WordPress セキュリティガイド｜初心者向けセキュリティ対策

セキュリティの基本原則

「完璧に安全なシステム」は存在しません。実用的かつ運用可能な範囲でリスクを減らすことが目標です。

1

アクセスの制限

悪意ある人物が利用可能な入り口を減らす。不要なプラグイン削除、ログイン試行制限などが有効。

2

被害の抑制

攻撃が成功した場合の損害を最小化する。権限管理とバックアップが重要。

3

状況の把握

バックアップを取り、変更を記録し、状態を把握する。アクティビティログの活用。

4

信頼できるソース

テーマやプラグインは公式レポジトリや信頼できる提供元から入手する。

単一の対策に依存せず、複数の対策を組み合わせることが重要です。1つの防御が破られても、次の防御で守れるようにしましょう。

            💡 城の防御を思い浮かべてください。外堀、内堀、城壁、門、天守閣…1つが破られても、次の防御があります。
          

よくある誤解を解く

セキュリティ対策には効果的なものとそうでないものがあります。

誤解：ログインURLを変更すれば安全

ログインURLの変更は一見効果的に見えますが、以下のデメリットがあります：

アクセス性の低下： 複数サイト管理時の混乱、チーム共有の困難
互換性の問題： 他のプラグインやテーマとの競合リスク
パスワードリセットの複雑化： 標準機能との整合性問題
過信の危険： 単一対策への依存、他の重要な対策を軽視しがち

            ✅ 推奨： ログインURL変更よりも、2要素認証＋ログイン試行制限の方が効果的です。
          

プラグインは多ければ良いわけではありません。過剰なプラグインは以下の問題を招きます：

サイト表示速度の低下
プラグイン同士の干渉による不具合
メンテナンス負担の増加
脆弱性リスクの増加

            💡 判断基準：「このプラグインを削除したら、サイトが困るか？」YESなら残す、NOなら削除。
          

今日から実践できる5つの対策

優先度の高い順に、今すぐ始められる対策を紹介します。

最優先

            ⚠️ Patchstack社の2024年調査によると、WordPressサイトの42%に少なくとも1つの脆弱なソフトウェアがインストールされています。
          

更新の対象：

WordPressコア： マイナーアップデートは自動更新（推奨）
プラグイン： 月1回の確認・手動更新推奨
テーマ： 月1回の確認・手動更新推奨
使っていないプラグイン・テーマは削除する

💡 重要： 更新前には必ずバックアップを取得！

必須

バックアップは「最後の砦」です。どんな対策をしても100%安全はありえません。マルウェア感染、サーバー障害、人的ミスなど、あらゆる危機から復旧できる唯一の手段です。

3-2-1ルール

3つのコピーを保持
2つの異なるメディアに保存（サーバー + クラウドなど）
1つはオフサイト（別の場所）に保管

            ✅ 推奨プラグイン：

            ・WPvivid Backup Plugin（初心者向け、復元が簡単、日本語対応）

            ・UpdraftPlus（多機能、クラウド連携が豊富）

基本

避けるべきユーザー名：

admin（最も狙われる）
webmaster
サイト名
自分の名前

            💡 パスワードは「覚えない」ことが重要

            人間が覚えられるパスワード＝コンピューターにも推測されやすい。WordPressの自動生成パスワードをそのまま使用しましょう。

パスワード管理ツールを活用：

Googleパスワードマネージャー（導入コスト最小）
1Password、Bitwarden、LastPass など

推奨

推奨：Wordfence Security

WAF（Web Application Firewall）： 攻撃通信を事前にブロック
マルウェアスキャン： 悪意のあるコードを定期的に検出
ブルートフォース攻撃対策： ログイン試行制限（1時間に3〜5回が目安）
2要素認証機能： Wordfence内蔵の2FA機能が利用可能
日本語対応あり、無料版でも十分な機能

            ⚠️ プラグインの重複に注意：
            Wordfenceには2FA機能が内蔵されています。別途WP 2FAを導入する場合は機能が重複するため、どちらか一方を使用することをお勧めします。
          

継続

各ユーザーには業務に必要な最低限の権限のみを付与
管理者権限は必要最小限の人数に制限
1人1アカウントの原則を徹底（共用アカウント禁止）
定期的にユーザーリストと権限を見直し

            💡 退職した社員のアカウントから不正アクセスされた事例もあります。退職者アカウントは即削除しましょう。
          

トラブル対処法

よくあるトラブルとその解決方法を紹介します。

症状

管理画面や公開ページが真っ白
エラーメッセージが表示されない
WordPressにアクセスできない

対処法

FTPまたはファイルマネージャでサーバーに接続
/wp-content/plugins/ ディレクトリにアクセス
問題のプラグインフォルダ名を変更（例：plugin → _plugin）
管理画面にアクセスできるか確認
それでも解決しない場合はバックアップから復元

症状

ログイン画面にアクセスできない
「IPアドレスがブロックされています」と表示される
パスワードは正しいのにログインできない

対処法

方法1： スマートフォンの4G/5G回線など、別のネットワークからアクセスを試みる
方法2： FTPでセキュリティプラグインのフォルダ名を変更して一時的に無効化
方法3： ホスティング会社のサポートに連絡してIPブロックを解除

対処法

まずデフォルトURLを試す：/wp-login.php または /wp-admin/
FTPでサーバーに接続
/wp-content/plugins/ ディレクトリにアクセス
URL変更プラグインのフォルダ名を変更（例：wps-hide-login → _wps-hide-login）
デフォルトURL（/wp-login.php）でログイン
プラグインのフォルダ名を元に戻し、再設定

              💡 今後の対策として、カスタムURLをパスワード管理ツールに保存しておきましょう。
            

対処法

バックアップファイルが存在するか、サイズが適切か確認
データベースとファイルの両方があるか確認
使用しているバックアッププラグインの公式ドキュメントを確認
手動復元を試みる（FTPでファイルアップロード、phpMyAdminでDBインポート）
ホスティング会社のサポートに連絡
必要に応じてWordPress専門家に依頼

緊急対応手順

サイトをメンテナンスモードに： 被害拡大を防ぐ
すべてのパスワードを変更： WordPress、FTP、データベース、ホスティング
マルウェアスキャンを実行： Wordfenceなどで感染ファイルを特定
クリーンなバックアップから復元： 最新のクリーンなバックアップを使用
再発防止策を実施： 全ソフトウェアを最新に、セキュリティ強化
専門家に相談： 自力で解決できない場合は必ず相談

              🔴 パニックにならず、冷静に対処しましょう。記録を取りながら作業を進めてください。
            

頻度	実施項目	所要時間
毎週	WordPress・プラグイン・テーマの更新確認セキュリティアラート通知の確認	約5分
毎月	バックアップの復元テスト不要なアカウントの削除パスワードの変更（ポリシーによる）	約30分
3ヶ月ごと	導入プラグインの見直しセキュリティ設定の確認簡易セキュリティ診断	1〜2時間

セキュリティチェックリスト

対策の進捗を管理しましょう。完了したら項目をチェックしてください。

参考資料

さらに詳しく学びたい方のための参考資料です。

バックアップは最後の砦： どんな対策をしても100%安全はありえません
多層防御： 単一の対策に依存せず、複数の対策を組み合わせましょう
継続的な運用： セキュリティは一度やって終わりではありません

WordPress
セキュリティガイド

セキュリティの基本原則

アクセスの制限

被害の抑制

状況の把握

信頼できるソース

多層防御の重要性

よくある誤解を解く

「最小構成で最大効果」の考え方

今日から実践できる5つの対策

最新バージョンにアップデート

バックアップは必ず取る

3-2-1ルール

強力なパスワードを使う

セキュリティプラグインの導入

ユーザー管理とアクセス制御

トラブル対処法

症状

対処法

症状

対処法

対処法

対処法

緊急対応手順

継続的な運用スケジュール

セキュリティチェックリスト

Phase 1：今すぐ実施（必須対策）

アップデートとクリーンアップ

アカウント・パスワード

バックアップ

Phase 2：1週間以内に実施（強化対策）

セキュリティプラグイン

認証強化

ユーザー管理

参考資料

公式ドキュメント

セキュリティレポート（一次情報源）

参考記事

重要な3原則