News / Blog

WordPressサイト制作 公開日: 2022.05.11

WordPressを使ってブログやWEBサイトを作ったけど、WordPressのセキュリティ対策は必要か知りたい方やWordPressのセキュリティ対策プラグインは何を選べば良いのかがわからない方に向けての記事になります。

「WordPressのセキュリティ対策は必要か知りたい。」
「WordPressのセキュリティ対策プラグインは何を選べば良いのかがわからない。」
「おすすめのWordPressのセキュリティ対策が知りたい。」

というお悩みを持った方も多いのではないでしょうか。

今回は、冒頭で今すぐできるWordPressセキュリティ基本対策の紹介をし、後半部分よりWordPressセキュリティ対策プラグインについてまとめました。

こちらの記事を読めば、WordPressにおけるセキュリティ対策の方法が分かります。

本記事の調査日は2022年3月25日現在の情報のため、最新情報は各公式サイトよりご確認をお願いいたします。

目次

今すぐできるWordPressセキュリティ基本対策4選


まずは、今すぐできるWordPressセキュリティ基本対策を解説します。

こちらを最低限実施することで、WordPressセキュリティの基本的な対策は網羅できますので、まだ実施されていない方はこちらの記事を参考に行ってみてください。

1.【重要】ログインパスワードの見直し

まずは、ログインパスワードの見直しを行いましょう。

こちらは「そんな基本的なことでセキュリティ対策ができるのか?」と疑問を持つ方もいると思います。

ログインパスワードは、英字(大文字)、英字(小文字)、数字、記号を混ぜたパスワードにして、複雑な文字列にすればするほど、セキュリティ対策が高まります。

文字列はログインパスワード文字数上限に近い長めのものに設定することを心掛けましょう。

「日本人のパスワードランキング2021」によると、下記のパスワードは漏洩・セキュリティが破られやすいと言えます。

ランキングを見ていても、予測しやすいパスワードが多く、これらのパスワードを使っている方はすぐに変更することをおすすめいたします。

引用:株式会社ソリトンシステムズ「日本人のパスワードランキング2021」>

ランキング順位日本人の漏洩パスワード
2021年2020年NordPass 2021年
1位123456123456password
2位passwordpassword123456
3位000000asdfghjk123456789
4位1qaz2wsx1234567812345678
5位123456781234567891qaz2wsx
6位123456789asdasd456member
7位111111111111asdfghjk
8位sakura1qaz2wsx12345
9位dropbox19980621password1
10位123451231231234567890
11位1234567jza90supraasdfghjkl
12位1234567890sakuraasdf1234
13位qwertyaaaaaaqwertyuiop
14位0020121204qwerty
15位zxcvbnm20121207sakura
16位asdfghjklasdf12341q2w3e4r
17位qwertyuiopzxcvbnmqwer1234
18位adgjmptwasdfghjklabcd1234
19位123123qwertyuiopzaq12wsx
20位1212121234567890qwertyui
21位1q2w3e4rqazwsxtakahiro
22位abc123aaaaaaaa1234567
23位1aa123456987654321
24位1qazxsw220121209zxcvbnm
25位aaaaaa987654321fujitvpass
26位252525qwertybaseball
27位zaq12wsx1122331234qwer
28位19771202qwer1234doraemon
29位qazwsx12121212341234
30位1234qweralive7931qazwsxedc
31位258025801q2w3e4rmasahiro
32位abcd1234asdfghqazwsx
33位zinch111111111qazxsw2
34位g_czechout1234567himawari
35位asdf1234qwertyuinekoneko
36位112233takahirohiroyuki
37位7777777zaq12wsxkuroneko
38位12341234qwerlovelove
39位takahirouchipassabc123
40位qwertqazwsxedciloveyou
41位maimai232323112233
42位daisukinekonekoasdfasdf
43位hogehogea1234567takayuki
44位bananamasahiro11223344
45位doraemon4649464988888888
46位lovelove11922960nikoniko
47位iloveyounakamurayamamoto
48位nakamurazxcvbnyuantuo
49位arashimakotonakamura
50位himawarihuxinxinisme

パスワード生成におすすめのツール

弊社にて作成したパスワード生成ツールをご利用ください。
生成ボタンをクリックすると自動作成でパスワードが生成されます。
セキュリティを高めるための安全なパスワードを生成したい方におすすめです。

2.【重要】テーマ/プラグインを最新化

次に、導入しているテーマやプラグインは最新化しましょう。

テーマやプラグインは最新版にアップデートすることで脆弱性をカバーしているので、長期間最新化していないと脆弱性がカバーできずセキュリティ対策ができなくなってしまいます。

テーマやプラグインは定期的にアップデートがないか、確認するようにしましょう。

3.【重要】利用していないテーマ/プラグインは削除

次に、利用していないテーマやプラグインは削除しましょう。

利用していないテーマやプラグインを無効化していても攻撃の踏み台に利用されてしまうこともあります。

テーマやプラグインの管理は、WordPressの管理画面上から行えますので、リスク低減のためにも使っていないものは削除する癖をつけておくと良いでしょう。

4.レンタルサーバーのセキュリティ対策機能を利用する

次に、レンタルサーバーのセキュリティ対策機能を利用する方法をお伝えします。

レンタルサーバーによっては、セキュリティ対策機能がついているものもあります。

弊社でおすすめしているXServerはもちろん、カラフルボックス、mixhost、さくらのレンタルサーバ、ロリポップ、ConoHa WINGなどであればセキュリティ対策機能が備わっています。

レンタルサーバーのセキュリティ対策機能を利用するメリットとして、専門的な知識がなくてもサーバーパネル上から簡単に設定が可能です。

XServerのセキュリティ対策機能の設定方法

5.サイトをSSL(https)化する

次におすすめなのは、サイトをSSL(https)対応させることです。

SSL(Secure Socket Layer)とは、ネットワーク上の通信内容を暗号化することでデータの盗聴や改ざん・なりすましを防ぐ技術です。

信頼された第三者機関「認証局」の審査を経て発行されたSSLサーバ証明書をレンタルサーバーにインストールすることで、WebサイトをSSL化(https化)できます。

Googleは常時SSLを推奨していて、SSL非対応のWebサイトにはChromeが警告を出し、安全の保証がないことを了承しないと閲覧できなくなっており、信頼性の観点で最重要なセキュリティ対策です。

6.さらにセキュリティ強化したいときはプラグインを利用する

さらにセキュリティ強化したいときはWordPressのプラグインを利用するのもおすすめです。

こちらの方法・おすすめのWordPressのセキュリティプラグインに関しては、後ほど紹介しますのでそちらを参考にしてみてください。

7.【応用】もしものためにバックアップを取る

最悪の場合、万が一サイト内容が改ざんされてしまったときでも、バックアップを取っていれば改ざん前の状態(被害を受ける前の状態)に戻せることがあります。

WordPressのバックアップを取るためにはプラグインを入れたり設定が必要な場合もあり少し複雑な作業になります。

セキュリティ対策以外にもWordPressアップデート時やカスタマイズした際のトラブルの時にもバックアップがあれば復旧が簡単になるメリットがあります。

WordPressセキュリティ対策プラグイン2選

下記より、WordPressセキュリティ対策プラグインの紹介となります。

紹介するプラグインはどれも基本的なプラグインになりますので、導入されていない方はこれを機に導入しておくと良いでしょう。

XO Security(ログインセキュリティ)

XO Securityとは?

WordPressプラグイン「XO Security」は、ログインセキュリティ対策プラグインです。

不正ログイン対策などを対策できるので、必ず入れておきたい重要なプラグインとなります。

こちらのプラグインを導入されていない方は、これを機に導入しておくと良いでしょう。

WordPressプラグイン「XO Security」のインストール・有効化

まずは「XO Security」をインストール・有効化の方法を説明します。

「プラグイン」→「新規追加」から「XO Security」を検索します。

「今すぐインストール」した後に「有効化」します。

「XO Security」を設定する方法

左メニューの「設定」→「XO Security」をクリックして、「XO Security 設定」を開きます。

ログイン設定

タブメニューの「ログイン」をクリックして、「ログイン設定」画面を開きます。

①試行回数制限
  1. 試行回数制限は同一IPからのログイン試行回数を制限します。

    まずログイン試行回数を「試行回数制限なし」「1時間の間に」「12時間の間に」「24時間の間に」「48時間の間に」の選択肢の中から選びます。

    その後許可するリトライ数を設定します。

    弊社推奨の設定は、ログイン試行回数は「12時間の間に」以上をおすすめいたします。
    例えば、「12時間の間に」3回までリトライを許可するとした場合、3回以上ログインを失敗すると12時間同一IPからログインできなくなります。

②ブロック時応答遅延
  1. ログインをブロックした時、応答までの遅延時間を設定します。

    弊社推奨の設定は、最大の「120秒」をおすすめいたします。

③失敗時の応答遅延
  1. ログインに失敗した時、応答までの遅延時間を設定します。

    弊社推奨の設定は、最大の「10秒」をおすすめいたします。

④ログインページの変更
  1. WordPressログイン時のURLを変更できます。

    通常WordPressのログイン画面はサイトのアドレス+「/wp-login.php」を付ければ誰でもアクセスできてしまう初期設定となっています。

    セキュリティ上、かなりまずいため、ログインページのURLを自由にカスタマイズできるのがこちらの機能です。

注意点としてはこの文字列がわからなくなると、ログイン画面にたどり着けなくなってしまいます。

ログインページの変更を設定した場合、必ず変更したログインページのURLをブックマークしておいてください。

ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。

⑤ログインIDの種類
  1. ログインする時のIDの種類を選択できます。

    「ユーザー名またはメールアドレス」「ユーザー名のみ」「メールアドレスのみ」を選択できます。

    WordPressに使用しているメールアドレスを知っている方が多い場合には、ユーザー名のみに設定することをおすすめいたします。

⑥ログイン言語設定
  1. ログインを許可する言語を設定できますが、こちらは PHP(プログラミングコード)の編集が必要になります。

    セキュリティ対策の重要度としては他の項目よりも低いため、わざわざPHPの編集をする必要はないと思います。

⑦ログイン失敗した時のエラーメッセージを変更します。
  1. 通常ログイン失敗した時は、IDが違います・パスワードが違いますといったログイン失敗理由が表示されます。

    デフォルトの状態だとログイン失敗時に「パスワードが違います」を表示されてしまいます。

    「パスワードが違う」=ユーザー名やメールアドレスは合っていると攻撃者に推測されるので弊社推奨の設定は、「簡素化」をおすすめいたします。

ログインページの変更を設定した場合、必ず変更したログインページのURLをブックマークしておいてください。

ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。

各種設定が完了したら必ず設定画面下にある「変更を保存」をクリックします。
タブを切り替える前に「変更を保存」しないと、変更内容が破棄されるため注意してください。

WordPressプラグイン「XO Security」のログインフォーム設定

⑧CAPTCHA
  1. ログインCAPTCHAを設定できます。

    こちらを設定するとログインする際にひらがなや英数字の画像が表示され、表示されたテキストの入力が求められます。

    もしもオンにするのであれば海外ロボットが対応しにくい「ひらがな」を選択することをおすすめいたします。

⑨パスワードリセットリンク
  1. ログイン画面にある、パスワードを忘れた時のリセットリンクを表示するかしないかの設定ができます。

    パスワードを忘れた時のリカバリー手段にリンク表示が欲しい方はオンにしておくと良いでしょう。

⑩サイトへ移動リンク
  1. ログイン画面にある、サイトTOPページへのリンクを表示するかしないかの設定ができます。

⑪ログインアラート
  1. WordPressにログインした時にメールでログインがあったことを知らせてくれる機能です。

    自分以外のログインに気づきたいと心配な方は有効化しても良いでしょう。

「SiteGuard WP Plugin」を導入していれば、「Limit Login Attempts」が不要になります。

「Limit Login Attempts」は、ログイン試行回数制限プラグインです。

プラグインを減らせば、それだけリスクが低減され、セキュリティ対策が高まるだけでなくサイト表示速度も速くなるためSEO対策にもなりますよ。

コメント設定

タブメニューの「コメント」をクリックして、「コメント設定」画面を開きます。

①CAPTCHA
  1. オンにする場合は、CAPTCHAを「ひらがな」に設定して[変更を保存]をクリックします。

    弊社で運用しているサイトは、スパムコメントが大量に来ない場合は無効にしています。

②スパム保護フィルター
  1. 日本語を含まないコメントの場合は、コメントを拒否します。

    海外のコメントを求めていないサイトの場合は有効化しても良いでしょう。

③ボット保護チェックボックス
  1. 「私はロボットではありません」と記載されたチェックボックスが表示されます。

    人とロボットプログラムの挙動を判別し、不審な動きをした場合ボットと見なされます。

「XO Security」を導入していれば、「Akismet Spam Protection」が不要になります。

「Akismet Spam Protection」は、スパム対策プラグインです。

プラグインを減らせば、それだけリスクが低減され、セキュリティ対策が高まるだけでなくサイト表示速度も速くなるためSEO対策にもなりますよ。

XML-RPC 設定

タブメニューの「XML-RPC」をクリックして、「XML-RPC設定」画面を開きます。

①XML-RPCの無効化
  1. XML-RPC無効化をONに変更して「変更を保存」をクリックします。

    XML-RPCとは、プログラム開発に利用する通信方式(プロトコル)の一種です。

    ブルートフォースアタック(総当たり攻撃)などの攻撃に悪用されることがあります。

    ただし、XML-RPCを無効にすると、プラグインが動かなくなってしまうことがありますので注意が必要です。

②XML-RPCピンバックの無効化
  1. XML-RPCピンバックの無効化します。これによりDDoS攻撃(過負荷攻撃)対策ができます。

    上記の通り、XML-RPCを無効にすると、プラグインが動かなくなってしまうことがあるため、DDoS攻撃(過負荷攻撃)に悪用されるXML-RPCピンバックだけ無効化することをおすすめします。

REST API 設定

タブメニューの「REST API」をクリックして、「REST API設定」画面を開きます。

①REST APIの無効化
  1. REST API の無効化を設定して「変更を保存」をクリックします。

    REST APIとは、プログラム開発に利用する通信方式(プロトコル)の一種です。

    ただし、REST APIは「ContactForm7」や「JetPack」などよくWordPressユーザーに使用されるプラグインでも使用されているので、闇雲に無効化するとプラグインが動作しなくなる可能性があります。

②ユーザー名のみ隠すため以下の2つを無効化にすることをおすすめいたします。
  1. /wp/v2/users
    /wp/v2/users/(?P[\d]+)

    また、WordPress(ワードプレス)の脆弱性を悪用されないように、定期的にアップデート(更新)して最新のバージョンに保つこともセキュリティ対策においては重要です。

③REST API URLの変更
  1. REST API URLの変更ができます。

秘匿設定

タブメニューの「秘匿」をクリックして、「秘匿設定」画面を開きます。

①投稿者スラッグの編集
  1. 投稿者スラッグの編集をONにすると、投稿者スラッグの編集ができます。

    デフォルトだと設定(ユーザー名)がスラッグになっているので変更します。

    左メニューの「ユーザー」→「プロフィール」もしくは右上のアイコンから、「プロフィール設定」画面を開きます。

    ページ下部の「投稿者スラッグ」をユーザー名以外に変更して「プロフィールを更新」をクリックします。

    投稿者スラッグを「空白」にしてしまうと、ユーザー名(ログインID)が設定されるため注意してください。

②投稿者アーカイブの無効化
  1. 投稿者アーカイブの無効化をONにすると、投稿者アーカイブの無効化ができます。

    必要があれば投稿者アーカイブを無効化してください。

「XO Security」を導入していれば、プラグイン「Edit Autor Slug」が不要になります。

「Edit Autor Slug」は、WordPressサイトのユーザー名の漏洩を未然に防ぐプラグインです。

プラグインを減らせば、それだけリスクが低減され、セキュリティ対策が高まるだけでなくサイト表示速度も速くなるためSEO対策にもなりますよ。

環境設定

タブメニューの「環境設定」をクリックして、「環境設定」画面を開きます。

「環境設定」画面は、デフォルト設定(自動)のままで大丈夫です。

以上で、セキュリティプラグイン「XO Security」の設定は完了です。

よくある質問(Q&A)

Q:CAPTCHAとは?

A:CAPTCHAとは、コンピューターと人間を区別するためのものです。

画像認証や文字認証で読みにくい画像を識別させます。

Q:プラグインをインストールしようとしたら、初めから「有効化」と表示されている

A:
ダウンロードしたいプラグインを検索して、「今すぐインストール」と表示されない場合、すでにインストールされています。

「有効化」をクリックすれば、すぐにプラグインの利用を開始できます。

BBQ Firewall(ファイアウォール)

WordPressプラグイン「BBQ Firewall」は、ファイアウォールによるセキュリティ対策プラグインです。

SQLインジェクション(データベース不正操作)とXSS(ページ脆弱性攻撃)などを対策できるので、必ず入れておきたい重要なプラグインとなります。

こちらのプラグインを導入されていない方は、これを機に導入しておくと良いでしょう。

WordPressプラグイン「BBQ Firewall」のインストール・有効化

まずは「BBQ Firewall」をインストール・有効化の方法を説明します。

「プラグイン」→「新規追加」から「BBQ Firewall」を検索します。

「今すぐインストール」した後に「有効化」します。

「BBQ Firewall」はインストール・有効化しただけで利用できますので、複雑な詳細設定は不要です。

以上で、「BBQ Firewall」のインストール・有効化は完了となります。

よくある質問(Q&A)

Q:プラグインをインストールしようとしたら、初めから「有効化」と表示されている

A:
ダウンロードしたいプラグインを検索して、「今すぐインストール」と表示されない場合、すでにインストールされています。

「有効化」をクリックすれば、すぐにプラグインの利用を開始できます。

【補足】WordPressセキュリティの重要性について

なぜWordPressが狙われやすい?

なぜWordPressが狙われやすいのでしょうか?

WordPressが狙われやすい理由は、利用者が多いからです。

全世界のCMSシェア割合は、WordPressが6割以上という高いシェアで、圧倒的No.1を誇っています。

つまり攻撃側は、世界で一番利用者が多いWordPressを狙えば効率が良いと考えるため、WordPressにおけるセキュリティ対策は重要と言えます。

実際に攻撃されるとどのような被害を受けるの?

実際に攻撃されるとどのような被害を受けるのでしょうか。

「WordPressサイトの改ざん」や「攻撃の踏み台にされ、自分のブログから大量の迷惑メールが送信される」ことが実際に起きています。

そのため、WordPressにおけるセキュリティ対策は重要と言えます。

この記事に記載されていることを最低限実施することで、WordPressセキュリティの基本的な対策は網羅できますので、まだ実施されていない方はこちらの記事を参考に行ってみてください。

セキュリティ対策プラグインの利用をおすすめする理由

セキュリティ対策プラグインを利用することによって、以下のメリットがあります。

セキュリティ対策プラグインの利用をおすすめする理由
  1. SQLインジェクション(データベース不正操作)、XSS(ページ脆弱性攻撃)、不正ログインなどを対策できる
  2. 必要なプラグインを絞ることで不要なプラグインを削除できる

必ず入れておきたい重要なプラグインとなります。

こちらのプラグインを導入されていない方は、これを機に導入しておくと良いでしょう。

【まとめ】今すぐできるWordPressセキュリティ基本対策4選&セキュリティ対策プラグイン2選

今回は、今すぐできるWordPressセキュリティ基本対策4選&セキュリティ対策プラグイン2選について徹底的に解説しました。

今すぐできるWordPressセキュリティ基本対策を最低限実施することで、WordPressセキュリティの基本的な対策は網羅できます。

まだ実施されていない方はこちらの記事を参考に行ってみてください。

また後半で紹介したWordPressセキュリティ対策プラグインはどれも最低限必要と言われているプラグインになりますので、導入されていない方はこれを機に導入しておくと良いでしょう。

今すぐできるWordPressセキュリティ基本対策4選

今すぐできるWordPressセキュリティ基本対策一覧

  • 1.【重要】ログインパスワードの見直し
  • 2.【重要】テーマ/プラグインを最新化
  • 3.【重要】利用していないテーマ/プラグインは削除
  • 4.レンタルサーバーのセキュリティ対策機能を利用する
  • 5.サイトをSSL(https)化する
  • 6.【応用】もしものためにバックアップを取る
  • セキュリティ対策プラグイン2選

    セキュリティ対策プラグイン一覧

  • 1.XO Security(ログインセキュリティ)
  • 2.BBQ Firewall(ファイアウォール)
  • 是非こちらの記事を参考に、WordPressにおけるセキュリティ対策を行ってみてください。

    WordPressやホームページについてお困りの方

    WordPressやホームページについてお困りの方はお気軽にご相談ください。

    株式会社SOCIOLAでは、WordPressのバージョンアップや保守、ホームページ制作/運用を担当しております。
    WEB関係で困っている事を解決させていただきます。

    この記事を書いた人

    株式会社SOCIOLA

    株式会社SOCIOLAは、ホームページ制作/運用、WEBサイトリニューアル、WordPress制作、WordPressカスタマイズ、通販サイト制作、SEO対策、WEB広告など幅広くサービスを提供しています。 ニュース/ブログでは、ホームページに関連する最新情報やお役立ち情報をお届けいたします。