[PR] WordPress苦手主婦のためのWordPress専門コミュニティ「MasterPress®︎」詳細はこちら

WordPressセキュリティ対策!初心者も安心の5つの方法

読者さん
  • WordPressのセキュリティ対策は必要なの?」
  • 「セキュリティ対策は何したらいい?」

このような疑問を解決します!!

この記事では、ワードプレス初心者の方でもできる、WordPressブログのセキュリティ対策をご紹介します。

おそらくセキュリティ対策と聞いて、「難しそうだなぁ…」と思う方が多いです。だけど、やることは簡単なことなので誰でもできます!

ワードプレス初心者さんは、「ワードプレスを作ったばかりでアクセスもないから大丈夫!」と何もしない方が多いのですが、そういうサイトこそ狙われます!

なので、この記事を参考にしっかりと対策していきましょう!

サクッとすぐにWordPressのセキュリティ対策を知りたい方はこちら
> ワードプレスのセキュリティ対策5つ

YouTube動画の解説はこちら

WordPressのパスワード管理なら「1Password」

1Passwordは、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。

  • 1Password3年版1人用:12,800円▶️ 9,980円(22%OFF)
  • 1Password3年版ファミリー用:21,480円▶️ 16,980円(20%OFF)

※2024年9月29日まで

ソースネクスト経由で公式サイトよりお得に!!

WordPressセキュリティの重要性

まず最初にワードプレスのセキュリティの重要性をお伝えします。

そもそもワードプレスのセキュリティが重要な理由は

「ワードプレスが狙われやすいから(攻撃されやすいから)」

です。

こちらは、ウェブサイトセキュリティサービスを展開するSukuri社が発表した、全CMSのハッキング調査のデータです。全CMS中WordPressは90%を占めていたそうです。

画像引用元:ウェブサイトハックトレンドレポート2018

WordPressが狙われやすい理由

というのも、ワードプレスは世界中で使われているツールなので、利用者さんがめちゃくちゃ多いのです。

利用者が多いということは、攻撃する側からしたらシステムの弱いところを簡単に見つけ出せるので攻撃をしやすいのです。

考えてみると分かりますよね。利用者が多くなれば、いろんな使い方をしている人がいるので、セキュリティ対策をほとんどしていないような人が簡単に見つけ出せるということです。

なので、ワードプレスはハッカー(クラッカー)によく狙われるのです。

ハッカーは広義の意味ではコンピュータやネットワークに関する高度な知識や技術を持つ人々でしたが、細かく分類すると2種類に分けることができます。「ホワイトハットハッカー」と「ブラックハットハッカー」です。

ホワイトハットハッカーとはハッカーのうち、知識と技術を善良な目的に使用する人のことです。一方、ブラックハットハッカーとはハッカーのうち、知識と技術を不正な行為のために使用する人を指します。そして、このブラックハットハッカーを別名、クラッカーと呼びます。

引用元:パーソナルテクノロジースタッフ「ハッカーとクラッカーを知ろう」

このことから、ワードプレスのセキュリティに関しては、ワードプレスを使う方だったら作ったばかりとか関係なく対策をした方が良いのです。

【事例あり】どんな攻撃をされてどんな被害を受けるの?

実際に「ワードプレスが攻撃されたらどんな被害を受けるのか?」をご紹介します。

不正アクセスによるWordPress改ざん

ワードプレスの不正アクセスの被害はとても多いです。

「サイトに突然ログインができなくなった」「突然レンタルサーバーからサイト改ざんのメールが届いた」など…

このようなことを耳にしたことはありませんか?

これは、不正アクセスされてしまった場合に起こることです。

不正アクセスをされると、記事の書き換えをされたり、変な外部サイトに飛ばされたり、不正なファイルを埋め込まれたりします。

ちなみに、不正アクセスはどのような手口で行われるのかというと、WordPressのユーザーID、パスワードを破られて管理画面に入られてしまい、不正ファイルを埋め込まれるというパターンが多いようです。

わたしのところには過去にこのような相談があって対処したことがあります。

不正アクセスされ大量のスパムメール送信

ワードプレスの不正アクセス被害の別の事例です。

過去にとある企業で、Webサイトに不正アクセスされ、メール送信機能を悪用。大量のスパムメールを送信されたそうです。

大量のスパムメールは、自社のお客様に迷惑をかけてしまい、そして企業としての信頼を失ってしまいます。

これは企業だけの話ではなく個人の方でも、ワードプレスでお客様の情報を持っている方は、注意しておかないと迷惑をかけて信頼をなくすことになります。

ワードプレスのセキュリティ対策5つ

ワードプレスのセキュリティ対策5つはこちらです。

詳しく解説します。

①パスワードを複雑なモノにする

ワードプレスの不正ログインの1番の原因はここです!

ワードプレスのパスワードが単純な方は、不正ログインをされやすいです。

というのも、不正ログインは、無料で手に入れられるツールを使って大体予測できそうな文字、数字を何パターンも一瞬で組み合わせてパスワードを入手していきます。

ですので、単純なものにしておくと、ツールを使えば数分もかからずに洗い出されてしまうんです。

ワードプレスを守るには、まずパスワードは単純なものにするのはやめることが大事です。

パスワード変更は、すぐにできることなので、複雑なパスワードに変更をしておきましょう!!

ワードプレスのログインパスワードを変更する方法

STEP

ワードプレスのダッシュボードを開いて、左のメニューから「ユーザー」→「ユーザー一覧」をクリックします。

STEP

ユーザー一覧が開くので、そこからユーザーにマウスを持っていくと「編集」という項目が表示されます。クリックをしてください。

STEP

ユーザーページの下の方に画面をスクロールさせると、「新しいパスワードを設定」のボタンが表示されますのでクリックしてください。

STEP

クリックすると自動的にパスワードが入っています。このパスワードは、ワードプレスが作ってくれたパスワードなので、かなり複雑なものになっています。

このままワードプレスが作ってくれたパスワードを使っても良いですし、自分で書き換えても良いです。

パスワードを設定する時ですが、ワードプレスにはパスワード強度チェッカーが入っているので、「強力」と表示されるパスワードにされることをオススメします。

STEP

パスワードが入力できたら、画面の一番下までスクロールして「プロフィールを更新」をクリックしてください。

パスワードの変更は定期的に行いたいところです。ただ、頻繁に変更していると「パスワード管理が大変」と思われる方がいらっしゃると思います。

わたしは、1Passwordというパスワード管理システムを使ってパスワード管理をしています♪1Passwordは、おすすめのツールですよ!!

参考;パスワード管理アプリのおすすめは「1Password」ワードプレスなどのパスワードを安心安全に管理する方法

②WordPressテーマやプラグインは常に最新の状態にする

WordPressテーマやプラグインの更新通知が来たら、放置せずに最新の状態にしましょう!

テーマやプラグイン更新というのは、開発者さんがセキュリティ対策をしてくれてバージョンアップしてくれているんです。

だけど、更新せずにそのままにしていると、せっかくのセキュリティ対策も古いままです。

クラッカーみたいな悪い人たちは、このようなセキュリティが甘くなっているファイルを狙って攻撃をしてきます。

ですので、テーマやプラグインの更新は放置せずに、通知が来たら更新を行うようにしてください。

WordPressテーマやプラグインの更新は、以下の手順を参考にしながら行ってみてください。

※今回はプラグインを更新する手順で解説しますが、テーマも同様の手順で更新できます。

プラグインの更新方法

STEP

ダッシュボードを開いて「更新」をクリックします。

STEP

更新を開くと、更新しないといけないプラグインやWordPressテーマが表示されますので、更新したいプラグインにチェックを入れ「プラグインを更新」をクリックします。

複数のプラグインが表示されているときは、まとめてチェックを入れてプラグイン更新をしないで、一つずつ更新を行うようにした方が良いです。

万が一、プラグインを更新してワードプレスに不具合が起こった場合、まとめて更新していると、どのプラグインが原因だったのかを判断できないので、一つずつ更新をオススメしています。

③不要なWordPressテーマやプラグインは削除する

もし今、使っていないWordPressテーマやプラグインがある場合は削除しましょう!

よくプラグインで、「無効化」の状態で放置されている方がいるのですが、無効化にしていても攻撃をされてしまうことがあります。

WordPressテーマやプラグインの削除は、簡単に行えますので不要なものは削除するようにしてください。

不要なWordPressテーマを削除する方法

使ってないワードプレステーマは積極的に消すのが良いのですが、デフォルトで入っているテーマは一つだけ残しておくようにしてください!!

STEP

ダッシュボードの左側のメニューから「外観」→「テーマ」をクリックします。

STEP

テーマ一覧の画面が開いたら、削除したいテーマにマウスを合わせて「テーマの詳細」をクリックします。
※有効になっているテーマは削除できません。

STEP

テーマの詳細画面が表示されるので、右下にある「削除」をクリックします。

STEP

「本当にこのテーマを削除しますか?」とポップアップが表示されますので、「OK」をクリックしてください。

不要なプラグインを削除する方法

STEP

ダッシュボードの左側のメニューから「プラグイン」→「インストール済みプラグイン」をクリックします。

STEP

プラグインの一覧を開いたら、消したいプラグインを見つけて「無効化」をクリックします。
※以下の画像では「Advanced Editor Tools (旧名 TinyMCE Advanced)」のプラグインを削除します。

もうすでに無効化している状態だったら、ここはしなくて大丈夫です。

STEP

プラグインを無効化することができたら、「削除」が表示されますので、削除をクリックします。

STEP

プラグインの削除をクリックすると、以下のように確認画面が開きますので、「OK」をクリックします。

STEP

これでプラグインの削除ができました!!

不要なプラグインがあった場合は、積極的に削除するようにしましょう!!

④レンタルサーバーのセキュリティ対策機能を使う

使っているレンタルサーバーによっては、WordPressのセキュリティ対策機能が付いている場合があります。

ですので、レンタルサーバーにセキュリティ対策機能がついているのでしたら、使える機能はしっかりと活用していきましょう。

ちなみに、わたしが利用しているレンタルサーバーは「エックスサーバー」ですので、セキュリティ対策の機能が付いています。

【WordPressセキュリティ設定】

本機能は、ご利用のWordPressにおいて、各種ツールに対する国外IPアドレスからの接続を制限したり、パスワード総当り(ブルートフォースアタック)による第三者のログインを防止するなど、不正なアクセスに対するセキュリティを強化する機能です。

引用元:エックスサーバー公式マニュアル「WordPressセキュリティ設定」

エックスサーバーのセキュリティ機能は、デフォルト設定ですでに「有効」になっています。

なので、何も設定しなくても安心して利用できるようになっています。

このようにレンタルサーバーによっては、ワードプレスの不正アクセスなどに対するセキュリティ対策をしてくれる機能があるので、お使いのレンタルサーバーを確認してみてください!!

基本は、上記までのセキュリティ対策ができていたら十分なんですが、心配な方はさらにプラグインの導入を検討してください。

⑤セキュリティ対策用のプラグインを導入する

「より安全にワードプレスを使いたい」「セキュリティ対策を強化したい」などの場合は、セキュリティ対策のプラグインを導入してください。

ただし、セキュリティ対策プラグインを導入する際には注意点があります。

セキュリティ対策プラグインを導入するときの注意点
  • セキュリティ対策プラグインが、脆弱性だったり不具合を起こす場合があります。
  • WordPressテーマによっては合わないプラグインがあります。

ワードプレスのセキュリティ対策のプラグインは種類が多いので、おすすめのものをご紹介します。

セキュリティ強化

ワードプレスでは、ワードプレス本体やプラグインの脆弱性への攻撃、セキュリティ対策がされていないようなところへの攻撃などを受けやすいです。

悪意のあるアクセス対策
  • ブルートフォース対策:総当たり攻撃によるパスワードの割り出しをガード
  • 特定IPアドレスをブロック:特定のIPアドレスからのサイト閲覧をブロック
  • ファイアウォール:ネットワークとネットワークの間で不正なアクセスをブロックするためのシステム

上記のような悪意のあるアクセス対策ができるプラグインをご紹介します。

  • SiteGuard WP Plugin:管理ページとログインへの攻撃からの保護に特化したプラグイン
    PHP7.4にて不具合が発生するという報告が上がっているそうなので注意です。
  • All In One WP Security & Firewall:オールインワン セキュリティ (AIOS) で、Web サイトのログイン画面のURL変更・データベースプレフィックスの変更・悪意のあるアクセスをブロックなどの機能が使えるプラグイン
  • iThemes Security:ブルートフォースアタックから保護・特定IPアドレスをブロック・2段階認証・ログインURL変更・データベースプレフィックス変更などができるプラグイン

セキリュティ系のプラグインは、たまに使っているWordPressテーマやプラグインで不具合が起こったりしますので、注意が必要です。

サイトスキャン系のプラグイン

サイトスキャン系のプラグインというのは、ワードプレス内にあるファイルや設定などをスキャンして、意図しないファイル変更やセキュリティ対策をしていないところなどを定期的に教えてくれるプラグインです。

ちなみに、スキャンだけではなく、悪意のあるアクセス対策もしてくれる含ことが多いです。

  • Wordfence Security:サイトを、ファイアウォール、ウイルススキャン、IP ブロック、ライブトラフィック、ログインの安全性の確保、等の機能を含んだ、最も包括的な WordPress のセキュリティプラグイン
    reCaptcha v3を簡単に導入できる。
  • Security & Malware scan by CleanTalk:セキュリティ、ファイアウォール、CleanTalkによるマルウェア自動スキャン、セキュリティプラグイン。

サイトスキャン系のプラグインを入れるとワードプレスが重くなることがあるので注意です。
ワードプレスの脆弱性を診断したい時は、こちらの「Siteheck」というサイトを使うと無料でブラックリストのステータスやマルウェアなどの検知結果をチェックできます。
Sitecheck

WordPressセキュリティチェックツール

自分のワードプレスサイトがセキュリティ的に安全かどうかをチェックできるツールがあるのでご紹介します。

  • WPScans.com:WordPressサイトの脆弱性をスキャンしてくれる無料ツール。
  • SUCURI SiteCheck:サイト全体のセキュリティ診断を無料で行うツールです。」

WPScans.com

WPScans.com

WPScans.comは、WordPressサイトの脆弱性を無料でスキャンできるツールです。

URLを入力して規約のチェックをして「START SCAN」をクリックするだけで、サイトの脆弱性をチェックし、セキュリティリスクがあるかどうかを診断してくれます。

スキャン結果で、「Your WordPress website is safe!」と表示されたら何の問題はないということです。

より詳細な診断結果を知りたい場合は有償になります。

> WPScans.comはこちら

SUCURI SiteCheck

SUCURI SiteCheck

SUCURI SiteCheckは、WordPressサイトを含むあらゆるサイトのセキュリティ診断ができる無料ツールです。

サイトがマルウェアに感染していないか、セキュリティリスクがあるかどうかを総合的に診断してくれます。

使い方は簡単で、SUCURI SiteCheckのサイトを開いて、ドメイン名を入力して「Submit」をクリックすると診断がスタートします。

少し待つと以下のような診断結果が表示され、「No Malware Found」と表示さえれていたらマルウェアは検出されなかったということです。

WPScans.comよりも詳細にセキュリティ診断ができるのがSUCURI SiteCheckです。

> SUCURI SiteCheckはこちら

これらのツールを使うことで、WordPressのセキュリティ状態を簡単にチェックし、さらに対策が必要かどうかを確認することができます。

セキュリティは常に強化し続けることが大切なので、定期的にツールを活用してサイトの安全性を保ちましょう。

WordPressセキュリティ対策のよくある質問

WordPressのセキュリティ対策は絶対に必要ですか?

はい、必要です!!

WordPressは世界で最も利用されているCMS(コンテンツ管理システム)であり、その分、攻撃対象となる機会が多くなっています。また、WordPress自体の脆弱性だけでなく、プラグインやテーマの脆弱性も攻撃の対象となります。

なぜWordPressが狙われやすいのですか?

WordPressが狙われやすい理由は、大きく以下の3つが挙げられます。

  • 人気がある:WordPressは世界で最も使用されているコンテンツ管理システム(CMS)で、全インターネットサイトの大部分を占めています。
  • オープンソースである:WordPressはオープンソースウェアであり、そのコードは誰でも閲覧できますので攻撃対象になりやすいです。
  • 管理画面のURLが固定化されている:WordPressの管理画面のURLは、デフォルトでは「/wp-admin」に固定されています。そのため、WordPressを使ったことがある人なら、簡単に管理画面にアクセスすることができます。
    参考:WordPressログイン画面URLの変更方法!
WordPressのセキュリティ対策を自分で行うのが難しい場合はどうすればよいですか?

自分で行うのが難しい場合は、セキュリティ対策の専門業者に依頼することを検討しましょう。専門業者に依頼することで、効果的なセキュリティ対策を適切に実施することができます。

まとめ:WordPressセキュリティ対策!初心者でもできる方法を5つ紹介!

今回は、ワードプレス初心者の方でもできる、WordPressブログのセキュリティ対策をご紹介しました。

ご紹介したセキュリティ対策は以下の5つです。

  1. パスワードを複雑なモノにする
  2. WordPressテーマやプラグインは常に最新の状態にする
  3. 不要なWordPressテーマやプラグインは削除する
  4. レンタルサーバーのセキュリティ対策機能を使う
  5. セキュリティ対策用のプラグインを導入する

ワードプレスが攻撃されてしまうと、せっかく積み上げてきたものが一瞬でなくなってしまいます。

それに、多くの方に迷惑をかけてしまうことがあるので、セキュリティ対策はしっかり行うことが大切です。

今回ご紹介した方法を取り入れて、安心安全にワードプレスの運用をしていきましょうね^^

WordPressのパスワード管理なら「1Password」

1Passwordは、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。

  • 1Password3年版1人用:12,800円▶️ 9,980円(22%OFF)
  • 1Password3年版ファミリー用:21,480円▶️ 16,980円(20%OFF)

※2024年9月29日まで

ソースネクスト経由で公式サイトよりお得に!!

無料メールマガジンでアフィリエイトの基礎知識を公開中!


ブログアフィリエイトの基礎知識を分かりやすく丁寧に丸っと公開中!!

メルマガに登録すると、シークレットサイト「Escape from Zero」にご招待します。このシークレットサイトでは、ブログアフィリエイトの基礎を順序立てて解説しております。
メルマガの登録は無料!配信解除はいつでもOK! 登録はこちら↓


ABOUT US
ゆかアフィリエイター兼WordPress専門家
ご訪問ありがとうございます! ゆかブログの管理人でアフィリエイター兼WordPress専門家のゆかです。福岡で3人の子供を育てながら、お家でのんびりとブログを書いて生活しています。
ブログを書く以外のお仕事は、パソコンが苦手な女性起業家さんのワードプレスブログ運営をサポートしたり、代行でワードプレスの立ち上げをしています。
●WordPressコミュニティ『MasterPress』運営
SEO検定2級
●チャンネル登録1万人超え!WordPressブログ構築専門YouTubeチャンネル「ゆかチャンネル

ゆかブログでは、WordPress作成方法・ブログ記事の書き方・アフィリエイトの方法など、パソコン苦手な初心者さんの『困った!!』を解決しています。
詳しいプロフィールはこちら>>