今すぐできる！WordPressで実施すべき7つのセキュリティ対策とおすすめプラグイン【2020年最新版】

理由1：WordPressは狙われやすい

WordPressはオープンソースであり、非常に多くの人が利用しているため狙われやすいことが最も大きな理由です。オープンソースは誰でもプログラムのソースコードを見て改変できるソフトウェアのことを表し、WordPressのソースコードを見てセキュリティ的に弱い部分（脆弱性）を探し出すことも可能なのです。

くわえて、WordPressは全世界のWebサイトの38.8%で利用されており、CMSのなかでのシェア率は63.6%と非常に多くの人に利用されています。そのため、WordPressで一つの脆弱性を狙った攻撃手法を攻撃者が見つけると、多くのWebサイトがターゲットになり得るのです。
外部参考リンクUsage statistics and market share of WordPress（W3Techs）

理由2：実際にWordPressが攻撃を受けた事例が多数

実際にWordPressが攻撃を受けた事例は多数報告されています。たとえば、次に挙げるような攻撃を受けた事例が存在します。

• Webサイトの改ざん
• 詐欺サイトへの自動転送
• スパムメール送信プログラムの埋め込み
• フェイクニュースの拡散

など

これらの攻撃による被害は多数報告されており、なかでもWebサイトの改ざんは2017年に150万件以上の被害が報告されています。

対策方法1：ユーザー名・パスワードを強固にする

WordPressのログインユーザー名・パスワードを強固にすることは、最も単純かつ重要な対策方法です。簡単なユーザー名とパスワードの組み合わせでは、辞書攻撃やブルートフォース攻撃によって簡単に突破されてしまいます。

ユーザー名は「admin」などの推測しやすいユーザー名は避け、独自のユーザー名を設定しましょう。パスワードは大文字・小文字・数字・記号を織り交ぜて8文字以上を推奨します。

くわえて、パスワードを設定する際は「eA7#o82J」などのように、意味のない文字列を意識しましょう。「password」や「123456」などは推測しやすいため非常に弱いパスワードです。

対策方法2：管理画面へのアクセス強化

WordPressの管理画面はデフォルトでは固定化されており、WordPressに触れたことのある人ならば誰でも推測してアクセス可能です。くわえて、デフォルトのウィジェットのなかにはログイン画面へのリンクも記載されてしまいます。

まずは、デフォルトのウィジェットからログイン画面へのリンクを削除することから始めましょう。その後、デフォルトの管理画面URLを変更することで管理画面へのアクセス強化がはかれます。管理画面URLを変更する際には、プラグインを利用すると簡単に変更が可能ですので、おすすめのプラグインを後ほど紹介します。

さらに、より管理画面へのアクセスを強化したい場合はIP制限をしてアクセスを制限しましょう。IPアドレスとは、インターネットに接続する際に割り振られる番号で、主に住所のような役割を果たします。
管理画面にIP制限をかけることで、設定したIPアドレス以外からのアクセスをはじくことができます。

ただし、Wifiや家庭用ネット回線の場合、接続するタイミングによってIPアドレスが異なる場合があるので注意が必要です。
個人で設定する場合は、固定IP接続のプランへの申込みが必要となるでしょう。

対策方法3：プログラムを最新にする

WordPressは定期的にアップデートされており、アップデートの内容には脆弱性への対応も含まれています。WordPressで定期的にアップデートするべき対象としては、「WordPress本体」「プラグイン」「テーマ」が該当します。

WordPressを利用していて攻撃を受けたWebサイトのほとんどが、最新のプログラムを利用していなかったために脆弱性を悪用されたことが原因です。パソコンでも定期的にOSのアップデートを行うように、WordPressでもプログラムを最新にすることは重要なのです。

WordPress5.0以降では自動アップデートが行われるようになっているため、自動アップデート機能を有効活用してプログラムを最新に保ちましょう。

対策方法4：利用していないテーマ・プラグインの削除

利用していないテーマやプラグインは、アップデートの対象からも外れてしまいがちです。実際に利用していなくとも、WordPressにはインストールされているため古いバージョンで脆弱性が残っている場合、悪用されてしまう可能性も考えられます。

そのため、利用していないテーマやプラグインは定期的に削除することでセキュリティ対策となります。

対策方法5：WordPressで構築していることを隠す

WordPressでWebサイトを構築した場合、Webサイトのソースコードを見ればWordPressで構築されていることが簡単にわかります。デフォルトの設定では、WordPressのバージョン情報まで確認できるため狙われる可能性が高まるのです。

そのため、WordPressで構築していると知られないように隠すことが有効となります。WordPressのバージョンを知られないように設定することは、functions.phpに次の文言を追記することで対応可能です。

注意点として、functions.phpの記述を間違ってしまうとWebサイトが表示されなくなるなどのリスクがあります。実際に記述する際には事前にバックアップを取得するなどの対策をした上で行いましょう。

対策方法6：重要な設定ファイルへのアクセス制限

WordPressの重要な設定ファイルである「wp-config.php」は、データベースへアクセスするためのユーザー名やパスワードなどが記載されています。もしもwp-config.phpの内容を攻撃者に盗み見られたら、WordPressを簡単に乗っ取られてしまうのです。

通常はwp-config.phpを管理者以外が参照する必要はないため、管理者以外が参照できないようにファイルへのアクセス制限を行いましょう。次に示す2つの対策方法を行います。

• wp-config.phpのパーミッションを「600」にする
• .htaccessに制限を記載する

パーミッションとはファイルの読み書きや実行の権限を表し、「600」はファイルの所有者だけが読み書きできる状態です。くわえて、wp-config.phpと同じディレクトリにある.htaccessに次の記述をすることで、よりwp-config.phpへのアクセスを制限できます。

対策方法7：定期的にバックアップを取得する

仮にあなたのWordPressサイトが攻撃を受けた場合、復旧には多大な時間を要することになるでしょう。その場合にバックアップが取得できていれば、復旧にかかる時間を大幅に短縮可能です。

定期的にバックアップが取得できていれば、Webサイトを改ざんされたとしてもすぐに戻すことができ、セキュリティ対策としても有効なのです。

WordPressのバックアップに関しては、便利なプラグインがありますので後ほど紹介します。

補足：セキュリティ診断で対策状況を確認する

具体的なセキュリティ対策とは異なりますが、セキュリティ診断で対策状況を確認することも重要です。セキュリティ診断はWordPressのプラグインやWebサービスとして提供されているものがありますので、一通りの対策を実施した上で診断してみるとよいでしょう。

• プラグイン：Wordfence Security
• Webサービス：WPSEC
• Webサービス：wpdoctor

Wordfence SecurityではWordPress本体やテーマ・プラグインの脆弱性診断から、マルウェアやバックドアのチェックまで行えます。Webサービスのセキュリティ診断はURLを入力するだけで簡単にチェックできるため、一度試してみてはいかがでしょうか。

SiteGuard WP Plugin

SiteGuard WP Pluginは、純国産のセキュリティ対策プラグインです。プラグインを導入するだけで最低限のセキュリティ対策ができ、もちろん、細かいカスタマイズも可能です。純国産のプラグインであるため、設定項目なども日本語で記載されており、扱いやすいプラグインといえるでしょう。

SiteGuard WP Pluginの機能の一例を以下に示します。

• ログインページの変更
• 管理ページアクセス制限
• 画像認証
• ログインロック
• ログインアラート
• XMLRPC防御

など

WordPressログインページのURLは、WordPressの知識がある人ならば誰でも簡単に予測できてしまいますが、SiteGuard WP PluginはログインURLを変更することをはじめとして、主に不正アクセスを防げるセキュリティ対策プラグインなのです。

セキュリティ対策に迷ったら、まずはSiteGuard WP Pluginを導入することを検討されてはいかがでしょうか。

All In One WP Security & Firewall

All In One WP Security & Firewallは、名前のとおりWordPressのセキュリティ対策をオールインワンにしたプラグインです。SiteGuard WP Pluginよりも設定項目が多く、難易度も高いといえますが、その分包括的なセキュリティ対策が施せます。

All In One WP Security & Firewallの機能の一部を簡単に紹介します。

• WordPressバージョンの隠蔽
• ログイン試行回数制限
• データベースの接頭辞の変更
• ファイルのアクセス、編集の禁止
• ファイアウォールの設定
• ブルートフォースアタック対策
• コメントスパム対策

など

WordPressに対するあらゆる攻撃の対策を包括的に行いたい場合には、All In One WP Security & Firewallを導入してみてはいかがでしょうか。

iThemes Security

iThemes Securityは、絶対に不正アクセスされたくない方向けのセキュリティ対策プラグインと言えるでしょう。イメージとしては、SiteGuard WP Pluginよりも詳細に不正ログインに対する設定が行えるプラグインです。

iThemes Securityの機能の一例を以下に示します。

• スケジュールによるダッシュボードへのアクセス無効化
• 特定IPアドレス、ユーザーエージェントでのアクセス拒否設定
• ファイル変更のモニタリング
• フォルダ、ファイルのパーミッションチェック
• ブルートフォースアタック対策
• データベースのバックアップ
• 各種通知メールの送信

など

iThemesでは退席中モードというものがあり、設定することで一定時間はダッシュボードにアクセスできなくなります。つまり、管理者であるあなたが作業している時間以外のすべてのアクセスを禁止することが可能なのです。

また、有料のプロ版を利用することで、マルウェアスキャンや二要素認証など、さらに広範囲なセキュリティ対策も施せます。

BackWPup（UpdraftPlus）

BackWPupとUpdraftPlusはともにWordPressのバックアップを手軽に取得するためのプラグインです。どちらを利用してもバックアップは取得できますが、設定や復元の難易度が異なります。

簡単に紹介すると、BackWPupは細かくバックアップの設定が行えるものの、設定や復元の難易度は高め、UpdraftPlusはワンクリックでバックアップ・復元が行えるものの、細かいバックアップの設定は難しい、といった違いがあります。

それぞれの細かい比較や利用方法に関しては、別記事に詳しくまとめていますので、そちらをご参照ください。

関連記事BackWPupの使い方・設定方法まとめ関連記事UpdraftPlusを使って簡単にWordPressをバックアップする方法

同種のプラグインを併用しない

WordPressのプラグインを利用する上では、同種のプラグインを併用しないように気をつけなければなりません。その理由としては、機能が競合することによって不具合を起こす可能性があるからです。

WordPressのプラグインは、WordPressの機能を拡張するためのものであり、それぞれのプラグインの開発元は異なります。そのため、たとえばプラグインAで利用している機能XをプラグインBでも利用しており、両方のプラグインを有効化することで機能Xが動作しなくなる、ということも考えられるのです。

今回紹介したプラグインもセキュリティ系のプラグインとバックアップ系のプラグインがありますが、それぞれの同種のプラグインを併用すると不具合を起こす可能性があります。自身のWordPressサイトに必要なプラグインを選定し、併用しないようにしましょう。

もしも、どうしても併用したいという場合は、事前にしっかりと動作確認を行った上で本番環境に導入するなどの対策を取ることをおすすめします。

必ずバックアップを取得する

今回紹介したセキュリティ対策のなかには、WordPressのシステムに直接関わるファイル類の設定変更も含まれます。それらの重要なファイルは、設定を誤ってしまうとWebサイトが表示されなくなるなどのリスクがあるため、事前に必ずバックアップを取得しましょう。

ファイルの単純編集だけであれば、FTPソフトを使ってファイル単体のバックアップを取得しておけば問題ありませんが、定期的にWordPress全体のバックアップを取得することをおすすめします。

継続的に対策を続ける

セキュリティ対策は最初だけ対策すればよいものではありません。サイバー攻撃は常に進化し続けており、新しい脆弱性も見つかるものであるため、継続的な対策が必要不可欠です。

継続的な対策としては、WordPress本体・テーマ・プラグインの定期的なアップデートや、不要となったプラグイン類の整理、定期的なバックアップが考えられます。くわえて、突発的に発生する脆弱性の情報にも注意して、セキュリティの穴ができないように継続的なセキュリティ対策を心がけましょう。