はじめに
前回の記事ではRankMath・Googleアナリティクス・Search Consoleを設定してSEO対策の土台を整えました。今回はWordPressサイトを守るためのセキュリティ対策を解説します。世界シェアNo.1のCMSであるWordPressは攻撃の標的になりやすく、何も対策しないと不正ログイン・マルウェア感染・スパム投稿などのリスクにさらされます。Wordfenceによるファイアウォールの設定・ログイン保護・UpdraftPlusを使った定期バックアップの運用まで一通り解説します。
1. WordPressが狙われる理由とリスク
1.1 WordPressのセキュリティリスク
WordPressは世界中のWebサイトの約63%で使われているため、攻撃者にとって最も効率的なターゲットになっています。主なリスクを把握しておきましょう。
| リスクの種類 | 内容 | 対策 |
|---|---|---|
| 不正ログイン | ブルートフォース攻撃(総当たり)でID・パスワードを突破される | Wordfence・ログイン制限 |
| マルウェア感染 | 脆弱なプラグインやテーマから悪意あるコードを注入される | Wordfenceスキャン・更新管理 |
| スパムコメント | ボットによる大量スパムコメントでサイトが汚染される | Akismet・コメント承認制 |
| プラグインの脆弱性 | 古いプラグインの脆弱性を利用してサイトに侵入される | 定期的なアップデート |
| データ消失 | サーバー障害・誤操作・攻撃によるデータ全損 | UpdraftPlusで定期バックアップ |
⚠️ 対策は公開直後から必要です:サイトを公開した瞬間からボットによる攻撃が始まります。「まだアクセスが少ないから大丈夫」は誤りです。本記事の対策を公開直後に必ず実施してください。
2. Wordfenceのインストールと設定
2.1 Wordfenceとは
Wordfenceは世界で最も使われているWordPressセキュリティプラグインです。ファイアウォール・マルウェアスキャン・ログイン保護・リアルタイムの脅威ブロックなど、セキュリティに必要な機能を無料版でも幅広く利用できます。
| 機能 | 無料版 | 有料版(Premium) |
|---|---|---|
| ファイアウォール | ✅ 対応(30日遅延ルール) | ✅ リアルタイムルール |
| マルウェアスキャン | ✅ 対応(30日遅延) | ✅ リアルタイム |
| ログイン保護 | ✅ 対応 | ✅ 対応 |
| IPブロック | ✅ 手動 | ✅ 自動 |
| 国別ブロック | ❌ | ✅ 対応 |
2.2 Wordfenceのインストール手順
1.管理画面の「プラグイン」→「新しいプラグインを追加」から「Wordfence」を検索し「今すぐインストール」→「有効化」をクリックします。
2.有効化後にメールアドレスの登録画面が表示されます。セキュリティアラートを受け取るメールアドレスを入力します。無料版を使う場合は「No Thanks」をクリックしてスキップできます。
3.管理画面の左メニューに「Wordfence」が追加されます。ダッシュボードでファイアウォールの状態とスキャン結果が確認できます。
4.初回インストール後に「Optimize the Wordfence Firewall」というプロンプトが表示されます。「CLICK HERE TO CONFIGURE」をクリックしてファイアウォールを最適化しましょう。
2.3 Wordfenceの重要設定項目
最重要
ファイアウォールの有効化と最適化
「Wordfence」→「Firewall」→「Manage Firewall」でファイアウォールのモードを「Learning Mode」から「Enabled and Protecting」に変更します。インストール直後は1週間ほどLearning Modeで動作パターンを学習させてから切り替えましょう。
最重要
ログイン試行回数の制限
「Firewall」→「Brute Force Protection」でログイン失敗の回数制限を設定します。5回失敗でロック・ロック時間20分を目安に設定しましょう。ブルートフォース攻撃を大幅に防げます。
最重要
定期スキャンのスケジュール設定
「Scan」→「Manage Scan」でスキャンのスケジュールを設定します。週に1回以上の自動スキャンを有効化してマルウェア・改ざんを定期的に検出しましょう。
おすすめ
2要素認証(2FA)の有効化
「Login Security」から管理者アカウントに2要素認証を設定できます。Google AuthenticatorやAuthyなどの認証アプリと連携して、パスワード漏洩時でも不正ログインを防止できます。
おすすめ
管理者メールへのアラート設定
「All Options」→「Email Alert Preferences」で不正アクセス試行・マルウェア検出・プラグイン更新などのアラートをメールで受け取る設定を行います。
💡 スキャン後の対応:スキャンで「Issues」が検出された場合は内容を確認して対応します。プラグインやコアファイルの改ざんはWordfence上から修復できるものもあります。「Unknown Files」は不要なファイルであれば削除しましょう。
3. ログイン保護の強化
3.1 管理画面URLの変更
WordPressのデフォルトの管理画面URLは yoursite.com/wp-admin で、攻撃者にも周知されています。URLを変更することで攻撃の対象になりにくくなります。WPS Hide Loginプラグインを使うと簡単に変更できます。
1.「WPS Hide Login」をインストール・有効化します。
2.「設定」→「WPS Hide Login」でログインURLを任意の文字列(例:yoursite.com/my-secret-login)に変更します。
3.変更後のURLを必ずメモしておきます。変更前の /wp-admin にアクセスすると404ページに転送されます。
3.2 その他のログイン保護策
必須
強固なパスワードの設定
管理者パスワードは16文字以上・英大小文字・数字・記号を含むランダムな文字列にします。WordPressの自動生成パスワードを活用しましょう。パスワードマネージャー(1Password・Bitwarden等)での管理がおすすめです。
必須
ユーザー名「admin」を使わない
デフォルトのユーザー名「admin」は攻撃者が最初に試すIDです。別の名前に変更しましょう。既存ユーザーのユーザー名は直接変更できないため、新しいユーザーを作成して旧アカウントを削除します。
おすすめ
XML-RPCの無効化
XML-RPCはWordPressの外部連携機能ですが、攻撃に悪用されることがあります。使用していない場合はWordfenceの「All Options」→「Brute Force Protection」から無効化しておきましょう。
おすすめ
ファイル編集機能の無効化
管理画面からテーマやプラグインのPHPファイルを直接編集できる機能は、侵入された際のリスクになります。wp-config.phpに define('DISALLOW_FILE_EDIT', true); を追加して無効化しましょう。
4. UpdraftPlusによるバックアップ運用
4.1 バックアップの重要性
セキュリティ対策を万全にしていても、サーバー障害・誤操作・アップデートによる不具合など予期しないトラブルでサイトが壊れることがあります。定期的なバックアップがあれば、どんな問題が起きても復元できます。「バックアップは保険」と考え、必ず設定しておきましょう。
4.2 UpdraftPlusの設定手順
1.「UpdraftPlus」をインストール・有効化します(第八弾で既にインストール済みの場合は設定のみ行います)。
2.「設定」→「UpdraftPlus Backups」→「設定」タブを開きます。
3.ファイルのバックアップスケジュールを「週に1回・保存数3」に設定します。更新頻度が高いサイトは「毎日・保存数7」がおすすめです。
4.データベースのバックアップスケジュールも同様に設定します。データベースには記事・設定などの重要データが入っているため、ファイルと同じか高い頻度で設定しましょう。
5.バックアップ先(リモートストレージ)を設定:Google Drive・Dropbox・Amazon S3などのクラウドストレージと連携します。サーバー内にのみ保存すると、サーバー障害時にバックアップも失うリスクがあります。
6.設定完了後、「今すぐバックアップ」ボタンをクリックして初回バックアップを手動実行し、正常に完了することを確認します。
4.3 バックアップからの復元手順
1.「UpdraftPlus Backups」→「バックアップ/復元」タブで復元したいバックアップを選択します。
2.復元する内容(プラグイン・テーマ・アップロード・その他・データベース)にチェックを入れて「復元」ボタンをクリックします。
3.復元完了後にサイトの表示・記事内容・プラグインの動作を確認します。
💡 バックアップのテストを定期的に:バックアップが存在していても、実際に復元できなければ意味がありません。3ヶ月に1回程度、テスト環境(Local)でバックアップから復元できることを確認しておきましょう。
5. セキュリティ対策チェックリスト
✓ Wordfenceのファイアウォールが「Enabled and Protecting」になっているか
✓ ログイン試行回数の制限を設定済みか(5回失敗でロック)
✓ 管理画面URLをデフォルトの /wp-admin から変更済みか
✓ 管理者ユーザー名が「admin」になっていないか
✓ 管理者パスワードが16文字以上の強固なものになっているか
✓ WordPress・テーマ・プラグインをすべて最新版に更新済みか
✓ UpdraftPlusの自動バックアップが正常に動作しているか
✓ バックアップがGoogle Driveなどのリモートストレージに保存されているか
✓ Wordfenceの定期スキャンスケジュールが設定されているか
まとめ
今回はWordPressのセキュリティ対策としてWordfence・ログイン保護・UpdraftPlusによるバックアップ運用を解説しました。ポイントをまとめると:
- WordPressは公開直後からボット攻撃を受けるため対策は即実施が必要
- Wordfenceのファイアウォールを「Enabled and Protecting」に設定する
- ログイン試行回数の制限・管理画面URLの変更・ユーザー名「admin」を避ける
- UpdraftPlusで週1回以上の自動バックアップをGoogle Driveに保存する
- WordPress・テーマ・プラグインは常に最新版に保つことが最大の防御策
次の記事では、WordPressサイトの表示速度を改善するための画像最適化・キャッシュ設定・CDN導入について解説します。お楽しみに!
コメント