WordPressセキュリティセルフチェックリスト|安全度を5分で診断

WordPressセキュリティセルフチェックリスト|安全度を5分で診断

WordPressサイトの運営者として、ハッキングや情報漏洩のリスクに不安を抱えていませんか。膨大なセキュリティ対策情報の中から自分のサイトに本当に必要なチェック項目を見極めるのは大変です。本記事では、5分で完了する自己診断形式のチェックリストをご提供。手順に沿って進めるだけで、今すぐ取り組むべきポイントが明確になります。

wordpress保守サービス

1. 初期設定と基本情報の確認

WordPressコアのバージョン確認

結論:サイトが最新バージョンであることは、既知の脆弱性から守る最も基本的かつ重要な対策です。
理由:古いコアにはセキュリティパッチが適用されておらず、攻撃者に狙われるリスクが高まります。
具体例:管理画面ダッシュボードの「更新」画面でバージョンを確認し、最新のリリースノートをチェックしましょう。自動更新を有効化し、アップデートの手間を省く方法もあります。

ユーザー権限設定と不要アカウント削除

結論:不要な管理者アカウントは攻撃の踏み台になります。必要最小限の権限設定と、放置されたアカウントの削除が必須です。
理由:管理者権限を持つアカウントが不正に利用されると、サイト全体が乗っ取られる恐れがあります。
具体例:ユーザー一覧から権限の高いアカウントを精査し、「admin」などの初期名アカウントがあれば削除。編集者・寄稿者など、用途別に最適な権限を割り当てましょう。

2. プラグインとテーマの安全性チェック

定期更新と自動更新の有効化

結論:プラグインやテーマの最新バージョン適用は、脆弱性チェックの最前線です。自動更新機能を活用し、常にセキュリティ対策が施された状態を維持しましょう。
理由:古いプラグインやテーマには既知の脆弱性(SQLインジェクション、クロスサイトスクリプティング等)が残っている可能性が高く、攻撃者に悪用されやすくなります。
具体例:管理画面の「プラグイン」→「自動更新を有効化」ボタンでワンクリック。テーマも同様に「外観」→「カスタマイズ」内の更新設定を確認し、自動更新をONにします。
対策手順:

  1. 「ダッシュボード」→「更新」画面に移動し、未更新のプラグイン・テーマをリストアップ。
  2. 個別または一括で「自動更新を有効化」。
  3. 「セキュリティスキャナ」プラグイン(例:Wordfence, Solid Security)を導入し、更新状況を定期的にレポートさせる。

注意点:自動更新後にサイトが崩れる可能性もあるため、ステージング環境で検証してから本番に適用することをおすすめします。
未来予測:今後はAIを活用したプラグインの自動脆弱性検出ツールも普及し、更新タイミングをさらに最適化できるようになるでしょう。

未使用・脆弱プラグインの削除

結論:不要なプラグインはアンインストールし、テーマも使用していないデフォルトテーマを削除して、攻撃面(アタックサーフェス)を最小化しましょう。
理由:使用していないプラグインでも、サーバー上にファイルが残っているだけでコード実行の入口となり得ます。また、メンテナンスが終了したプラグインは更新が停止し、新たな脆弱性が発見されても修正されないため危険です。
具体例:「プラグイン」一覧で「停止中」のプラグインを確認し、必要性を再検討。停止状態が続くものは「削除」をクリック。デフォルトテーマ(Twenty Twenty-Oneなど)も「外観」→「テーマ」画面で削除可能です。
対策手順:

  1. 「プラグイン」→「停止中フィルター」を使用して、停止中プラグインを抽出。
  2. 各プラグインの公式サイトでメンテナンス状況を確認(更新日・サポートフォーラム)。
  3. 不要と判断したものを“完全削除”。
  4. 「外観」→「テーマ」で不要テーマを同様に削除。

注意点:カスタマイズ済みのテーマは削除前に必ずバックアップを取得し、functions.php等の改変を保存しておきましょう。
未来予測:プラグイン管理ダッシュボードにAIアシスタントが搭載され、脆弱性発見から削除推奨まで自動でサポートされる時代が間もなく到来します。

3. ログインセキュリティの強化

強力なパスワードと2段階認証

結論:簡単なパスワードは総当たり攻撃に弱く、2段階認証(2FA)を設定することで不正ログインリスクを大幅に低減できます。
理由:攻撃者は辞書攻撃やブルートフォース攻撃を用いて短時間でパスワードを解読しようとします。2FAは、パスワード突破後にも追加の認証要素を要求するため、不正アクセス防止に極めて有効です。
具体例:「プラグイン」→「新規追加」で「Google Authenticator」や「Two Factor Authentication」プラグインをインストールし、ユーザーごとにQRコードを読み取って設定します。
対策手順:

  1. 管理画面の「ユーザー」→「あなたのプロフィール」でパスワードポリシーを強化(英大文字・小文字・数字・記号を含む12文字以上推奨)。
  2. 2FAプラグインをインストールし、有効化。
  3. 利用者に対して設定の案内メールを送付し、全員が設定を完了するよう徹底。
  4. ログイン試行回数の制限(例:Limit Login Attempts Reloaded)を併用し、不正ログイン試行を遮断。

注意点:2FAを設定すると、認証端末を紛失した場合にログイン不能となるリスクがあります。予備コードのバックアップを確実に保存し、管理者が緊急解除できる手順を整備してください。
未来予測:将来的には生体認証(指紋、顔認証)連携型プラグインが普及し、パスワードレスログインが標準的になる見込みです。

ログインURLのカスタマイズ

結論:デフォルトの「/wp-admin」や「/wp-login.php」を変更することで、自動化された攻撃ツールから隠蔽し、安全性を高めます。
理由:WordPressの標準ログインURLは周知されており、ブルートフォース攻撃の的にされやすいです。URLを変更するだけで攻撃対象リストから外れる効果があります。
具体例:「WPS Hide Login」プラグインを使い、ログインURLを「/secure-login」などに変更。攻撃者が標準URLにアクセスしても404エラーとなります。
対策手順:

  1. 「プラグイン」→「新規追加」で「WPS Hide Login」をインストール。
  2. 「設定」→「一般」画面に追加された「Login URL」に任意のパスを入力。
  3. 設定保存後、旧URLへのアクセスが自動で404にリダイレクトされることを確認。
  4. 関係者に新URLを周知し、書き留めてもらう。

注意点:変更後にログインURLがわからなくなると管理者もログインできなくなるので、設定画面のスクリーンショットやメモを必ず残しましょう。
未来予測:ヘッドレスCMS化の進展に伴い、標準ログイン画面を排除しAPI経由で認証する方式が一般化する可能性があります。

4. 通信とアクセス制御の設定

SSL/TLS導入とHTTP→HTTPS強制

結論:すべての通信を暗号化し、安全な接続を強制することで、盗聴や改ざんリスクを排除できます。
理由:HTTPでは通信が平文のまま送受信され、ネットワーク上で簡単に傍受・改竄されます。SSL/TLSを導入し、HTTPSを強制することで第三者による攻撃を防止します。
具体例:Let’s Encryptを利用した無料SSL証明書を取得し、ホスティングサービス側で証明書を設定します。WordPress側では「Really Simple Security」プラグインを使い、HTTPアクセスを自動的にHTTPSへリダイレクトします。
対策手順:

  1. ホスティング管理画面でSSL証明書を発行(Let’s Encryptなど)。
  2. 証明書をサーバーにインストールし、有効化。
  3. 「プラグイン」→「新規追加」で「Really Simple Security」をインストールし、有効化。
  4. プラグイン設定画面で「HTTPSへのリダイレクト」を有効化。
  5. サイト内のすべてのリンクをHTTPSに統一(Mixed Contentを解消)。

注意点:Mixed Content(画像・スクリプトのHTTP読み込み)があると、ブラウザが警告を出す場合があります。Search Regexなどで一括置換を行い、すべてのURLをHTTPS化してください。
未来予測:今後はSSL/TLS設定がホスティング標準機能となり、ワンクリックで強制HTTPSを導入できるプラットフォームが増加するでしょう。

WAF導入とIP制限設定

結論:Webアプリケーションファイアウォール(WAF)とIPアクセス制御により、不審なリクエストや攻撃トラフィックをブロックできます。
理由:WAFはSQLインジェクションやXSS等、アプリケーション層の攻撃パターンをリアルタイムで検知し防御します。IP制限を組み合わせることで、特定の地域・IPからの攻撃を予防できます。
具体例:CloudflareのWAFを導入し、無料プランでも基本的なOWASPルールセットが利用可能。管理画面IPのみアクセスを許可する場合は、.htaccessで許可IPを設定し、それ以外を403にする設定を追加します。
対策手順:

  1. Cloudflareアカウントを作成し、DNS設定をCloudflare経由に変更。
  2. 「Managed Rules」→「OWAPS ModSecurity Core Rule Set」を有効化。
  3. WordPress管理画面のIP制限が必要な場合、サーバーの.htaccessに以下を追記:
    order deny,allow
    deny from all
    allow from 123.456.789.000
  4. 管理者用IPを複数登録し、メンテナンス時に解除できるようドキュメント化。

注意点:IP制限を誤設定すると正当ユーザーもアクセスできなくなるため、事前にテスト環境で動作を確認しましょう。
未来予測:WAF機能がCDNやホスティング標準機能となり、設定の簡略化やAIによる自動チューニングが進むでしょう。

5. ファイル・ディレクトリの保護

xml‑rpc.php無効化

結論:xml‑rpc.phpを無効化することで、ブルートフォース攻撃やDDoS攻撃の踏み台を防げます。
理由:xml‑rpc.phpはWordPressの古いAPIアクセス用ファイルで、特に認証回数制限がなく総当たり攻撃に多用されるポイントです。
具体例:.htaccessに以下を追加して、外部からのアクセスを遮断します:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
または、「Disable XML-RPC-API」プラグインを使って一括無効化も可能です。
対策手順:

  1. サーバールートの.htaccessをバックアップ。
  2. 追記タグを追加し、保存。
  3. https://example.com/xmlrpc.phpにアクセスして403が返ることを確認。

注意点:Jetpackなどxml‑rpc依存機能を使用している場合は、影響範囲を事前に確認してください。
未来予測:REST APIへ完全移行し、xml‑rpc.php自体が廃止される見込みです。

wp‑config.phpの安全設定

結論:wp‑config.phpを外部から参照不能にし、データベース情報や認証キーを保護します。
理由:wp‑config.phpにはデータベース接続情報および認証用キーが記載されており、流出するとサイト全体の乗っ取りリスクが生じます。
具体例:.htaccessに以下を追加:
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
認証キーはWordPress.org公式「秘密鍵サービス」を利用し、強力なランダム文字列に更新します。
対策手順:

  1. wp-config.phpをバックアップ。
  2. .htaccessに上記コードを追加。
  3. 公式秘密鍵サービス(https://api.wordpress.org/secret-key/1.1/salt/)で新KEYSを生成。
  4. 既存KEYSを新KEYSに置き換え。
  5. サイトに問題なく動作するか確認。

注意点:編集ミスはサイト全体に影響を与えるため、ステージングで検証必須です。
未来予測:ホスティングが自動で安全設定を適用する機能が普及すると予想されます。

6. 定期的な監視とバックアップ

ログ監視とセキュリティスキャナ

結論:リアルタイムのログ監視と定期的なセキュリティスキャンは、異常検知と早期対応の鍵です。
理由:不正アクセスの試みやマルウェアの侵入はログに痕跡を残します。見逃すと被害が拡大し対応が遅れます。
具体例:Wordfence Security」「Sucuri Scanner」を導入し、ファイル改ざんスキャンやマルウェア検出を定期実行。通知設定で即時アラートを受信します。
対策手順:

  1. Wordfenceをインストールし初回スキャンを実行。
  2. 「オプション」→「アラート設定」で管理者メールを登録。
  3. 週1回以上の自動スキャンスケジュールを設定。

注意点:スキャンはサーバー負荷をかけるため、夜間などアクセス少ない時間に設定推奨。
未来予測:AIによる脅威予測・自動修復機能が標準化されるでしょう。

バックアップ手順とリカバリー

結論:定期バックアップは、万が一の際の復旧を迅速化し、ビジネス継続性を担保します。
理由:ハッキングや誤操作でサイトが破損した場合、バックアップがないと復旧に時間とコストがかかります。
具体例:UpdraftPlusで週2回のデータベース・ファイル自動バックアップをGoogle Driveに保存し、定期的に復旧テストを実施します。
対策手順:

  1. UpdraftPlusをインストールしスケジュール設定。
  2. 保存先クラウドストレージを連携。
  3. リカバリーテストを実施。
  4. 緊急手順書を作成・共有。

注意点:バックアップファイルにもアクセス制御を設定し、漏洩リスクを軽減してください。
未来予測:プラットフォーム標準機能として自動バックアップ&ワンクリック復旧が普及すると予想されます。

7. 自己診断チェックリストで5分診断

チェックポイント一覧

以下の10項目をタイマーで5分以内にチェックしてください。

  1. WordPressコアは最新か?
  2. 不要アカウントを削除したか?
  3. プラグイン・テーマの自動更新有効か?
  4. 未使用プラグインを削除したか?
  5. 強力パスワードと2FA設定済みか?
  6. ログインURLを変更したか?
  7. HTTPSを強制しているか?
  8. WAFとIP制限導入済みか?
  9. xml-rpc.php無効化済みか?
  10. 定期スキャンとバックアップ設定済みか?

スコアリングと次のアクション

スコア評価次のアクション
9–10現状維持。年1回の再チェック推奨。
6–8未実施項目から優先的に対策。
0–5全項目を速やかに実施し、専門家相談を。

「いいえ」の項目から今すぐ取り組み、安全度を高めましょう。

まとめ

本チェックリストを活用すれば、**5分**でWordPressサイトの安全度を自己診断できます。セキュリティは一度設定して終わりではなく、定期的な見直しが必要です。今すぐ診断を実行し、潜在リスクを可視化して対策に取り組んでください。
詳細な対策記事や専門家相談をご希望の方は、お問い合わせフォームへお進みください。

社内にリソースがない。WPセンターへお任せ下さい

WPセンターの安心サポートは上場企業の実績多数のWordPress保守代行サービスです。

アップデートで不具合が起きても追加費用がかからず修正できるのはWPセンターだけ。予算ブレがなく利用し易いと大変好評いただいています。

先ずは資料請求してみる
WordPressセキュリティ対策
シェアする
wpcenter
WPセンターブログ | web担当者のためのWordPressガイド
タイトルとURLをコピーしました