WordPress セキュリティガイド｜初心者向けセキュリティ対策

Principles

セキュリティの基本原則

「完璧に安全なシステム」は存在しません。実用的かつ運用可能な範囲でリスクを減らすことが目標です。

01

アクセスの制限

悪意ある人物が利用可能な入り口を減らす。不要なプラグイン削除、ログイン試行制限などが有効。

02

被害の抑制

攻撃が成功した場合の損害を最小化する。権限管理とバックアップが重要。

03

状況の把握

バックアップを取り、変更を記録し、状態を把握する。アクティビティログの活用。

04

信頼できるソース

テーマやプラグインは公式レポジトリや信頼できる提供元から入手する。ホスティングもWAFやマルウェアスキャンを提供する信頼性の高いサービスを選ぶ。

💡 多層防御の重要性

単一の対策に依存せず、複数の対策を組み合わせることが重要です。城の防御を思い浮かべてください。外堀、内堀、城壁、門、天守閣…1つが破られても、次の防御があります。

Myths Busted

よくある誤解を解く

セキュリティ対策には効果的なものとそうでないものがあります。

⚠ 誤解

ログインURLを変更すれば安全？

ログインURLの変更は一見効果的に見えますが、以下のデメリットがあります：

アクセス性の低下：複数サイト管理時の混乱、チーム共有の困難
互換性の問題：他のプラグインやテーマとの競合リスク
パスワードリセットの複雑化：標準機能との整合性問題
過信の危険：単一対策への依存、他の重要な対策を軽視しがち

💡 考え方

「最小構成で最大効果」の考え方

プラグインは多ければ良いわけではありません。過剰なプラグインは以下の問題を招きます：

サイト表示速度の低下
プラグイン同士の干渉による不具合
メンテナンス負担の増加
脆弱性リスクの増加

判断基準：「このプラグインを削除したら、サイトが困るか？」YESなら残す、NOなら削除。

5 Actions

今日から実践できる5つの対策

優先度の高い順に、今すぐ始められる対策を紹介します。

1

バックアップは必ず取る

必須

バックアップは「最後の砦」です。どんな対策をしても100%安全はありえません。マルウェア感染、サーバー障害、人的ミスなど、あらゆる危機から復旧できる唯一の手段です。

3-2-1ルール：

3つのコピーを保持
2つの異なるメディアに保存（サーバー + クラウドなど）
1つはオフサイト（別の場所）に保管

推奨プラグイン：WPvivid Backup Plugin（初心者向け、日本語対応） / UpdraftPlus（多機能、クラウド連携が豊富）

3

強力なパスワードを使う

基本

避けるべきユーザー名：admin、webmaster、サイト名、自分の名前

パスワードは「覚えない」ことが重要 — 人間が覚えられるパスワード＝コンピューターにも推測されやすい。WordPressの自動生成パスワードをそのまま使用しましょう。

パスワード管理ツールを活用：

Googleパスワードマネージャー（導入コスト最小）
1Password、Bitwarden、LastPass など

4

セキュリティプラグインの導入

推奨

推奨：Wordfence Security

WAF（Web Application Firewall）：攻撃通信を事前にブロック
マルウェアスキャン：悪意のあるコードを定期的に検出
ブルートフォース攻撃対策：ログイン試行制限（1時間に3〜5回が目安）
2要素認証機能：Wordfence内蔵の2FA機能が利用可能
日本語対応あり、無料版でも十分な機能

⚠️ プラグインの重複に注意：Wordfenceには2FA機能が内蔵されています。別途WP 2FAを導入する場合は機能が重複するため、どちらか一方を使用することをお勧めします。

5

ユーザー管理とアクセス制御

継続

各ユーザーには業務に必要な最低限の権限のみを付与
管理者権限は必要最小限の人数に制限
1人1アカウントの原則を徹底（共用アカウント禁止）
定期的にユーザーリストと権限を見直し

注意：退職した社員のアカウントから不正アクセスされた事例もあります。退職者アカウントは即削除しましょう。

Troubleshooting

トラブル対処法

よくあるトラブルとその解決方法を紹介します。クリックで展開できます。

Case 1 プラグイン更新後に画面が真っ白になった

+

症状

管理画面や公開ページが真っ白
エラーメッセージが表示されない
WordPressにアクセスできない

対処法

FTPまたはファイルマネージャでサーバーに接続
/wp-content/plugins/ ディレクトリにアクセス
問題のプラグインフォルダ名を変更（例：plugin → _plugin）
管理画面にアクセスできるか確認
それでも解決しない場合はバックアップから復元

Case 2 自分のIPアドレスがロックアウトされた

+

症状

ログイン画面にアクセスできない
「IPアドレスがブロックされています」と表示される
パスワードは正しいのにログインできない

対処法

スマートフォンの4G/5G回線など、別のネットワークからアクセス
FTPでセキュリティプラグインのフォルダ名を変更して一時的に無効化
ホスティング会社のサポートに連絡してIPブロックを解除

Case 3 ログインURLを忘れた

+

※ ログインURLの変更は推奨しませんが、既に変更している方向けの情報です。

対処法

まずデフォルトURLを試す：/wp-login.php または /wp-admin/
FTPでサーバーに接続
/wp-content/plugins/ ディレクトリにアクセス
URL変更プラグインのフォルダ名を変更して無効化
デフォルトURL（/wp-login.php）でログイン
プラグインのフォルダ名を元に戻し、再設定

Case 4 バックアップから復元できない

+

対処法

バックアップファイルが存在するか、サイズが適切か確認
データベースとファイルの両方があるか確認
使用しているバックアッププラグインの公式ドキュメントを確認
手動復元を試みる（FTP + phpMyAdmin）
ホスティング会社のサポートに連絡
必要に応じてWordPress専門家に依頼

Case 5 サイトが改ざんされた・マルウェア感染

+

緊急対応手順

サイトをメンテナンスモードに — 被害拡大を防ぐ
すべてのパスワードを変更 — WordPress、FTP、データベース、ホスティング
マルウェアスキャンを実行 — Wordfenceなどで感染ファイルを特定
クリーンなバックアップから復元 — 最新のクリーンなバックアップを使用
再発防止策を実施 — 全ソフトウェアを最新に、セキュリティ強化
専門家に相談 — 自力で解決できない場合は必ず相談

🔴 パニックにならず、冷静に対処しましょう。記録を取りながら作業を進めてください。

Checklist

セキュリティチェックリスト

対策の進捗を管理しましょう。完了したら項目をクリックしてください。

アップデートとクリーンアップ

WordPress本体を最新版に更新

すべてのプラグインを最新版に更新

すべてのテーマを最新版に更新

不要なプラグインを削除（無効化ではなく削除）

不要なテーマを削除

アカウント・パスワード

adminユーザーを削除（新規管理者を作成後）

WordPress自動生成パスワード、またはパスワード管理ツールで生成した強力なパスワードを使用

推測されやすいユーザー名を使用していないか確認

バックアップ

自動バックアップシステムを設定

バックアップの保存先を外部ストレージに設定

バックアップからの復元テストを実施

サーバー環境

SSL/HTTPS が有効になっているか確認

PHP バージョンがサポート中か確認

セキュリティプラグイン

Wordfence Security を導入

WAF（Web Application Firewall）を有効化

マルウェアスキャンを設定

ログイン試行回数制限を設定（1時間に3〜5回が目安）

認証強化

2要素認証（2FA）を導入

すべての管理者アカウントに2FAを適用

バックアップコードを安全に保管

ユーザー管理

各ユーザーの権限を見直し

1人1アカウントの原則を確認

退職者・不要なアカウントを削除

Resources

参考資料

さらに詳しく学びたい方のための参考資料です。

バックアップは最後の砦

どんな対策をしても100%安全はありえません

多層防御

単一の対策に依存せず、複数の対策を組み合わせましょう

継続的な運用

セキュリティは一度やって終わりではありません