安全なWordPress運営のための基本対策：不正アクセスを防ぐ方法

2025年4月3日

お知らせ [2025/01/17]

起業・開業者向け事業用ホームページ（Webサイト）の企画書作成講座（オンライン）

＼ NEW ／

「起業・開業者向け事業用ホームページ（Webサイト）の企画書作成講座」は累計で売上数千万円、また起業支援してきた方も累計で数千万円の売上に至ったエッセンスが詰まった講座です。推定損失１００万以上の失敗談も。無料版もかなり充実してます。

１０年以上、数十人の様々な起業者・開業者と関わる中で徐々に成功する起業者と失敗する起業者の”違い・傾向”が見えてきました。このページでは、その内容を『起業・開業あるある集』として30個以上の内容をまとめました。

WordPressは、ブログや企業のホームページなど、さまざまなウェブサイトで利用されている人気のCMS（コンテンツ管理システム）です。誰でも簡単にサイトが作れる反面、多くの人が使っているため、悪意ある第三者による不正アクセスの標的になることもあります。ここでは、WordPressサイトがなぜ狙われやすいのか、どのような手法で攻撃されるのか、そしてその対策について、やさしい言葉でご説明いたします。

WordPressは2003年から多くの人に支持され、今では世界中でたくさんのサイトがこのシステムを利用しています。便利な一方で、セキュリティ面で注意が必要な部分もあります。例えば、簡単なパスワードや、プラグインやテーマの更新をしない状態では、ハッカーが不正アクセスしやすくなってしまいます。つまり、利用者が多いということは、攻撃の対象になりやすいというリスクもあるのです。

この記事の著者

田尻真基（たじりまさき）| Natural Web 代表

自分自身の起業１５年以上、個人事業主向けの起業＆開業者支援歴１０年以上を経験。主にWordPressのWebサイト制作、Webマーケティング、SEO対策、動画制作などを手掛けてきました。沢山の方々に支えられ累計の事業収入は４０００万円以上に。（詳しくはこちら）
私自身も起業し、また様々な起業者＆開業者と関わる中で、様々な成功・失敗等を経験したり見てきたりしてきましたので、蓄積されてきた内容を【起業＆開業あるある】としてブログ＆SNSで発信しています。２児の父。

不正アクセスとは

不正アクセスとは、許可されていない人がサイトに侵入し、情報を盗んだり、改ざんしたりする行為のことです。WordPressの場合、たとえば以下のようなケースが見受けられます。

管理者アカウントの乗っ取り
簡単なパスワードを設定していると、ハッカーがブルートフォース攻撃（たくさんの組み合わせを試す方法）などを使ってログインしてしまうことがあります。
プラグインやテーマの脆弱性の悪用
無料のプラグインやテーマには、更新が不十分でセキュリティ面に問題があるものもあります。これを悪用されると、サイト内に悪意あるコードが仕込まれる可能性があります。
SQLインジェクション攻撃やXSS攻撃
サイトのデータベースに不正な命令を送り込んだり、サイトに悪いスクリプトを埋め込んで、利用者の情報を盗む手法も報告されています。

攻撃の方法について

WordPressサイトに対する攻撃は、さまざまな方法で行われます。ここでは、主な攻撃方法をやさしい言葉でご紹介します。

ブルートフォース攻撃
これは、コンピューターを使って、たくさんのパスワードを次々に試す方法です。対策としては、強いパスワードを設定したり、ログイン試行回数を制限したりすることが有効です。
辞書攻撃
事前に用意された単語やフレーズを組み合わせたパスワードリストを使って、ログイン情報を探る方法です。こちらも、強固なパスワードや二段階認証の導入で防ぐことができます。
プラグインの脆弱性を狙う方法
更新されていない、または安全性に問題のあるプラグインを悪用し、サイトに不正なコードを挿入する手口です。常に最新の状態に保つことが大切です。
リモートファイルインクルード（RFI）攻撃
外部の悪意あるコードをサイトに読み込ませる方法です。これにより、攻撃者は自分のコードを実行させることができるため、サイト全体が危険にさらされる可能性があります。
クロスサイトリクエストフォージェリ（CSRF）攻撃
利用者が意図しない動作を、ログイン状態を利用してサイトに行わせる手法です。これを防ぐためには、リクエストごとに認証トークンを付与するなどの対策が有効です。

実際の被害事例

実際に、WordPressサイトが攻撃され被害を受けた例は少なくありません。ここでは、いくつかの事例を簡単にご紹介します。

大手ニュースサイトの場合
あるニュースサイトでは、プラグインの脆弱性を突かれ、サイト全体が改ざんされた事例があります。攻撃者は、サイトに密かに入り込み、今後も継続して攻撃を仕掛けるための仕掛けを設置していました。
ECサイトでの情報流出
あるECサイトでは、WordPressのテーマにあった問題点を悪用され、顧客の個人情報が流出するという被害が発生しました。このような被害は、サイト運営者にとって大きな信用の失墜や経済的な損失を招いてしまいます。
中小企業サイトの被害
セキュリティ対策が十分でなかった中小企業のサイトでは、ブルートフォース攻撃によって管理者アカウントが乗っ取られ、サイト内容が改ざんされるケースが報告されています。これにより、企業の活動や顧客との信頼関係に悪影響が出てしまいます。

実際の事例について詳しい情報源をお探しの場合は、以下のような信頼性の高いセキュリティ関連のサイトをご参考いただくと良いでしょう（海外サイトです）

Wordfence Blog
WordPressのセキュリティに関する最新の脅威や実際の事例を豊富に掲載しています。
URL: https://www.wordfence.com/blog/
Sucuri Blog
サイトのハッキング事例や対策について、具体的な事例を交えて解説している記事が多数あります。
URL: https://blog.sucuri.net/

基本的なセキュリティ対策

WordPressサイトを守るためには、基本的な対策をしっかり行うことが大切です。以下は、初心者でも実践できる対策です。

強いパスワードを使う
英数字や記号を組み合わせた、推測されにくいパスワードを設定しましょう。また、定期的なパスワードの変更もおすすめです。
二段階認証の導入
万が一パスワードが漏れても、二段階認証を使えば、ログインをさらに安全にすることができます。専用のアプリ（Google Authenticatorなど）を利用すると便利です。
常に最新の状態に更新する
WordPress本体やプラグイン、テーマは最新バージョンに更新することがとても重要です。新しいバージョンでは、セキュリティの穴が修正されている場合が多いからです。
ログイン試行回数を制限する
ログイン失敗が続いた場合に、一時的にアクセスをブロックする仕組みを導入することで、ブルートフォース攻撃を防ぐことができます。
セキュリティプラグインの活用
「Wordfence Security」や「Sucuri Security」など、信頼できるセキュリティプラグインを使うことで、サイトの状態を常に監視し、不正アクセスを防ぐことが可能になります。

プラグインとテーマの選び方

WordPressの魅力のひとつは、たくさんのプラグインやテーマが用意されている点ですが、これらは安全性も大切なポイントです。

信頼できるものを選ぶ
公式リポジトリや、評価が高いプラグイン・テーマを選ぶようにしましょう。利用者のレビューや更新履歴を確認することで、安心して使えるかどうか判断できます。
不要なものは削除する
使っていないプラグインやテーマは、セキュリティリスクとなるため、定期的に整理し、削除することが大切です。
定期的な監査
サイトのログやアクセス状況を確認することで、不審な動きがないかを早めに発見できます。特に更新通知などは活用すると良いでしょう。

サーバーとホスティングのセキュリティ

WordPress自体の対策だけでなく、サイトが動作しているサーバー側の対策も重要です。

最新のソフトウェアを利用する
サーバーのOSやウェブサーバーソフト（Apache、Nginxなど）、PHPやデータベースも常に最新の安定版にしておくと、既知の脆弱性を防ぐことができます。
ファイアウォールの活用
ネットワークレベルでの不正なアクセスを防ぐために、強固なファイアウォールを設定しましょう。ホスティングサービスでWAF（Webアプリケーションファイアウォール）の機能があれば、積極的に利用することがおすすめです。
SSHの安全な設定
サーバーにリモートアクセスする際は、パスワード認証ではなく公開鍵認証を利用する、また特定のIPアドレスからのアクセスのみ許可するなど、十分な対策を行いましょう。
定期的なバックアップ
万が一の不正アクセスやトラブルに備えて、サイト全体やデータベースのバックアップを定期的に行うことも大切です。