はじめに
WordPress は世界中で広く利用されている CMSであるがゆえに、攻撃者の標的にもなりやすいプラットフォームです。
「自分のサイトは小規模だから狙われない」と油断していると、知らない間に改ざんや不正アクセスの被害に遭ってしまうことも。。
本記事では、初心者でもすぐに実践できる WordPressセキュリティ強化の方法を、実例・チェックリスト付きで解説します。
セキュリティ対策の基本
WordPress・テーマ・プラグインを常に最新化
- アップデートは脆弱性修正を含むことが多い
- 自動更新を有効にすることでリスクを低減可能
- 更新前にはバックアップを取ることが必須
失敗談:更新を怠っていたサイトが既知の脆弱性を突かれて改ざんされ、検索結果から除外されてしまったケースもあります。
強力なパスワードと二要素認証
- 12文字以上・英数字記号混在のパスワードを使用
- プラグイン「Two Factor」や「Google Authenticator」で 2FA を導入
ログイン試行制限と通知
- 「Limit Login Attempts Reloaded」で総当たり攻撃を防ぐ
- 不正ログインの試行をメールで通知
管理画面の防御
ログイン URL の変更
- デフォルトの
/wp-adminは攻撃の標的 - 「WPS Hide Login」で独自 URL に変更
管理者アカウントの分離
- 投稿用は「編集者」権限アカウントを作成
- 管理作業用は「管理者」権限で使い分ける
ファイル・サーバー側の対策
ファイル権限の見直し
wp-config.phpを 600 に設定wp-content/uploadsは書き込み可にするが実行不可に設定
SSL(HTTPS)の導入
- 無料の Let’s Encrypt でも可
- 常時 SSL 化で盗聴防止と SEO 効果も期待できる
セキュリティチェックリスト ✅
- WordPress・テーマ・プラグインを常に最新化する
- 二要素認証を導入する
- ログイン試行回数を制限する
- 管理者と投稿用アカウントを分ける
- wp-config.php のパーミッションを強化する
- 常時 SSL 化する
- 定期的にバックアップを取得する
まとめ
WordPressサイトのセキュリティは「一度やって終わり」ではなく、継続的に見直していく必要があります。
特にアップデートとバックアップは最重要ポイント。
この記事のチェックリストを実践すれば、初心者でも堅牢な環境を構築できます。
コメント