セキュリティ 2025.09.10 2025.09.22

WordPressのサイトヘルス スコアは信用できる?セキュリティ実務で注目すべきき指標とは

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社デジタルアイデンティティ Tech Div.マネージャー

WordPress専門サービス「wp.make」を立ち上げ、事業責任者として200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポート。2022年にエンジニアを統括するTechnology Div.を創設。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPressの「サイトヘルス」機能は、WordPressサイトの技術的な状態を可視化し、項目ごとに改善のアドバイスを提示してくれる便利なツールです。OSや使用中プラグインといった基本的な構成情報に加え、WordPressの設定が適切かどうか、最新の状態に保たれているかなどを一目で確認できます。

本記事では、WordPressサイトヘルスによって何がわかるのか、そしてそれをどのように実務に活かすべきかについて、わかりやすく解説します。

WordPress サイトヘルスとは?基本機能と役割

WordPressのサイトヘルスは、WordPressサイトの技術的な健全性を評価し、運営者に改善点を提示するためのツールです。WordPress 5.2以降に標準搭載されており、セキュリティやパフォーマンス、更新状況などを総合的にチェックすることで、サイトの安定運用を支援します。

サイトヘルスは、WordPress管理画面の「ツール」→「サイトヘルス」から確認可能です。
画面上では、サイト全体の状態が「良好」または「改善が必要」のいずれかで表示されます。

さらに「ステータス」と「情報」の2つのタブで切り替えることができ、「ステータス」はサイトの状態を、「情報」はサイト構成に関する詳細情報を、それぞれ表示します。

WordPress サイトヘルスとは?基本機能と役割1

「情報」タブをクリックすると、WordPressのバージョンや有効化しているプラグインの数、データベース情報など、WordPressに関する基本的な情報が表示されます。閲覧専用の画面で、表示されている内容は簡単にコピーして共有できるようになっています。

WordPress サイトヘルスとは?基本機能と役割2

「情報」タブで表示される内容

  • WordPress
  • ディレクトリとサイズ
  • 現在のテーマ
  • 停止中のテーマ
  • 使用中のプラグイン
  • 停止中のプラグイン
  • メディア処理
  • サーバー
  • データベース
  • WordPress 定数
  • ファイルシステムパーミッション

「ステータス」タブをクリックすると、WordPress の構成に関して注意が必要な項目が一覧表示されます。表示される内容については後述します。

スコアの概要と表示方法

サイトヘルスのステータス画面では、改善に関する内容を「致命的な問題」「おすすめの改善」「問題のない項目」に分類してリストアップします。

なお、「スコア」という表現が用いられますが、100点満点中何点といった数値で表されるわけではありません。

以下の図は「おすすめの改善」項目が表示されている例です。見出し項目右端の下向き矢印をクリックすると詳しい説明が表示されます。

スコアの概要と表示方法

チェックされる代表的な項目

以下はそれぞれ「致命的な問題」「おすすめの改善」「問題のない項目」として表示される項目の例です。

「致命的な問題」として表示される項目例
ここでは、セキュリティやパフォーマンスに大きな問題を生じる可能性がある項目が表示されます。もし自社サイトのサイトヘルス画面でこの項目が表示された場合は、速やかに対処を検討する必要があります。

  • プラグインやテーマの自動更新が無効化されているようですが、設定が引き続き表示されるようになっています。
  • バックグラウンド更新が想定通りに動作していません
  • WordPress.org に接続できませんでした
  • ファイルアップロード
  • HTTP リクエストがブロックされています
  • サイト訪問者へエラー表示を行う設定になっています
  • このサイトの設定は、潜在的に誰もが参照可能なファイルにエラーを書き出します。
  • サイトでループバックリクエストが完了できませんでした
  • PHP デフォルトタイムゾーンが無効です
  • 1つ以上の必須モジュールが存在しません
  • アクティブな PHP セッションが検出されました。
  • サイトが PHP の非常に古いバージョンで動作しています。更新してください。
  • 更新可能なプラグインがあります

※参照:サイトヘルス画面(WordPress日本語公式サイト)
https://ja.wordpress.org/support/article/site-health-screen/

「おすすめの改善」として表示される項目例
ここでは、致命的ではないけれど、サイトをより良くするために修正したほうが良い項目が表示されます。

  • 停止中のプラグインを削除してください
  • 停止中のテーマを削除してください
  • このサイトは最新ではないバージョンの PHP (バージョン名) を実行しています。更新する必要があります
  • 古いデータベースサーバー
  • 永続オブジェクトキャッシュを使用してください
  • ページキャッシュは検出されませんでしたが、サーバーのレスポンスは良好です

「問題のない項目」として表示される項目例
ここでは、サイトヘルスがテストした結果、問題ないと評価された項目が表示されます。そのため特別な対処は不要です。

  • 使用中の WordPress バージョン (バージョン名) は最新です
  • 必須および推奨モジュールがインストール済みです
  • PHP デフォルトタイムゾーンが有効です
  • PHP セッションが検出されませんでした
  • サイトは他のサービスと安全に接続可能です
  • 予約したイベントが実行可能です
  • HTTP リクエストは想定通り動作しているようです
  • REST API が利用可能です
  • このサイトの設定ではデバッグ情報を出力しません
  • ファイルをアップロードできます
  • プラグインとテーマの自動更新は正しく設定されているようです
  • プラグインとテーマの一時バックアップディレクトリは書き込み可能です
  • 更新を安全に実行するために利用可能なディスクスペース
  • 自動読み込みオプションは許容範囲内
  • WordPress.org に接続可能です
  • バックグラウンド更新が動作中です
  • サイトでループバックリクエストが実行可能です
  • サイトは有効な HTTPS 接続を使用しています
  • Authorization ヘッダーは期待通りに機能しています

これらの改善項目を実施することで、サイトヘルスの評価が改善します。

サイトヘルススコアの限界と見落としがちな落とし穴

サイトヘルスのステータス画面で表示されるスコアはひとつの目安になりますが、そのままセキュリティの堅牢性を示すわけではない点には注意が必要です。特に以下の3点については留意してください。

スコア「良好」=安全ではない

サイトヘルスで「良好」と表示されていても、それが必ずしもセキュリティ的に完全な状態を意味するわけではありません。サイトヘルスは主にWordPressの推奨設定がされているかどうかに対する評価であり、脆弱性の有無や攻撃リスクの評価までは行っていないためです。

例えば、インストール済みのプラグインに脆弱性があっても、バージョンが最新であればスコア上、問題のある項目としては反映されないことがあります。また、WAF(Web Application Firewall)の導入状況や、ログイン試行の異常検知といった実務的なセキュリティ対策の有無も評価対象外です。

そのため、スコアが「良好」であれば安全だと過信せず、必要なセキュリティ対策を別途行うことが重要です。

スコアの算出基準が不明瞭

サイトヘルスのステータス画面では複数の内容を精査した結果としてスコアが表示されていますが、その重みづけや評価ロジックは明確に公開されていません。そのため、どの項目がスコアにどれだけ影響しているのかを把握することが難しく、改善の優先順位が判断しづらくなっています。

またスコアで「改善が必要」と表示された場合でも、どの変更がもっとも影響しているのかが分かりにくく、運用上の混乱を招く可能性もあります。スコアはあくまで参考指標と捉え、個別の項目を丁寧に確認することが重要です。

「スコアの改善」が目的にならないように注意

WordPress有識者の中には、サイトヘルスの登場によって、サイトを安全に保つことよりもスコアを完璧にすることが目的になってしまうリスクを指摘する声が上がっています。サイトヘルススコアはあくまでも指標のひとつとして捉えるに留め、表示される改善項目にはこだわりすぎないことが重要です。

例えば、更新可能なプラグインがある場合には「致命的な問題」として、停止中のプラグインがある場合には「おすすめの改善」として表示されます。しかし、Webサイトによっては運用上の理由であえて自動更新を無効にしているケースや、リスクを理解した上で別の対策を取り最新ではないバージョンを使用しているケースもあるため、必ずしも対応が必要なわけではありません。

「致命的な問題」が表示されたからといってやみくもに対応するのではなく、自社にとって改善が必要かどうか、リスクの度合いなどを充分検討することが必要です。

セキュリティ実務で重視すべきチェックポイント

WordPressサイト運営者は、サイトヘルスを活用してWordPressを適切な状態に保った上で、安全にサイトを運営するために以下のセキュリティ対策を行うことが推奨されます。

外部脆弱性スキャン(Wordfence/WPScanなど)の活用

WordPressには、セキュリティ強化を目的としたプラグインが多数存在します。例えば「Wordfence」や「WPScan」は、マルウェアの検出、ブルートフォース攻撃の防止、既知の脆弱性の通知など包括的なセキュリティ機能を搭載しています。

Wordfence Security
Wordfence Security
https://ja.wordpress.org/plugins/wordfence/

これらのプラグインを導入することで、自動スキャンによる早期発見と、リアルタイムの防御が可能となり、運営者の負担を軽減しながらセキュリティレベルを向上させることができます。

アクセスログと不審挙動の常時監視

セキュリティ対策は「予防」と「検知」の両輪が重要です。WordPressのアクセスログを定期的に確認することで、不審なIPアドレスからのアクセス、ログイン試行の失敗、不正なファイル操作などを早期に発見できます。

特に、管理画面へのアクセスやログイン履歴は、攻撃の兆候を見逃さないための重要な情報源です。ログ監視は、「WP Activity Log」のようなセキュリティプラグインを使用するほか、レンタルサーバー側の機能を活用すると効率的に取得できます。

WP Activity Log
WP Activity Log
https://ja.wordpress.org/plugins/wp-security-audit-log/

(参考)XServerのアクセスログ取得設定
https://www.xserver.ne.jp/manual/man_server_log.php

PHP/MySQLのバージョン管理と互換性確認

WordPressはPHPとMySQL(またはMariaDB)の上で動作するため、これらのソフトウェアのバージョン管理はセキュリティの基本です。常に最新の安定版を使用するほか、アップデートの際にはテーマやプラグインとの互換性確認も忘れずに行う必要があります。互換性の問題があると、サイトの表示崩れや機能停止につながる恐れがあります。

サイトヘルスでは最新バージョンかどうかのチェックのみで互換性まではチェックしないため、手作業で互換性を確認する必要があります。

二要素認証、バックアップ、ユーザー管理の強化

WordPressユーザー管理のセキュリティを高めるには、二要素認証の導入やユーザー管理の強化が効果的です。

二要素認証は、知識認証であるパスワード認証に加えて、指紋認証(生体認証)、スマートフォン(所有物認証)など、異なる要素の認証を組み合わせた認証です。2種類の認証要素を組み合わせて使用することでなりすましによる不正ログインを防止します。二要素認証を提供するプラグインを導入することで手軽にセキュリティを強化できます。

ユーザー管理は、登録しているユーザーごとに細かく権限を設定するのが基本です。ユーザーに不必要な権限を与えないことで不正ログインされた際に被害を抑えられます。

また、バックアップは万が一サイバー攻撃の被害に遭った場合に、サイトを復元できる状態にするために不可欠です。プラグインを導入して定期的にバックアップを取るようにしてください。

比較表:サイトヘルス項目 vs 実務の観点

サイトヘルスで診断および指摘するのは、あくまでもWordPress上の脆弱性やパフォーマンス上の問題を生じるリスクがある設定についてです。そのため、実務レベルのサイト運営においては、セキュリティの観点からチェックすべき項目があります。

チェック項目の例

サイトヘルス項目 実務(サイトヘルス対象外の項目)
  • プラグインやテーマの自動更新
  • バックグラウンド更新の設定
  • HTTPS接続設定
  • PHP のバージョン管理
  • プラグインのバージョン管理、など
  • セキュリティパッチの適用
  • SSL証明書の有効期限
  • アクセスログの監視
  • ユーザー管理
  • 二要素認証の設定、など

wp.geek編集部 解説:スコアでは測れない“本当の健全性”とは

WordPressサイトヘルススコアは、WordPressのセキュリティ上の脆弱性やパフォーマンスに影響を及ぼす可能性のある設定について、システムが自動的に診断して改善提案を提示してくれる機能です。

サイト運営者にとって非常に役立つ機能ですが、あくまでもWordPressの推奨設定に限定した評価であり、これだけではサイトの本当の健全性を計れない点に留意する必要があります。

スコアに一喜一憂するのではなく、実務に根ざした視点でサイトの健全性を見極めることが、信頼性の高いWeb運営の第一歩となります。WordPressサイトヘルスをきっかけに、正しいセキュリティ運用や継続的な改善へと繋げることが望まれます。

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!

もっと詳しく