「WordPressは危険だ」という声を耳にしたことがあるかもしれません。世界のWebサイトの40%以上がWordPressで構築されており、CMS市場ではシェアの60%を超えます。利用者が多い分、攻撃の対象にもなりやすい。これは事実です。
ただし「だからWordPressを使うべきではない」というのは短絡的な結論です。セキュリティのリスクは、サーバー環境やWordPressの設定、日常の運用体制によって大きく変わります。漠然と不安を抱えたまま放置するのではなく、「何が危険で、どこに穴があるのか」を具体的に把握できれば、守るべきポイントも明確になります。プラグインの管理・選び方についてはCMSのプラグイン管理のベストプラクティスも参考にしてください。
WordPressのセキュリティリスクと対策を「基礎知識」「技術面のチェック」「運用管理」の3つに分けて整理しました。制作会社への相談前に自社サイトの現状を確認しておくと、見積もりや提案内容の妥当性を判断する材料になります。
WordPressセキュリティチェックリスト
記事内で解説するチェック項目の全体像です。自社サイトの点検や、制作会社への相談資料として活用してください。
| 分類 | カテゴリ | チェック項目 |
|---|---|---|
| 基礎 | リスクの理解 | WordPressが狙われる理由の把握、攻撃の種類と被害パターンの確認、脆弱性の発生箇所の理解 |
| 技術 | サーバー環境 | レンタルサーバーのセキュリティ機能確認、SSL証明書の導入状況、WAFの導入状況 |
| WordPress設定 | 管理画面のユーザー名とパスワードの強度、ユーザー権限の設定、不要なプラグインとテーマの削除 | |
| アクセス制限 | 管理画面(wp-admin)へのアクセス制限、ログイン試行回数の制限、bot対策ツールの導入 | |
| 運用 | 定期更新 | WordPress本体のアップデート、プラグインとテーマのアップデート |
| バックアップ | 定期的なバックアップ取得、復元テストの実施、保存場所の分散 | |
| 監視と診断 | セキュリティプラグインによる監視、ログファイルの確認、外部診断ツールの活用 |
WordPressが狙われる背景と被害の実態
なぜWordPressは攻撃の対象になるのか
WordPressが攻撃者に狙われやすい理由は、シェアの大きさとオープンソースという2つの特性にあります。
世界中のWebサイトの約43%がWordPressで構築されています。攻撃者にとっては、1つの脆弱性を見つけるだけで、同じ手法を使って膨大な数のサイトに侵入を試みることができます。個々のサイトを狙い撃ちするよりも、共通のCMSを標的にしたほうが効率が高いため、WordPressが狙われやすいのです。
もう一つの要因はオープンソースであること。ソースコードが公開されているため、開発者は透明性のある環境で開発や改善を進められます。一方で、攻撃者もソースコードを読んで脆弱性を探せるという裏返しがあります。ファイル構成やディレクトリの命名規則が標準化されている点も、攻撃の足がかりになりやすい要素です。
加えて、WordPressは専門知識がなくても扱えるCMSとして普及しています。デフォルト設定のまま運用しているサイト、更新が放置されているサイト、推測しやすいパスワードが設定されたサイトが数多く存在し、攻撃者はこうした「手薄なサイト」を自動ツールで大量にスキャンしています。
攻撃を受けるとどうなるか
WordPressサイトへの攻撃は、見た目が変わるだけにとどまりません。実際に報告されている被害パターンを見ると、影響範囲の広さがわかります。
- サイトの改ざん
- 個人情報の漏えい
- スパムメールの踏み台
- フィッシング詐欺ページの設置
- 他サイトへの攻撃の中継点
サイトの改ざんは最もわかりやすい被害です。企業サイトのトップページが書き換えられると、訪問者に「管理されていないサイト」という印象を与え、信頼を大きく損ないます。取引先からの指摘で初めて気づくケースも少なくありません。
個人情報の漏えいは法的責任にも直結します。問い合わせフォームや会員登録で取得したメールアドレス、氏名、住所などが流出すると、個人情報保護法に基づく報告義務が発生し、損害賠償請求に発展する可能性もあります。
スパムメールの踏み台にされるケースでは、サイト運営者が気づかないまま自社サーバーから大量の迷惑メールが送信されます。結果として自社ドメインがブラックリストに登録され、正規のメール(見積もり返信や注文確認など)まで届かなくなる事態に陥ります。
フィッシング詐欺では、サイト内に偽のログインページや決済ページが密かに設置されます。ECサイトを運営している場合は特にリスクが高く、顧客のクレジットカード情報が盗まれる被害につながります。
脆弱性はどこに潜んでいるか
攻撃者がWordPressサイトに侵入する経路は、大きく3つに分かれます。
- WordPress本体(コア)の脆弱性
- WordPress本体にセキュリティ上の欠陥が見つかるケース。開発チームが迅速に修正版をリリースするため、アップデートを速やかに適用すれば対処できる。放置期間が長いほど攻撃を受けるリスクが高まる
- プラグインやテーマの脆弱性
- 最も攻撃に利用されやすい経路。プラグインやテーマは個々の開発者が管理しているため、セキュリティへの配慮にばらつきがある。更新が止まったプラグインは特に危険で、既知の脆弱性が放置されたまま使い続けているサイトが少なくない
- 設定ミスによる脆弱性
- 管理画面のパスワードが単純、ユーザー権限が全員「管理者」、不要なプラグインが有効なまま放置されているなど、運用上の設定不備が侵入口になるケース。ソフトウェアに問題がなくても、設定一つで攻撃が成功してしまう
プラグインの脆弱性は全体の半数以上を占めるとされています。「便利だからとりあえず入れた」プラグインが、サイトの致命的な弱点になっている可能性があります。
技術面で確認すべきセキュリティチェックポイント
デザインが整っていても、コンテンツが充実していても、技術的な土台に穴があれば攻撃者の侵入を許してしまいます。サーバー環境からWordPressの設定、アクセス制限まで、技術面のチェックポイントを順に見ていきます。
サーバー環境の安全性
WordPressのセキュリティは、その下にあるサーバー環境に大きく依存します。WordPress側でどれだけ対策を施しても、サーバー自体に問題があれば効果は限定的です。
レンタルサーバーを選ぶ際は、以下のセキュリティ機能が揃っているかを確認してください。
- WAF(Web Application Firewall)の標準搭載
- 自動バックアップ機能
- 無料SSL証明書の提供
- 不正アクセス監視機能
エックスサーバーやConoHa WINGなど、国内の主要なレンタルサーバーはこれらの機能を標準で備えています。サーバー選定の段階でセキュリティの土台が決まるため、価格だけでなくセキュリティ機能の充実度も判断基準に含めてください。
SSL化(HTTPS化)の確認も欠かせません。ブラウザのアドレスバーでURLが https:// で始まり、鍵マークが表示されていれば対応済みです。http:// のまま運用しているサイトでは、通信内容が暗号化されず、ログイン情報やフォームの入力内容が第三者に盗聴されるリスクがあります。GoogleもHTTPSをランキング要因の一つとしているため、SEOの観点からも対応は必須です。
WordPress本体の設定を見直す
WordPressをインストールした直後のデフォルト設定は、使いやすさを優先した状態です。セキュリティの観点では不十分な箇所があるため、初期設定のまま放置しないようにしてください。
管理画面のユーザー名とパスワード
管理画面のログイン情報は、サイトへの入り口そのものです。ユーザー名はWordPressのデフォルトである「admin」から必ず変更してください。攻撃ツールは「admin」を前提にパスワードの総当たりを仕掛けてきます。
パスワードは英大文字、英小文字、数字、記号を組み合わせた12文字以上が推奨されます。「会社名+設立年」のような推測しやすい組み合わせは避けてください。WordPressの管理画面にはパスワード強度のインジケーターが表示されるため、「強力」と判定されるパスワードを設定します。
WordPress上の「ニックネーム」と「ユーザー名」は別々の値に設定することも忘れずに。デフォルトでは投稿者名にユーザー名が表示されるため、そのままだとログインIDが公開されている状態になります。
ユーザー権限の見直し
WordPressには「管理者」「編集者」「投稿者」「寄稿者」「購読者」の5つの権限レベルがあります。管理者権限では、プラグインのインストールやテーマの変更、ユーザー管理など、サイト全体に影響する操作が可能です。
全員に管理者権限を付与していると、アカウントが一つ乗っ取られただけでサイト全体が危険にさらされます。記事の投稿だけを行うスタッフには「投稿者」、記事の編集と公開を行う担当者には「編集者」というように、業務に必要な最小限の権限を割り当ててください。
不要なプラグインとテーマの削除
使っていないプラグインやテーマは「無効化」ではなく「削除」してください。無効化しただけではファイルがサーバー上に残っており、脆弱性を突かれる可能性があります。
プラグインの棚卸しは半年に一度を目安に実施します。確認するポイントは以下の3つです。
- 最後に更新されたのはいつか(1年以上更新がないプラグインは要注意)
- 現在のWordPressバージョンとの互換性があるか
- 実際にサイトで使用している機能か
これらに該当しないプラグインは、代替手段を検討したうえで削除してください。
アクセス制限とセキュリティツール
WordPress管理画面(wp-admin)は、攻撃者が最初にアクセスを試みる場所です。ログインページへの到達自体を制限するだけで、攻撃の大半を防げます。
- 管理画面へのアクセス制限
- Basic認証を追加して二重のログイン壁を設けるか、特定のIPアドレスからのみアクセスを許可する設定が有効。SiteGuard WP Pluginを使えば、ログインページのURLを標準の /wp-login.php から任意のURLに変更でき、攻撃ツールがログインページ自体を発見できなくなる
- ログイン試行回数の制限
- ブルートフォース攻撃(パスワードの総当たり攻撃)への対策。一定回数ログインに失敗したIPアドレスを一時的にブロックする。Limit Login Attempts Reloadedなどのプラグインで導入できる
- bot対策ツールの導入
- reCAPTCHAやCloudflare Turnstileをログインページやコメントフォームに設置することで、自動化された不正アクセスを遮断できる。人間のユーザーには影響を与えず、botだけを排除する仕組み
セキュリティプラグインの導入も有効な手段です。代表的なプラグインとして、SiteGuard WP Plugin、Wordfence Security、All In One WP Security & Firewallがあります。不正アクセスの監視、ファイル改ざんの検知、ファイアウォール機能など、複数の防御策を一括で提供してくれます。
ただし、セキュリティプラグインを3つも4つも同時に導入すると、サイトの表示速度が低下したり、プラグイン同士が干渉したりする原因になります。メインのセキュリティプラグインは1つに絞り、足りない機能だけを個別のプラグインで補う構成にしてください。
日常の運用管理と緊急時への備え
セキュリティ対策は「一度設定して終わり」ではなく、日々の運用で維持するものです。技術面の設定が万全でも、更新を怠ればそこから穴が開きます。
アップデートの実施
WordPress本体、プラグイン、テーマのアップデートは、セキュリティ対策のなかで最も基本的かつ効果が高い施策です。脆弱性が公開されてから攻撃が始まるまでの時間は年々短くなっており、アップデートの通知が表示されたら数日以内に対応する習慣をつけてください。
ただし、アップデートには「既存機能との互換性が崩れる」リスクも伴います。特にメジャーアップデート(バージョン番号の先頭が変わる更新)では、テーマやプラグインが正常に動作しなくなるケースがあります。安全にアップデートを進める手順は以下のとおりです。
- アップデート前にバックアップを取得する
- ステージング環境(テスト環境)があれば先に動作確認する
- 問題がなければ本番環境に適用する
ステージング環境を用意できない場合は、アクセスの少ない時間帯にアップデートを行い、直後にサイトの主要ページを目視で確認します。
バックアップの取得と復元テスト
不正アクセスや操作ミスでサイトが壊れた場合、バックアップがなければ復旧できません。バックアップはWordPressの「データベース」と「ファイル」の両方を対象にする必要があります。
- データベース
- 記事の本文、固定ページの内容、コメント、各種設定情報が保存されている。WordPressの「中身」にあたる部分
- ファイル
- テーマファイル、プラグインファイル、アップロードした画像や動画など。WordPressの「見た目」と「機能」を構成する部分
多くのレンタルサーバーには自動バックアップ機能が備わっています。エックスサーバーであれば過去14日分のデータが自動保存され、管理画面から復元できます。自動バックアップに加えて、UpdraftPlusなどのプラグインで週1回の手動バックアップを設定しておくと、サーバー障害が発生した場合にも備えられます。
バックアップの保存先は、サーバーと同じ場所だけでは不十分です。サーバー自体がダウンした場合にバックアップごと失われます。Google DriveやDropboxなど外部のクラウドストレージにも保存先を分散させてください。
見落とされがちなのが「復元テスト」です。バックアップを取得していても、実際に復元できなければ意味がありません。半年に一度程度、テスト環境でバックアップからの復元を試し、手順と所要時間を確認しておくと、緊急時に慌てずに対応できます。
監視と診断の体制づくり
セキュリティプラグインを導入していれば、不正アクセスの試行やファイルの改ざんを検知した際に管理者へ通知が届きます。Wordfence Securityはメール通知に加えて、ダッシュボード上でリアルタイムのトラフィック状況を確認する機能も備えています。
サーバーのアクセスログも定期的に確認してください。短時間に同一IPアドレスから大量のアクセスが発生している場合や、存在しないURLに対するリクエストが繰り返されている場合は、攻撃の兆候です。
外部の診断ツールを使った定期的なチェックも有効です。
- WPScans.com
- URLを入力するだけでWordPressの脆弱性を無料でスキャンできる。プラグインやテーマの既知の脆弱性も検出対象に含まれる
- Sucuri SiteCheck
- マルウェアの有無、ブラックリスト登録の確認、既知の脆弱性をまとめてチェックできる無料ツール
- WPdoctor
- 日本語対応のWordPressセキュリティ診断サービス。日本国内のサイト向けに特化した診断結果を提供する
四半期に一度はこれらのツールでサイトをチェックし、新たな脆弱性が見つかっていないかを確認する習慣をつけてください。
チェック結果を改善につなげる
チェックで課題が見つかったら、影響度と対応のしやすさを基準に優先順位をつけます。すべてを一度に解決しようとするのではなく、「放置した場合のリスクが高く、比較的少ない工数で対処できるもの」から着手するのが現実的です。
たとえば「管理画面のパスワードが弱い」「不要なプラグインが10個以上残っている」などは、今日中にでも改善できます。一方、サーバーの移行やWAFの導入には計画的な準備が必要です。
自社での対応が難しい場合は、制作会社やセキュリティ会社への依頼を検討してください。その際、チェックで得た情報を具体的に伝えると、提案や見積もりの精度が上がります。
- 「WPScans.comで〇〇の脆弱性が検出された」
- 「管理画面のアクセス制限が設定されていない」
- 「プラグインの更新が半年以上止まっている」
このように客観的な事実を伝えることで、業者側も対策の範囲と費用を見積もりやすくなり、曖昧な提案を避けられます。
まとめ
WordPressのセキュリティ対策は、「基礎知識の把握」「技術面の設定」「日常の運用管理」の3層で成り立っています。技術面の設定だけに注力しても、日々のアップデートやバックアップを怠れば効果は半減します。逆に、運用だけを頑張っても、サーバー環境やWordPressの設定に穴があれば攻撃を防ぎきれません。
3つの層をバランスよく整備することで、サイト全体のセキュリティ水準を引き上げられます。冒頭のチェックリストで自社サイトの現状を一通り確認し、「どこに課題があるのか」を具体的に把握するところから始めてください。
合同会社ギャラクタスでは、WordPressサイトのセキュリティ診断から、脆弱性の修正、サーバー環境の見直し、保守運用体制の構築まで対応しています。「チェックしてみたが対処の仕方がわからない」「チェック自体を専門家に任せたい」という場合は、無料相談からお問い合わせください。チェック結果をもとに、優先度の高い対策と概算費用をご案内します。
