセキュリティ対策は、優先順位が決め手

WordPressのセキュリティ対策は、最優先の5つから始めて、必要に応じて4つを追加する形で進めます。

まだ何も始めていない方は、更新とバックアップから。すでに基本の5つが回っている方は、2FAやログイン防御を追加してください。

組織で運用を安定させたい方は、チェックリストと担当を明文化すると継続しやすくなります。

当社は15年以上・1,000件超の診断実績があり、対策後の再診断も無料で対応しています。

「自分でやった対策が正しいか確認したい」「抜け漏れがないか不安」という方は、WordPressで構築されたWebサイトの設定チェックもしていますので、ぜひご相談ください。