ハッキングからサイトを守る実践的なWordPress保護術

あなたのWordPressサイトは今、見えない敵に狙われているかもしれません。

「昨日まで普通に表示されていたサイトが突然表示されなくなった」「知らない間に不審なリンクが増えていた」—こんな経験をしたことはありませんか？

WordPressは世界中のウェブサイトの約40%を支えるCMSとして人気ですが、その普及率の高さゆえに、ハッカーからの標的にもなりやすいのです。

本記事では、WordPress初心者から中級者まで実践できる具体的なセキュリティ対策を紹介します。

これからお伝えする方法を実践すれば、あなたのサイトをハッキングから守り、安心してウェブ制作を続けることができるでしょう。

WordPress保護の重要性とハッキングのリスク
WordPress保護の基本：最新版への更新
1. プラグインとテーマの更新も忘れずに
強固なパスワード管理でWordPress保護を強化
1. 二段階認証の導入
WordPressのセキュリティプラグインを活用した保護対策
ファイルパーミッションの適切な設定
1. wp-config.phpファイルの保護
データベースセキュリティの強化
1. テーブルプレフィックスの変更
2. 定期的なデータベースバックアップ
不審なユーザーアカウントの監視と管理
1. ユーザー権限の適切な設定
2. 不審なアカウントの定期チェック
ブルートフォース攻撃からの保護
1. ログイン試行回数の制限
2. ログインページのURLを変更する
マルウェアスキャンと定期的なセキュリティチェック
1. マルウェアスキャンの実施
2. セキュリティチェックリスト
WordPressサイトのSSL化
1. SSL証明書の取得と設定
2. HTTPSへの完全移行
バックアップと復元計画
1. 効果的なバックアップ戦略
2. 復元手順の準備
まとめ：WordPress保護は継続的な取り組みが重要

WordPress保護の重要性とハッキングのリスク

WordPressサイトがハッキングされると、どのような被害が生じるのでしょうか。

まず考えられるのは、サイトの改ざんやデータの窃取です。

訪問者に見えないところでマルウェアが仕込まれ、ユーザー情報が抜き取られることもあります。

さらに深刻なのは、あなたのサイトが他のサイトを攻撃するための踏み台として利用されるケースです。

WordPressのセキュリティ会社Wordfenceの調査によると、WordPress関連の攻撃は2022年だけで約41億回検出されており、その数は年々増加傾向にあります。

「自分の小さなサイトなんて狙われないだろう」と思っていませんか？

実は、ハッカーは自動化ツールを使って脆弱性のあるサイトを機械的に探し出しています。

サイトの規模に関係なく、セキュリティホールがあれば標的になる可能性があるのです。

WordPress保護の基本：最新版への更新

WordPress保護の第一歩は、常に最新バージョンを維持することです。

WordPressコアの更新は、新機能の追加だけでなく、セキュリティの脆弱性を修正する重要な役割を持っています。

WordPressの開発チームは、脆弱性が発見されるとすぐにセキュリティアップデートをリリースします。

しかし、サイト管理者がこれを適用しなければ、既知の脆弱性を抱えたままになってしまいます。

実際に、ハッキングされたWordPressサイトの約61%は、最新バージョンへの更新を怠っていたという調査結果もあります。

更新は管理画面から簡単に行えます。

「ダッシュボード」→「更新」から、WordPressコア、プラグイン、テーマの更新状況を確認し、必要に応じて更新ボタンをクリックするだけです。

ただし、更新前にはデータベースのバックアップを取っておくことを忘れないでください。

万が一更新によって不具合が生じた場合に、元の状態に戻すことができます。

プラグインとテーマの更新も忘れずに

WordPressコアだけでなく、プラグインやテーマの更新も同様に重要です。

プラグインの脆弱性は、ハッカーにとって格好の侵入口となります。

2022年に報告されたWordPressの脆弱性のうち、約70%はプラグインに関連するものだったというデータもあります。

特に注意すべきは、開発が停止されたプラグインです。

1年以上更新されていないプラグインは、セキュリティリスクが高まるため、代替プラグインへの移行を検討すべきでしょう。

プラグインの選定時には、レビュー数や評価、最終更新日を確認することが大切です。

人気のあるプラグインは多くのユーザーに利用されているため、脆弱性が発見されれば迅速に修正される傾向にあります。

強固なパスワード管理でWordPress保護を強化

セキュリティ対策の基本中の基本は、強固なパスワードの設定です。

「password123」や「admin1234」のような単純なパスワードは、ブルートフォース攻撃（総当たり攻撃）によって数分で破られてしまいます。

理想的なパスワードは以下の条件を満たすものです：

12文字以上の長さ
大文字と小文字の混在
数字の使用
特殊記号（!@#$%など）の使用
辞書に載っている単語を避ける

例えば、「P@ssw0rd」よりも「T7%hJ9*qZ2$pL5」のような複雑なパスワードの方が安全です。

しかし、このような複雑なパスワードは覚えにくいという問題があります。

そこで役立つのがパスワード管理ツールです。

LastPass、1Password、Bitwardenなどのパスワードマネージャーを使えば、複雑なパスワードを自動生成し、安全に保存することができます。

二段階認証の導入

パスワードだけでなく、二段階認証（2FA）を導入することで、セキュリティをさらに強化できます。

二段階認証とは、「知っていること（パスワード）」と「持っているもの（スマートフォンなど）」の2つの要素で認証を行う方法です。

WordPressでは、「Two-Factor Authentication」や「Google Authenticator」などのプラグインを使って、簡単に二段階認証を設定できます。

二段階認証を導入すると、ログイン時にパスワードの入力に加えて、スマートフォンに表示されるワンタイムパスワードの入力が必要になります。

たとえパスワードが漏洩しても、スマートフォンを持っていない第三者はログインできないため、アカウント乗っ取りのリスクを大幅に減らすことができます。

WordPressのセキュリティプラグインを活用した保護対策

WordPressには、サイトのセキュリティを強化するための専用プラグインが多数存在します。

これらを活用することで、専門的な知識がなくても高度なセキュリティ対策を実装できます。

特に人気の高いセキュリティプラグインには以下のようなものがあります：

Wordfence Security

Wordfenceは、WordPressセキュリティプラグインの中でも最も人気のあるものの一つです。

主な機能には、ファイアウォール、マルウェアスキャン、ブルートフォース攻撃対策などがあります。

無料版でも十分な機能がありますが、有料版ではリアルタイムのファイアウォールルール更新やIP評価データベースへのアクセスなど、より高度な保護機能が利用できます。

Wordfenceの設定では、まず「セキュリティスキャン」を実行して、現在のサイトの状態を確認しましょう。

その後、「ファイアウォール」設定で保護レベルを調整できます。

Sucuri Security

Sucuriは、サイトの監視、マルウェア検出、セキュリティ強化機能を提供するプラグインです。

無料版では、ファイル整合性モニタリング、セキュリティ通知、セキュリティ監査などの機能が利用できます。

有料版では、クラウドベースのWAF（Webアプリケーションファイアウォール）や、マルウェア除去サービスなどが追加されます。

Sucuriの特徴は、WordPressコアファイルの変更を監視する機能にあります。

不正なファイル変更があった場合に即座に通知してくれるため、早期発見・対応が可能になります。

iThemes Security

iThemes Securityは、30以上のセキュリティ機能を提供する包括的なセキュリティプラグインです。

ブルートフォース攻撃対策、ファイル権限チェック、データベースバックアップなど、多岐にわたる保護機能が特徴です。

初心者にも使いやすいインターフェースで、セキュリティスキャンを実行すると、改善すべき項目が分かりやすく表示されます。

「セキュリティチェック」機能を使えば、サイトの脆弱性を簡単に診断できるため、まずはこの機能から試してみるとよいでしょう。

ファイルパーミッションの適切な設定

WordPressのセキュリティにおいて、ファイルパーミッション（アクセス権限）の設定は見落とされがちですが、非常に重要です。

適切なパーミッション設定により、不正アクセスによるファイルの改ざんや実行を防ぐことができます。

WordPressの推奨パーミッション設定は以下の通りです：

ディレクトリ: 755（所有者は読み書き実行可、グループとその他は読み実行のみ可）
ファイル: 644（所有者は読み書き可、グループとその他は読み取りのみ可）
wp-config.php: 600（所有者のみ読み書き可、他はアクセス不可）

特にwp-config.phpファイルには、データベース接続情報など重要な情報が含まれているため、厳格なパーミッション設定が必要です。

パーミッションの確認と変更は、FTPクライアントやサーバーのファイルマネージャーから行えます。

例えば、FileZillaを使用している場合、ファイルを右クリックして「ファイルパーミッション」を選択することで設定を変更できます。

wp-config.phpファイルの保護

wp-config.phpファイルは、WordPressサイトの最も重要な設定ファイルの一つです。

このファイルには、データベース接続情報、認証用ユニークキー、テーブルプレフィックスなどの機密情報が含まれています。

wp-config.phpファイルを保護するためには、以下の対策が効果的です：

適切なパーミッション（600）を設定する
可能であれば、ドキュメントルート外に移動する
ファイルへの直接アクセスをブロックする（.htaccessを使用）

.htaccessファイルに以下のコードを追加することで、wp-config.phpへの直接アクセスをブロックできます：

order allow,deny
deny from all

これにより、ブラウザからwp-config.phpファイルに直接アクセスしようとしても拒否されます。

データベースセキュリティの強化

WordPressサイトのデータベースは、投稿、ユーザー情報、設定など、サイトの重要なデータを保存する場所です。

データベースのセキュリティを強化することは、WordPress保護において非常に重要です。

テーブルプレフィックスの変更

WordPressのデフォルトのテーブルプレフィックスは「wp_」です。

このデフォルト設定のままだと、SQLインジェクション攻撃の標的になりやすくなります。

新規インストール時には、インストーラーでカスタムプレフィックス（例：xyz_）を設定することをお勧めします。

既存のサイトでテーブルプレフィックスを変更するには、「Better WP Security」や「WP-DBManager」などのプラグインを使用するか、手動でデータベースを操作する必要があります。

定期的なデータベースバックアップ

データベースの定期的なバックアップは、ハッキングやシステム障害からサイトを守るための重要な対策です。

バックアップを取得するには、以下の方法があります：

プラグインを使用する（UpdraftPlus、BackWPup、WP-DBManagerなど）
レンタルサーバーのバックアップ機能を利用する
phpMyAdminからエクスポートする
コマンドライン（mysqldump）を使用する

バックアップは、サーバー上だけでなく、外部ストレージ（Google Drive、Dropboxなど）にも保存することをお勧めします。

また、自動バックアップを設定し、少なくとも週に1回はバックアップを取得するようにしましょう。

不審なユーザーアカウントの監視と管理

WordPressサイトのセキュリティを維持するためには、ユーザーアカウントの監視と適切な管理が欠かせません。

不正なユーザーアカウントが作成されると、バックドアとして利用され、サイトが乗っ取られる可能性があります。

ユーザー権限の適切な設定

WordPressには、管理者、編集者、投稿者、寄稿者、購読者という5つの標準ユーザーロールがあります。

各ユーザーには、必要最小限の権限のみを付与することが重要です。

例えば、コンテンツの作成だけを担当するスタッフには「投稿者」権限を与え、「管理者」権限は与えないようにします。

管理者アカウントは必要最小限にとどめ、日常的な作業には別の権限レベルのアカウントを使用することをお勧めします。

不審なアカウントの定期チェック

定期的に「ユーザー」メニューからアカウント一覧を確認し、不審なユーザーがいないかチェックしましょう。

特に、管理者権限を持つアカウントには注意が必要です。

不審なアカウントを発見した場合は、すぐに削除するか、一時的に権限を下げてから調査を行いましょう。

また、「Activity Log」や「WP Security Audit Log」などのプラグインを使用すると、ユーザーのログイン履歴や操作履歴を監視できます。

ブルートフォース攻撃からの保護

ブルートフォース攻撃とは、パスワードを総当たりで試行する攻撃方法です。

この攻撃からWordPressサイトを守るためには、いくつかの対策が有効です。

ログイン試行回数の制限

ログイン試行回数を制限することで、ブルートフォース攻撃を効果的に防ぐことができます。

「Limit Login Attempts Reloaded」や「Login LockDown」などのプラグインを使用すると、指定回数以上のログイン失敗があった場合に、一定時間ログインをブロックする設定が可能です。

例えば、5回連続でログインに失敗したIPアドレスからのアクセスを15分間ブロックするなどの設定ができます。

ログインページのURLを変更する

デフォルトのログインページURL（/wp-admin/や/wp-login.php）は、ハッカーにとって既知の攻撃ポイントです。

このURLを変更することで、自動化された攻撃からサイトを守ることができます。

「WPS Hide Login」や「iThemes Security」などのプラグインを使用すると、ログインページのURLをカスタマイズできます。

例えば、「/wp-login.php」を「/secure-login」などに変更することで、標準的な攻撃ツールからの攻撃を回避できます。

マルウェアスキャンと定期的なセキュリティチェック

サイトが既に感染しているかどうかを確認するためには、定期的なマルウェアスキャンが重要です。

また、予防的なセキュリティチェックを行うことで、潜在的な脆弱性を発見し、対処することができます。

マルウェアスキャンの実施

マルウェアスキャンには、以下のようなツールやサービスが利用できます：

Wordfenceのセキュリティスキャン機能
Sucuri SiteCheckなどのオンラインスキャンツール
Google Search Consoleのセキュリティ問題レポート

これらのツールを使用して、少なくとも月に1回はサイト全体のスキャンを実施することをお勧めします。

不審なファイルやコードが検出された場合は、すぐに隔離または削除し、侵入経路を特定して対策を講じましょう。

セキュリティチェックリスト

以下のチェックリストを定期的に確認することで、サイトのセキュリティ状態を維持できます：

WordPress、テーマ、プラグインが最新バージョンか
使用していないプラグインやテーマが削除されているか
バックアップが正常に取得されているか
不審なユーザーアカウントがないか
ファイルパーミッションが適切に設定されているか
セキュリティプラグインのアラートがないか

これらのチェックを月に1回程度実施することで、セキュリティリスクを最小限に抑えることができます。

WordPressサイトのSSL化

SSL（Secure Sockets Layer）は、サイトとユーザー間の通信を暗号化する技術です。

HTTPSを導入することで、通信の盗聴や改ざんを防ぎ、サイトのセキュリティと信頼性を高めることができます。

SSL証明書の取得と設定

SSL証明書を取得するには、以下の方法があります：

レンタルサーバーが提供する無料SSL（Let’s Encryptなど）を利用する
独自SSL証明書を購入する
CDNサービス（Cloudflareなど）の無料SSLを利用する

多くのレンタルサーバーでは、コントロールパネルから簡単にSSL証明書を発行・設定できます。

SSL証明書を設定した後は、WordPressの管理画面で「設定」→「一般」から、「WordPress アドレス (URL)」と「サイトアドレス (URL)」をhttpsに変更します。

HTTPSへの完全移行

SSL証明書を設定しただけでは、サイト内の一部コンテンツがhttpのままになっている可能性があります。

これを解決するには、以下の対策が必要です：

「Really Simple SSL」などのプラグインを使用して、内部リンクをhttpsに変換する
.htaccessファイルを編集して、httpからhttpsへのリダイレクトを設定する
データベース内のURLを一括置換する（バックアップ必須）

完全にhttpsに移行したら、Google Search ConsoleやGoogle Analyticsなどの外部サービスの設定も更新しましょう。

バックアップと復元計画

どれだけセキュリティ対策を講じても、100%安全というわけではありません。

万が一の事態に備えて、定期的なバックアップと明確な復元計画を持つことが重要です。

効果的なバックアップ戦略

効果的なバックアップ戦略には、以下の要素が含まれます：

定期的な自動バックアップ（日次または週次）
複数の保存場所（サーバー、クラウドストレージ、ローカルPC）
ファイルとデータベースの両方をバックアップ
バックアップの世代管理（複数のバックアップを保持）

バックアップには、「UpdraftPlus」「BackWPup」「VaultPress」などのプラグインが便利です。

特にUpdraftPlusは、無料版でもGoogle Drive、Dropbox、Amazon S3などの外部ストレージへのバックアップが可能です。

復元手順の準備

バックアップを取得するだけでなく、復元手順を事前に確認しておくことも重要です。

使用するバックアッププラグインの復元機能を一度試してみることで、実際の緊急時にスムーズに対応できます。

また、手動での復元方法も把握しておくと安心です：

FTPでファイルをアップロード
phpMyAdminでデータベースをインポート
wp-config.phpの設定を確認

復元作業を迅速に行えるよう、サーバー情報やデータベース接続情報などを安全な場所に記録しておきましょう。

まとめ：WordPress保護は継続的な取り組みが重要

WordPressサイトのセキュリティ対策は、一度実施して終わりではなく、継続的な取り組みが必要です。

本記事で紹介した対策を実施することで、ハッキングのリスクを大幅に減らすことができますが、セキュリティ環境は常に変化しています。

最後に、WordPress保護のための重要ポイントをまとめます：

WordPress、プラグイン、テーマを常に最新の状態に保つ
強固なパスワードと二段階認証を導入する
信頼性の高いセキュリティプラグインを活用する
適切なファイルパーミッションを設定する
データベースセキュリティを強化する
ユーザーアカウントを適切に管理する
ブルートフォース攻撃対策を実施する
定期的なマルウェアスキャンとセキュリティチェックを行う
SSL証明書を導入する
定期的なバックアップと復元計画を準備する

これらの対策を組み合わせることで、多層防御（Defense in Depth）の体制を構築し、WordPress保護を強化することができます。

セキュリティ対策は面倒に感じるかもしれませんが、ハッキング被害からの復旧にかかる時間と労力を考えれば、予防的な対策は十分に価値があります。

あなたのWordPressサイトが安全に運営され、ビジネスやコミュニケーションの場として長く活用されることを願っています。

ハッキングからサイトを守る実践的なWordPress保護術｜初心者でもできる対策