WordPressのセキュリティを強化する5つの対策【あなたのブログは万全?】

「WordPressでブログを運営しているけど、サイバー攻撃を防ぐためのセキュリティ対策について知りたい。」
「ついでに、セキュリティを強化できるプラグインや、ブログの健康状態を調べられるサイトがあれば知りたい。」

この記事ではこういった疑問に答えます。

本記事の内容

  • WordPressのセキュリティ対策【5つあります】
  • WordPressのセキュリティ強化プラグイン2選
  • WordPressのセキュリティ診断方法

WordPressはオープンソースかつ利用者が多いことから、サイバー攻撃の標的にされやすく、実際にハッキングされた事例が多くあります。

セキュリティ対策を専門とする企業自体がハッキング被害を受けるぐらいなので、サイバー攻撃を完全に防ぐことはできませんが、それでもできる限りの対策はするべきです。

そのため、この記事では、WordPressで施すべき5つのセキュリティ対策とセキュリティ強化のプラグインについて解説します。

WordPressのセキュリティ対策【5つあります】

WordPressにおいて行っておくべきセキュリティ対策は5つあります。

5つの対策

  • 対策1:プログラムを最新バージョンに保つ
  • 対策2:公式以外のプラグインは使わない
  • 対策3:アカウント情報を複雑にする
  • 対策4:不要なプラグインは削除する
  • 対策5:サーバー側で設定できる対策を行う

どちらかと言うと、具体的な設定をするというよりは「心掛け」に近い内容です。

それぞれ解説します。

対策1:プログラムを最新バージョンに保つ

セキュリティ対策の最も基礎的なことは、プログラムを常に最新バージョンに保つことです。

WordPress本体をはじめ、プラグインとテーマも同様に常に最新バージョンに更新するようにしましょう。

プログラムの更新は、機能の追加やコードの最適化以外に、脆弱性や動作不良があると行われるので、セキュリティ力を保つためにも重要な対策です。

なお、最新バージョンのWordPressに対応できていないプラグインは利用すべきではありません。

対策2:公式以外のプラグインは使わない

WordPressのプラグインには、公式サイトで配布されるものと、個人サイトで配布されるものがあります。

個人サイトで配布されるものは「野良プラグイン」と呼ばれ、プラグイン自体に悪意のあるプログラムが埋め込まれていることがあるので利用は避けましょう。

公式サイトだからといって全てが安全という訳ではありませんが、少なくとも野良プラグインと比べたら安全性が担保されています。

余談ですが、数年前に人気プラグインの「All in One SEO Pack」で脆弱性が見つかったことがありました。

誰しも利用している人気プラグインでも脆弱性があるので、プラグインを導入する前に「プラグイン名+リスク、プラグイン名+脆弱性」と調べることをおすすめします。

対策3:アカウント情報を複雑にする

管理画面にログインするためのアカウントとパスワードは、誰もが思いつくようなものではなく、複雑にしましょう。

不正ログインの手法は無数の組み合わせを自動で攻撃するので、安易なパスワードにしていると簡単に突破されてしまう可能性があります。

解読されにくいパスワードを考えるのは大変なので、パスワード生成ツールの「LUFT」や「TECH-UNLIMiTED」を使うことも一つの手です。


例えば、LUFTを使うとこんな感じでパスワード例を生成してくれます。

対策4:不要なプラグインは削除する

利用していないプラグインがあれば、リスクを減らすためにも、すみやかに削除しましょう。

また、1年以上更新されていないプラグインは、開発者から放置されているので、代替えとなるプラグインを探すか、自分でカスタマイズした方がリスクを分散できます。


こんな感じで利用しているプラグインだけ有効の状態にしておくこと良いでしょう。

プラグインに関する注意点は「WordPressで導入すべきおすすめプラグイン3+11選【これだけでOK】」で詳しく解説しています。

WordPressで導入すべきおすすめプラグイン3+11選【これだけでOK】

対策5:サーバー側で設定できる対策を行う

サーバーの管理画面からも、セキュリティ対策に関わる設定ができます。

具体的には、2段階認証やWAF、国外からのIP制限などです。

サーバー側の設定に関しては「レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須です】」で詳しく解説しています。

レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須】レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須です】

WordPressのセキュリティ強化プラグイン2選

前述した5つの対策に加え、セキュリティ対策専用のプラグインを利用することもセキュリティ力を高める手段の一つです。

おすすめのプラグインは次の通りです。

おすすめプラグイン

  • その1:SiteGuard WP Plugin
  • その2:Wordfence Security

他にも、セキュリティ対策のプラグインはいくつもありますが、現状おすすめできるのはこの2つです。

それぞれ解説します。

その1:SiteGuard WP Plugin

SiteGuard WP Pluginは、日本企業のジェイピー・セキュアが提供するプラグインです。


設定できる機能は全部で10つあります。こんな感じです。

主な機能としては、不正ログインを防ぐことで、日本語で設定できるのでとても使いやすいと思います。

導入するとしたら、次の3つの機能だけでも十分に効果があります。

  • ログインページ変更:ログインページを変更する
  • 画像認証:ログインページ、コメント投稿に画像認証を追加する
  • フェールワンス:正しい入力を行なっても、ログインを一回失敗する

ブログのトラフィックが多くなると、それだけサイバー攻撃に晒される危険性も上がるので、タイミング次第で導入しても良いでしょう。

その2:Wordfence Security

Wordfence Securityは、300万以上インスールされているセキュリティの人気プラグインです。

セキュリティ対策の総合プラグインのようなもので、ファイアウォールやセキュリティホールスキャン、IPアドレスのブロックなど、様々な設定ができます。

ただし、日本語対応されていないので使いづらさがあるからか、日本人のブロガーやアフィリエイターで利用している人は少ないと思います。

2つのプラグインに共通することですが、セキュリティ関連のプラグインは、動作不良を起こす可能性があるので、テーマとの相性を調べてから利用しましょう。

WordPressのセキュリティ診断方法

最後に、運営しているWordPressブログのセキュリティレベルを診断するサイトを紹介します。

もし、悪意のあるプログラムがあればサーチコンソールから通知があるので、頻繁に診断する必要はありませんが、試しにチェックしてみてください。

WPSEC.comの使い方

WPSEC.comは、ワンクリックでWordPressの脆弱性を検査できる無料診断サイトです。

使い方は次の通りです。

STEP.1
公式サイトにアクセスします。

STEP.2
検索ボックスに調べたいURLを入力して、すぐ下のボックスにチェックマークを入れて「STARTSCAN」をクリックします。

STEP.3
こんな感じで、結果が出ます。

なお、サイバー攻撃を受けていたら「Your WordPress website is vulnerable to attack」と表示されます。

SUCURIの使い方

SUCURIは、脆弱性以外にドメインがブラックリストに登録されているかも分かる無料診断サイトです。

STEP.1
公式サイトにアクセスします。

STEP.2
検索ボックスに調べたいURLを入力してクリックします。

STEP.3
結果はすぐに出ます。当サイトだとマルウェアの侵入は大丈夫でしたが、ドメインに問題がある可能性がありました、、、。中古ドメインなのですが、調べてみる必要がありそうです。

WordPressのセキュリティ対策はこんな感じです。

というわけで以上です。