ブログ・お知らせ
# ワードプレス(wordpress)
ワードプレスで制作するホームページのセキュリティ対策
記事公開日:
最終更新日:
こんにちは。マザーシップウェブ制作事務所では、WordPressのセキュリティ対策について、日々取り組んでおります。今回はその取り組みの一部をご紹介いたします。
WordPressを運用していると、現在でも不正アクセスの試みが非常に多いと実感します。万が一、外部からの不正アクセスが成功してしまうと、サイトの内容が改ざんされたり、悪質なサイトへ自動転送されたり、さらにはデータベースに保存されている個人情報が流出するなど、事業の信用に関わる重大なトラブルにつながる恐れがあります。
大切な会社・店舗の顔となるホームページを不正アクセスから守るため、当事務所では保守管理サービスをご契約いただいているお客様に向けて、コンテンツの安全を確保する各種対策を実施しております。
なお、この記事でご紹介するセキュリティ対策は、WordPressを利用しているすべての方におすすめできる基本的な内容です。皆さまのホームページ運営にお役立ていただければ幸いです。
WordPressサイトに対して行っている主なセキュリティ対策
❶ 本体・プラグインは常に最新バージョンに維持
WordPress本体や、ダッシュボードからインストールされたテーマ・プラグインは、基本的に「自動更新を有効」に設定しており、過去の脆弱性に対応した最新版を常に保つようにしています。
ただし、メジャー(大規模)アップデートや、過去に不具合の原因となったことがあるプラグインについては、年に10回程度、手動で目視確認のうえ慎重に更新を行い、不正アクセス以外のトラブルも未然に防いでいます。
❷ 不要なプラグインの削除・非推奨プラグインの差し替え
プラグインの脆弱性を悪用された不正アクセスを防ぐため、不要なプラグインは「無効化」だけでなく「削除」を徹底しています。
また、長期間メンテナンスされていないプラグインは、安全性の高い別の代替プラグインに差し替えることで、リスクの低減を図っています。
❸ ユーザー情報の管理
ログイン可能なユーザーについては、不要なアカウントを削除しています。加えて、年に1回程度、パスワードの変更を依頼し、アカウントの安全性を保っています。
❹ サイトヘルスの定期確認と改善
年に数回(保守管理サービスのプランにより回数は異なります)、「サイトヘルス」機能(WordPress標準機能)を確認し、「致命的な問題」は極力解消するよう努めています。
なお、セキュリティに限らず、サイトの読み込み速度などパフォーマンス改善にも取り組んでおり、画像の最適化なども随時対応しています。
❺ 作業ログプラグインによる常時監視
人為的なミスや障害の早期発見を目的に、「WP Activity Log」または「Simple History」などの作業ログプラグインを導入し、サイト上の操作履歴を常時記録・監視しています。
ログの保存により、万が一の不具合時にも迅速に原因を特定できる体制を整えています。
❻ スパムの自動判定
コメントスパムやトラックバックスパムを自動的に検出・分類する「Akismet」プラグインを利用しています。
このプラグインはWordPressインストール時に初期搭載されているため、導入されているサイトも多く、信頼性の高いスパム対策として広く使われています。
❼ 自動バックアップの実施
当事務所では「UpdraftPlus」プラグインを活用し、自動バックアップを実施しています。
サイトの更新頻度に応じて、毎日または毎週、15~30回分のバックアップデータを保存。万が一の障害時にも、迅速な復旧や別環境での再現が可能です。
❽ セキュリティプラグインによるシステム全体の防御強化
特にご希望がない限り、特に希望がない限りはSiteGuardプラグインを導入しています。このプラグインにより、以下のようなセキュリティ対策を実施できます。
管理ページへのアクセス制限
ログインしていない接続元からWordPressの管理画面(/wp-admin/)へのアクセスを遮断し、代わりに「404 Not Found(ページが見つかりません)」を表示させることで、管理画面への不正なアクセスをブロックします。
ログインページのURL変更
WordPress標準のログインページURL(/wp-login.php)を任意の別URLに変更することで、外部からの総当たり攻撃やボットによる不正アクセスを防ぎます。
デフォルトのURL:https://example.jp/wp-login.php(誰でも推測できるURLで不正アクセスされやすい)
変更されたURL:https://example.jp/8yrr6hsyif0z(推測できないURLなので不正アクセスされにくい)
ログイン時の画像認証
ログインページやコメント投稿フォームに画像認証(CAPTCHA)を追加し、海外からの不正アクセスや自動化されたボットによる攻撃を防ぎます。
ログインエラーメッセージの非表示化
ログイン失敗時の詳細なエラーメッセージを単一の文言に置き換えることで、攻撃者に「どの情報が間違っているか」を推測させないようにしています。
ログインロックの設定
短時間に複数回ログインに失敗した接続元に対して、一定時間ログインを制限します。
たとえば、「30秒間に3回ログインに失敗した場合、その後5分間は同一IPアドレスからのログインを禁止する」といったルールを設けています。
XML-RPC機能の防御
WordPressのXML-RPC機能を悪用したDDoS攻撃や、ブルートフォース攻撃(※)を防ぐため、ピンバック機能の無効化やXML-RPC自体の制限を行っています。これにより、ログイン画面以外からの不正アクセスも遮断します。
※XML-RPC(エックスエムエル・アールピーシー)とは、WordPressが外部からの投稿や操作を受け付けるためのAPI機能です。以下のような用途で利用されます:
・モバイルアプリからの投稿
・Jetpackなどの外部サービスとの連携
・他サイトからのピンバック(リンク通知)※ブルートフォース攻撃とは、ログインフォームを経由せず、XML-RPCの system.multicall メソッドなどを使って、大量のログイン試行を一括で行う手法です。
ユーザー名漏洩の防止
WordPressでは、ログイン時に「ユーザー名」と「パスワード」の両方が必要ですが、ユーザー名が知られてしまうと、攻撃者はパスワードの総当たり攻撃に集中しやすくなります。そのため、ログイン画面やエラーメッセージなどからユーザー名を推測されないよう、漏洩防止の設定を行っています。
また、WordPressにはREST APIという仕組みがあり、これを通じてユーザー名が取得できてしまうことがあります。REST APIはブロックエディターの動作や外部システムとの連携に必要な機能で、XML-RPCに比べて安全性は高いものの、ユーザー名漏洩のリスクは残るため、必要に応じてこの機能も制限・無効化する対策を講じています。
なお、セキュリティを高くしすぎることでログインや更新がしづらい、というお声も度々いただいておりますので、状況をみながらトラブルが発生しない範囲で調整しています。
サーバーでのセキュリティ対策
❶ PHP・データベースは最新(推奨)バージョンに維持
ご利用のサーバーによって使用可能なバージョンには差がありますが、可能な限りWordPressが推奨する最新バージョンに保つよう設定しています。
サーバー側での対応が著しく遅れている場合には、より安全な環境を確保するため、サーバーの移転をご提案することもあります。
❷ SSL対応による通信の暗号化
SSL(Secure Sockets Layer)は、ログイン情報や個人情報のやり取りを暗号化することで、第三者による盗聴や改ざんを防ぐ技術です。SSLを導入することで、サイトのURLは「http://」から「https://」に変わります。
無料で利用できる「Let’s Encrypt」でも、通信の暗号化としては十分で、小規模事業には適しています。
一方、有料SSLでは、企業や団体の実在確認が行われる「認証レベル」がより高く、万が一の被害時に補償(保険)が付帯するケースもあります。信頼性が特に求められるネットショップや法人サイトでは、有料SSLの導入をおすすめしています。
サーバーが提供するセキュリティ対策
前述のような手動でのセキュリティ設定に加えて、レンタルサーバー各社が独自に提供しているセキュリティ機能もあります。以下は、その代表的な機能です。
(2025年7月時点)
| 項目 | さくらのレンタルサーバ | ロリポップ! | エックスサーバー |
|---|---|---|---|
| WAF | ○(独自実装) | ○(F-secureベース) | ○(強力で細かく設定可能) |
| ウイルススキャン | △(メールのみ) | △(Webサイトは別途申込) | ○(サーバー・メール対象) |
| 自動バックアップ | △(有料) | △(スタンダード以上は無料) | ○(無料・過去14日保存) |
| 国外IP制限・アクセス制御 | △(制限的) | △(ログイン制限程度) | ◎(IP制限やアクセス制御が豊富) |
| FTP/SSH制御 | ○(公開鍵対応) | ○(SFTPあり) | ◎(セキュリティ重視設計) |
WAF(Web Application Firewall)「サイトを狙う攻撃を自動でブロック」
WAFとは、Webサイトを狙った攻撃から自動的に守ってくれるセキュリティシステムです。たとえば、入力フォームに不正なコードを埋め込み、情報を盗もうとする「SQLインジェクション」のような攻撃を検知・遮断します。
ウイルス対策ソフトがパソコンを守るのと同じように、WAFはWebサイト全体を守る“盾”のような存在です。特にネットショップや会員制サイトなど、重要な情報を扱うサービスでは欠かせません。
ウイルススキャン「サイト内部の健康診断と、侵入後のウイルス治療」
サーバー内にウイルスやマルウェアといった悪意あるプログラムが潜んでいないかをチェックする機能です。感染すると、情報の漏洩や不正操作など、深刻な被害につながる可能性があります。
ウイルススキャンは、ファイルやメールの中身を定期的にチェックし、不審なものを発見すると自動で削除または隔離してくれます。
国外IP制限「WAFより前に止める!海外からのアクセス遮断」
これは、Webサイトに入ってくる前の“関所”のようなセキュリティです。海外からのアクセスには、不正ログインや攻撃を目的としたものが多く含まれているため、「日本国外からのアクセスをブロックする」という設定をかけて、危険を未然に防ぎます。海外向けのサービスや海外の操作がない限り、通常はこの機能を常時ONに設定しています。
FTP/SSH制御「侵入経路は正面だけじゃない!裏口の対策も万全に」
FTPやSSHは、Webサイトのファイルをアップロードしたり、サーバーの設定を変更したりするための通信経路で、いわば“管理者専用の裏口”です。ここが狙われると、サイトが不正に書き換えられる危険があります。
そのため、強固なパスワードの設定やアクセス制限を行い、不正利用を防ぎます。特にSSHはより安全な通信方式のため、しっかり制御することでセキュリティが大きく向上します。
これまでにご紹介したのは、以下の3つの観点からのセキュリティ対策です:
・「WordPress側で実施できるセキュリティ機能」
・「レンタルサーバー側で設定できる機能」
・「レンタルサーバーにあらかじめ備わっているセキュリティ機能」
これらを組み合わせることで、より堅牢なセキュリティ環境が整います。
マザーシップウェブ制作事務所では、システムによる保護に加えて、手動での保守管理サービスも併用することで、お客様の大切なホームページを安全に運用できるようサポートしています。
安心してWeb運営を続けていただくためにも、ぜひこうした多層的な対策をご活用ください。
