コラム / セキュリティ /
WordPress セキュリティの完全チェックリスト ─ 30分で出来る基本対策
📖 約10分 / 公開日: 2026/05/15
## WordPress は「世界一狙われる」CMS
WordPressのシェアは2026年時点で世界のWebサイトの 約43%。圧倒的なシェアと、プラグイン・テーマの自由度の高さが、同時に攻撃面の広さでもあります。脆弱性が一つ発見されれば、世界中の数百万サイトが一斉に標的になります。
しかし、基本的な対策をしっかり行えば、ほとんどの攻撃は防げます。本稿では、30分で実施できる基本セキュリティ対策を、優先順位順にチェックリスト形式でお伝えします。
## レベル1: 必須対策(10分で完了)
### 1.1 WordPress 本体・プラグイン・テーマを最新化
WordPress 管理画面 → 「更新」から、本体・プラグイン・テーマすべてを最新版に更新します。
### 1.2 不要なプラグインの削除
「念のため」入っている、使っていないプラグインを削除します。「無効化」だけでは不十分で、必ず「削除」してください。インストールされているだけで攻撃対象になります。
### 1.3 不要なテーマの削除
アクティブテーマ以外、不要なテーマも削除します。デフォルトの Twenty XX シリーズを残すと安心ですが、それ以外は削除して問題ありません。
### 1.4 管理者アカウントの確認
「ユーザー名: admin」のアカウントは削除し、推測困難なユーザー名のアカウントに変更します。攻撃者は「admin」というユーザー名を狙ってきます。
### 1.5 強いパスワード設定
12文字以上、英大小文字+数字+記号を組み合わせたパスワードを使用。1Password や Bitwarden などのパスワードマネージャを推奨。
## レベル2: 推奨対策(10分で完了)
### 2.1 セキュリティプラグインの導入
Wordfence Security、iThemes Security、Sucuri Security などから1つ選んで導入。Web Application Firewall(WAF)、ログイン試行制限、ファイル変更検知が有効になります。
### 2.2 ログイン画面の URL 変更
/wp-admin/ や /wp-login.php は誰もが知っているURL。WPS Hide Login プラグインや、上記のセキュリティプラグインで、推測しにくいURLに変更します(例: /my-secret-login/)。
### 2.3 二段階認証の有効化
Google Authenticator や Authy アプリと連携する二段階認証を、管理者アカウントには必ず有効化。これだけで、パスワードが漏れても侵入されない確率が劇的に上がります。
### 2.4 自動更新の有効化
WordPress 本体・プラグイン・テーマの自動更新を有効化。「更新を忘れていた」というセキュリティリスクを排除できます。
### 2.5 ファイル編集の禁止
wp-config.php に以下を追加:
define('DISALLOW_FILE_EDIT', true);
これで、管理画面からテーマ・プラグインのファイルを直接編集できなくなります。攻撃者が侵入してもコード改変を阻止できます。
## レベル3: 上級対策(10分で完了)
### 3.1 自動バックアップの設定
UpdraftPlus、BackWPup などのプラグインで、データベース・ファイルの自動バックアップを設定。バックアップ先は、必ずサーバ外部(Google Drive、Dropbox、AWS S3 等)に。
### 3.2 SSL/HTTPS の徹底
Let's Encrypt の無料SSLを設定し、HTTP → HTTPS への 301 リダイレクトを .htaccess に記述。Mixed Content も解消します。
### 3.3 wp-config.php の保護
.htaccess に以下を追加:
<files wp-config.php>
order allow,deny
deny from all
</files>
これで wp-config.php への直接アクセスをブロックします。
### 3.4 ファイル・ディレクトリのパーミッション設定
ファイル: 644、ディレクトリ: 755、wp-config.php: 600 を推奨。FTPツールやサーバの管理画面から一括設定可能です。
### 3.5 不要な情報の非表示
WordPress のバージョン情報、PHP のバージョン情報を出力しないように設定。攻撃者にヒントを与えない原則です。
## レベル4: 監視と早期検知
### 4.1 サーバアクセスログの監視
短時間に大量のリクエスト、404 エラーの頻発、見覚えのない国からのアクセスなどを定期的にチェック。
### 4.2 Google Search Console の活用
「セキュリティの問題」セクションを定期確認。何か検知されれば、Google から通知が来ます。
### 4.3 外部監視サービス
Wordfence Central、Sucuri SiteCheck、Pingdom などで、外部からの監視を設定。
## まとめ
WordPress セキュリティの90%は、レベル1とレベル2の基本対策で対応できます。「面倒だから」でレベル1すらやっていないサイトが多数あり、それらが攻撃の温床になっています。
30分の投資で、サイトのセキュリティを根本的に改善できます。本稿のチェックリストを印刷して、本日中に対応することを強くお勧めします。
もし対応が難しい、不安があるという場合は、当社のWordPress救済サービスで一括対応も可能です。
WordPressのシェアは2026年時点で世界のWebサイトの 約43%。圧倒的なシェアと、プラグイン・テーマの自由度の高さが、同時に攻撃面の広さでもあります。脆弱性が一つ発見されれば、世界中の数百万サイトが一斉に標的になります。
しかし、基本的な対策をしっかり行えば、ほとんどの攻撃は防げます。本稿では、30分で実施できる基本セキュリティ対策を、優先順位順にチェックリスト形式でお伝えします。
## レベル1: 必須対策(10分で完了)
### 1.1 WordPress 本体・プラグイン・テーマを最新化
WordPress 管理画面 → 「更新」から、本体・プラグイン・テーマすべてを最新版に更新します。
### 1.2 不要なプラグインの削除
「念のため」入っている、使っていないプラグインを削除します。「無効化」だけでは不十分で、必ず「削除」してください。インストールされているだけで攻撃対象になります。
### 1.3 不要なテーマの削除
アクティブテーマ以外、不要なテーマも削除します。デフォルトの Twenty XX シリーズを残すと安心ですが、それ以外は削除して問題ありません。
### 1.4 管理者アカウントの確認
「ユーザー名: admin」のアカウントは削除し、推測困難なユーザー名のアカウントに変更します。攻撃者は「admin」というユーザー名を狙ってきます。
### 1.5 強いパスワード設定
12文字以上、英大小文字+数字+記号を組み合わせたパスワードを使用。1Password や Bitwarden などのパスワードマネージャを推奨。
## レベル2: 推奨対策(10分で完了)
### 2.1 セキュリティプラグインの導入
Wordfence Security、iThemes Security、Sucuri Security などから1つ選んで導入。Web Application Firewall(WAF)、ログイン試行制限、ファイル変更検知が有効になります。
### 2.2 ログイン画面の URL 変更
/wp-admin/ や /wp-login.php は誰もが知っているURL。WPS Hide Login プラグインや、上記のセキュリティプラグインで、推測しにくいURLに変更します(例: /my-secret-login/)。
### 2.3 二段階認証の有効化
Google Authenticator や Authy アプリと連携する二段階認証を、管理者アカウントには必ず有効化。これだけで、パスワードが漏れても侵入されない確率が劇的に上がります。
### 2.4 自動更新の有効化
WordPress 本体・プラグイン・テーマの自動更新を有効化。「更新を忘れていた」というセキュリティリスクを排除できます。
### 2.5 ファイル編集の禁止
wp-config.php に以下を追加:
define('DISALLOW_FILE_EDIT', true);
これで、管理画面からテーマ・プラグインのファイルを直接編集できなくなります。攻撃者が侵入してもコード改変を阻止できます。
## レベル3: 上級対策(10分で完了)
### 3.1 自動バックアップの設定
UpdraftPlus、BackWPup などのプラグインで、データベース・ファイルの自動バックアップを設定。バックアップ先は、必ずサーバ外部(Google Drive、Dropbox、AWS S3 等)に。
### 3.2 SSL/HTTPS の徹底
Let's Encrypt の無料SSLを設定し、HTTP → HTTPS への 301 リダイレクトを .htaccess に記述。Mixed Content も解消します。
### 3.3 wp-config.php の保護
.htaccess に以下を追加:
<files wp-config.php>
order allow,deny
deny from all
</files>
これで wp-config.php への直接アクセスをブロックします。
### 3.4 ファイル・ディレクトリのパーミッション設定
ファイル: 644、ディレクトリ: 755、wp-config.php: 600 を推奨。FTPツールやサーバの管理画面から一括設定可能です。
### 3.5 不要な情報の非表示
WordPress のバージョン情報、PHP のバージョン情報を出力しないように設定。攻撃者にヒントを与えない原則です。
## レベル4: 監視と早期検知
### 4.1 サーバアクセスログの監視
短時間に大量のリクエスト、404 エラーの頻発、見覚えのない国からのアクセスなどを定期的にチェック。
### 4.2 Google Search Console の活用
「セキュリティの問題」セクションを定期確認。何か検知されれば、Google から通知が来ます。
### 4.3 外部監視サービス
Wordfence Central、Sucuri SiteCheck、Pingdom などで、外部からの監視を設定。
## まとめ
WordPress セキュリティの90%は、レベル1とレベル2の基本対策で対応できます。「面倒だから」でレベル1すらやっていないサイトが多数あり、それらが攻撃の温床になっています。
30分の投資で、サイトのセキュリティを根本的に改善できます。本稿のチェックリストを印刷して、本日中に対応することを強くお勧めします。
もし対応が難しい、不安があるという場合は、当社のWordPress救済サービスで一括対応も可能です。