WordPressは世界中で最も利用されているCMSですが、それだけにサイバー攻撃の対象にもなりやすいという一面があります。特に、初期設定のまま運用していると、脆弱性を突かれるリスクが高まります。
この記事では、初心者の方でも今日から実践できる、WordPressの基本的なセキュリティ対策を7つに厳選して解説します。
1. WordPress・プラグイン・テーマを常に最新に保つ
古いバージョンには既知の脆弱性が存在する場合があります。アップデートによってそれらが修正されるため、定期的な更新が基本中の基本です。
ポイント:
- 自動更新を有効にする
- 使用していないプラグイン・テーマは削除
2. 管理画面のURLを変更する
WordPressの管理画面は通常「/wp-admin」や「/wp-login.php」でアクセスできます。これを変更することで、攻撃者がログインページにたどり着きにくくなります。
おすすめプラグイン:
- WPS Hide Login
3. ログイン試行回数を制限する
ブルートフォース攻撃(総当たり攻撃)を防ぐために、一定回数のログイン失敗で一時的にロックをかける設定が有効です。
おすすめプラグイン:
- Limit Login Attempts Reloaded
4. セキュリティ系プラグインを導入する
総合的なセキュリティ対策を1つのプラグインで行えるため、初心者にとって非常に便利です。
おすすめプラグイン:
- Wordfence Security
- All in One WP Security & Firewall
機能例:
- ファイアウォール
- ファイル改ざん検知
- ログイン履歴の記録
5. デフォルトの「admin」ユーザー名を使わない
「admin」というユーザー名は最も狙われやすいため、異なる名前に変更しましょう。
対策手順:
- 新しい管理者アカウントを作成
- 旧adminアカウントを削除
6. SSL(HTTPS)を導入する
通信を暗号化することで、ユーザー情報の漏洩リスクを大幅に減らせます。
対応方法:
- サーバー側で無料SSL(Let’s Encrypt)を有効にする
- URL設定でhttp → https に統一する
7. 定期的にバックアップを取る
万が一、攻撃を受けても迅速に復旧できるよう、バックアップは定期的に取りましょう。
おすすめプラグイン:
- UpdraftPlus
- BackWPup
クラウド(Google DriveやDropbox)との連携が可能なものを選ぶと安心です。
まとめ
WordPressのセキュリティ対策は「難しそう」と感じがちですが、基本的な設定だけでもリスクを大きく減らせます。
まずはこの記事で紹介した7つの対策から取り組んでみましょう。
セキュリティは“何かあってから”ではなく、“何もないうちに”備えることが重要です。
