WordPressセキュリティ対策完全ガイド｜初心者でもできる不正アクセス・改ざん・乗っ取り防止策

はじめに

WordPressは、個人ブログから企業サイト、メディア、ECサイトまで幅広く使われているCMSです。自由度が高く、テーマやプラグインで機能を拡張しやすい一方で、何も対策をしないまま運用すると、不正アクセス、改ざん、乗っ取り、マルウェア感染などのリスクが高まります。

特に「ワードプレスセキュリティ」と聞くと難しく感じるかもしれませんが、初心者でも実施できる基本対策は多くあります。重要なのは、1つの対策で完全に守ろうとするのではなく、更新、パスワード、ログイン制限、バックアップ、サーバー設定、監視を組み合わせてリスクを下げることです。WordPress公式ドキュメントでも、セキュリティは「リスクをゼロにすること」ではなく、適切な対策によってリスクを減らす考え方だと説明されています。

この記事では、WordPressセキュリティ対策の基本から、管理画面の保護、プラグイン活用、サーバー側の対策、攻撃されたときの確認ポイント、復旧手順まで初心者にもわかりやすく解説します。

1. WordPressセキュリティ対策が必要な理由

WordPressセキュリティ対策が必要な理由は、サイトを守るためだけではありません。訪問者の安全、検索評価、企業や個人の信用、売上、問い合わせ機会を守るためにも欠かせません。

「自分のサイトは小さいから狙われない」と考えるのは危険です。攻撃者はサイトの規模や知名度だけで標的を選ぶわけではなく、古いWordPress、脆弱なプラグイン、弱いパスワード、放置された管理画面などを自動ツールで広く探します。つまり、個人ブログや小規模サイトでも十分に攻撃対象になります。

1-1. WordPressが不正アクセスや攻撃の標的になりやすい理由

WordPressが攻撃されやすい理由のひとつは、利用者が多く、構造や管理画面のURLが広く知られていることです。初期状態ではログインページが /wp-login.php や /wp-admin/ でアクセスできるため、攻撃者は自動ツールでログイン試行を繰り返しやすくなります。

また、WordPressは本体だけでなく、テーマやプラグインを組み合わせて運用することが一般的です。便利な反面、古いプラグイン、更新停止したテーマ、信頼できない配布元のファイルを使うと、そこが侵入口になる可能性があります。WordPress公式も、WordPress本体を最新に保つこと、信頼できる配布元からテーマやプラグインを入手すること、不要なプラグインを削除することを推奨しています。

1-2. セキュリティ対策を怠ると起こる被害

WordPressセキュリティ対策を怠ると、次のような被害が起こる可能性があります。

管理画面に不正ログインされる
記事や固定ページが改ざんされる
不審なリンクや広告を埋め込まれる
マルウェア配布サイトとして悪用される
問い合わせフォームからスパム送信される
個人情報や顧客情報が漏えいする
検索結果に「このサイトは危険」と表示される
サーバー会社からサイト停止を求められる
バックアップがなく復旧できなくなる

GoogleのSearch Consoleヘルプでは、ハッキング、フィッシング、マルウェア、不審なソフトウェアの配布などが検出された場合、検索結果やブラウザで警告が表示されることがあると説明されています。

1-3. 改ざん・乗っ取り・情報漏えいがサイト運営に与える影響

サイトが改ざんされると、訪問者が不正サイトへ誘導されたり、検索エンジンから危険なサイトと判断されたりする可能性があります。企業サイトの場合、問い合わせや採用応募の減少、取引先からの信用低下、ブランドイメージの悪化につながります。

ECサイトや会員サイトで個人情報を扱っている場合、情報漏えいの影響はさらに深刻です。顧客への通知、原因調査、再発防止策、場合によっては法的対応や損害賠償が必要になることもあります。WordPressセキュリティは、単なる技術対策ではなく、事業継続と信頼維持のための基本管理です。

1-4. 初心者でも最低限やるべきセキュリティ対策の全体像

初心者がまず行うべきWordPressセキュリティ対策は、次の7つです。

WordPress本体・テーマ・プラグインを最新にする
不要なテーマ・プラグインを削除する
強力なパスワードを使う
管理者ユーザー名を「admin」のまま使わない
二段階認証やログイン制限を導入する
SSL化して通信を暗号化する
定期的にバックアップを取る

最初から高度なサーバー設定をすべて理解する必要はありません。まずは「更新」「ログイン保護」「バックアップ」の3つを徹底し、そのうえでWAF、マルウェアスキャン、ファイル変更検知、権限管理へ広げていくのがおすすめです。

2. WordPressでよくあるセキュリティリスク

WordPressのセキュリティリスクは、ログイン画面、本体・テーマ・プラグイン、フォーム、サーバー、データベースなど複数の場所に存在します。どこか1つだけを守ればよいわけではなく、サイト全体を多層的に守る必要があります。

2-1. 不正ログイン・ブルートフォース攻撃

ブルートフォース攻撃とは、ユーザー名とパスワードの組み合わせを機械的に何度も試し、ログイン突破を狙う攻撃です。OWASPでも、ブルートフォース攻撃は認証機能や隠しページの発見に使われることがあり、アカウントロックの仕組みがない場合に認証への攻撃として行われやすいと説明されています。

WordPressでは、ログインURLが推測しやすく、初期ユーザー名に「admin」が使われているケースも多いため、弱いパスワードを設定していると突破される危険があります。対策として、強力なパスワード、ログイン試行回数制限、二段階認証、画像認証、IP制限を組み合わせましょう。

2-2. 管理画面への不正アクセス

WordPressの管理画面に不正アクセスされると、記事の改ざん、プラグインの追加、テーマファイルの編集、管理者ユーザーの追加などを実行される恐れがあります。特に管理者権限を奪われると、サイト全体を操作される可能性があります。

管理画面を守るには、ログインURL変更、二段階認証、IPアドレス制限、管理者アカウントの最小化、ログイン履歴の確認が有効です。複数人で運営している場合は、全員に管理者権限を与えず、編集者・投稿者など必要最小限の権限にすることが大切です。

2-3. プラグインやテーマの脆弱性

WordPressの便利さはプラグインとテーマにありますが、同時に大きなリスクにもなります。更新されていないプラグインやテーマ、配布元が不明なファイル、海賊版の有料テーマには、悪意あるコードや脆弱性が含まれている可能性があります。

WordPress公式は、使っていないプラグインを削除し、プラグインは常に更新することを推奨しています。また、テーマやプラグインはWordPress.org公式ディレクトリや信頼できる企業から入手するべきだと説明しています。

2-4. WordPress本体の更新漏れ

WordPress本体は、新機能追加だけでなく、セキュリティ修正のためにも更新されます。古いバージョンを使い続けると、既に公表された脆弱性を悪用される可能性があります。

WordPress公式は、古いバージョンはセキュリティ更新で維持されないため、最新バージョンを使うことが重要だと説明しています。さらに、脆弱性修正のために新バージョンが公開されると、攻撃に必要な情報が公に知られる可能性が高く、古いバージョンほど攻撃されやすくなるとしています。

2-5. マルウェア感染・サイト改ざん

マルウェア感染やサイト改ざんでは、WordPress内に不審なPHPファイル、JavaScript、リダイレクトコード、スパムページが埋め込まれることがあります。見た目には正常でも、検索エンジンやスマートフォンからのアクセス時だけ不正サイトへ転送されるケースもあります。

対策として、マルウェアスキャン、ファイル変更検知、バックアップ、公式テーマ・プラグインの利用、ファイル編集機能の無効化が有効です。

2-6. スパムコメント・お問い合わせフォームからの攻撃

コメント欄やお問い合わせフォームは、スパム投稿、フィッシングURLの投稿、迷惑メール送信、SQLインジェクションやXSSの試行に使われることがあります。フォームから大量送信されると、サーバー負荷が上がったり、メールサーバーの評価が下がったりすることもあります。

対策として、reCAPTCHA、スパム対策プラグイン、フォーム入力値の検証、送信回数制限、不要なコメント機能の停止を行いましょう。

2-7. サーバーやデータベースへの攻撃

WordPressサイトは、アプリケーションだけでなく、サーバー、PHP、データベース、ファイル権限にも依存しています。サーバーソフトウェアやPHPのバージョンが古い場合、WordPressを更新していてもリスクが残ります。

WordPress公式は、信頼できるホスティング環境の条件として、最新の安定版サーバーソフトウェアを提供すること、バックアップと復旧手段を提供することなどを挙げています。

3. まず最初に行うべき基本のWordPressセキュリティ対策

WordPressセキュリティ対策は、難しい設定から始める必要はありません。まずは、日常運用でできる基本対策を確実に実施しましょう。

3-1. WordPress本体・テーマ・プラグインを常に最新にする

最優先は、WordPress本体、テーマ、プラグインの更新です。管理画面の「ダッシュボード」→「更新」から、利用可能なアップデートを確認できます。

更新前には必ずバックアップを取り、可能であればテスト環境で表示崩れやエラーが出ないか確認しましょう。セキュリティ更新は放置せず、早めに適用することが重要です。WordPress公式ニュースでも、セキュリティリリースではサイトをすぐ更新することが推奨されています。

3-2. 不要なテーマ・プラグインを削除する

使っていないテーマやプラグインは、停止するだけでなく削除しましょう。停止中でもファイルがサーバー上に残っている場合、脆弱性があれば攻撃対象になることがあります。

特に、以前試しに入れたプラグイン、長期間更新されていないプラグイン、用途が重複しているプラグインは整理対象です。必要な機能だけに絞ることで、セキュリティだけでなくサイト表示速度や管理のしやすさも改善します。

3-3. 強力なパスワードを設定する

パスワードは、WordPressセキュリティの基本です。短い文字列、辞書に載っている単語、サイト名、会社名、誕生日、電話番号、ユーザー名を含むパスワードは避けましょう。

WordPress公式は、強力なパスワードを使うこと、短いパスワードや数字だけ・英字だけのパスワードを避けること、パスワード強度メーターを活用することを推奨しています。

おすすめは、パスワード管理ツールで生成した長くランダムなパスワードを使う方法です。管理者、編集者、サーバー管理画面、FTP、データベース、メールアカウントのパスワードは使い回さないようにしましょう。

3-4. 管理者ユーザー名を「admin」のまま使わない

ユーザー名が「admin」のままだと、攻撃者はパスワードだけを推測すればよくなります。既に「admin」を使っている場合は、新しい管理者ユーザーを作成し、権限を確認したうえで古い「admin」ユーザーを削除しましょう。

削除時には、既存記事の投稿者を新しいユーザーへ引き継ぐ設定を忘れないようにしてください。

3-5. ユーザー権限を適切に管理する

WordPressには、管理者、編集者、投稿者、寄稿者、購読者などの権限があります。全員に管理者権限を与えると、アカウントの1つが乗っ取られただけでサイト全体に被害が広がります。

記事を書くだけの人には投稿者、記事編集まで行う人には編集者、サイト設定を変更する必要がある人だけに管理者権限を付与しましょう。退職者、外部委託先、過去の制作者のアカウントが残っていないかも定期的に確認してください。

3-6. SSL化して通信を暗号化する

SSL化とは、サイトURLを http:// から https:// にし、通信を暗号化することです。SSL化されていないログイン画面では、ネットワーク環境によってはIDやパスワードが盗み見られるリスクがあります。

現在、多くのレンタルサーバーでは無料SSLを利用できます。SSL証明書を設定した後は、WordPressの「設定」→「一般」でサイトアドレスが https:// になっているか確認し、httpからhttpsへのリダイレクトも設定しましょう。

3-7. 定期的にバックアップを取る

バックアップは、攻撃されたときの最後の命綱です。WordPress公式は、WordPressサイトを完全に復元するにはデータベースとファイルの両方が必要だと説明しています。データベースには投稿やコメントなどが保存され、ファイルにはWordPress本体、テーマ、プラグイン、画像、設定ファイルなどが含まれます。

バックアップは、次の条件を満たすようにしましょう。

データベースとファイルの両方を保存する
自動バックアップを設定する
サーバー外にも保存する
直近だけでなく複数世代を残す
復元テストを行う

攻撃後にバックアップが同じサーバー内だけにあると、バックアップファイルごと削除・改ざんされる可能性があります。クラウドストレージやローカル環境にも保存しておくと安心です。

4. 不正ログインを防ぐWordPress管理画面のセキュリティ強化

WordPressの管理画面は、攻撃者にとって重要な侵入口です。ログイン画面を守るだけでも、不正アクセスのリスクを大きく下げられます。

4-1. ログインURLを変更する

WordPressの標準ログインURLは、多くの場合 /wp-login.php や /wp-admin/ です。ログインURLを変更すると、自動攻撃の対象になりにくくなります。

ただし、ログインURL変更は万能ではありません。URLが漏れればアクセスされますし、他の脆弱性を防げるわけではありません。強力なパスワード、二段階認証、ログイン試行回数制限と組み合わせて使いましょう。

4-2. ログイン試行回数を制限する

ログイン試行回数制限は、一定回数ログインに失敗したIPアドレスを一時的にブロックする仕組みです。ブルートフォース攻撃への基本対策として有効です。

たとえば、5回失敗したら30分ロック、一定回数を超えたら管理者へ通知、といった設定ができます。OWASPのテストガイドでも、アカウントロック機構はパスワード推測攻撃への耐性を評価する対象として扱われています。

4-3. 二段階認証を導入する

二段階認証は、IDとパスワードに加えて、認証アプリやメール、ワンタイムコードなどを使って本人確認を行う仕組みです。パスワードが漏れても、追加認証がなければログインされにくくなります。

WordPress公式も、強力なパスワードに加えて二段階認証を有効にすることをセキュリティ対策として推奨しています。

管理者アカウントには必ず導入し、可能であれば編集者など重要な権限を持つユーザーにも適用しましょう。

4-4. 画像認証・reCAPTCHAを設定する

画像認証やreCAPTCHAをログイン画面、コメント欄、お問い合わせフォームに設定すると、自動ボットによる攻撃やスパム送信を減らせます。

ただし、画像認証を強くしすぎると、正規ユーザーのログインや問い合わせの妨げになることがあります。ユーザー体験とセキュリティのバランスを見ながら設定しましょう。

4-5. IPアドレス制限で管理画面へのアクセスを絞る

固定IPアドレスを使える環境であれば、管理画面にアクセスできるIPアドレスを制限する方法も有効です。会社や自宅の固定IPだけを許可すれば、それ以外の場所からはログイン画面にアクセスできません。

ただし、外出先やスマートフォン回線から更新する場合は注意が必要です。IPアドレスが変わる環境では、自分自身がログインできなくなることもあります。導入前にサーバー会社のマニュアルを確認しましょう。

4-6. ログイン履歴を確認して不審なアクセスを発見する

ログイン履歴を記録しておくと、見慣れないIPアドレス、深夜のログイン、海外からのアクセス、失敗回数の急増などを発見できます。

不審なログインがあった場合は、すぐにパスワード変更、該当ユーザーの権限確認、プラグイン・テーマ・ファイルの確認を行いましょう。ログは攻撃の調査にも役立ちます。WordPress公式も、ログは何が起きたかを把握するために有用だと説明しています。

5. プラグインでできるWordPressセキュリティ対策

WordPressセキュリティ対策は、プラグインを活用すると初心者でも導入しやすくなります。ただし、プラグインを入れれば完全に安全になるわけではありません。必要な機能を選び、正しく設定し、定期的に確認することが重要です。

5-1. セキュリティプラグインでできること

セキュリティプラグインでは、主に次のような対策ができます。

ログイン試行回数制限
二段階認証
ファイアウォール
マルウェアスキャン
ファイル変更検知
ログインURL変更
画像認証
不審IPのブロック
セキュリティ通知
管理画面の保護

初心者は、まず「ログイン保護」「マルウェアスキャン」「通知」「基本設定の診断」ができるプラグインから導入するとよいでしょう。

5-2. 初心者におすすめのセキュリティプラグイン

初心者に使いやすい代表的なWordPressセキュリティプラグインには、次のようなものがあります。

Wordfence Securityは、エンドポイントファイアウォール、マルウェアスキャン、ログインセキュリティ、ライブトラフィック表示などに対応しています。WordPress.orgのプラグインページでも、ファイアウォール、マルウェアスキャナー、ログインセキュリティ機能を備えていると説明されています。

All-In-One Security（AIOS）は、初心者でも扱いやすい総合型セキュリティプラグインです。WordPress.orgの説明では、無料版にWebアプリケーションファイアウォール、ログインセキュリティ、二要素認証などが含まれるとされています。

SiteGuard WP Pluginは、日本でもよく使われるログイン保護系プラグインです。WordPress.orgの説明では、ブルートフォース攻撃など管理ページやログインへの攻撃対策に特化したプラグインとされています。

5-3. バックアップ用プラグインの選び方

バックアップ用プラグインを選ぶときは、次の点を確認しましょう。

データベースとファイルの両方を保存できるか
自動バックアップのスケジュール設定ができるか
Google Drive、Dropbox、Amazon S3など外部保存に対応しているか
復元操作がわかりやすいか
複数世代のバックアップを残せるか
サイト容量に対応できるか
定期的に更新されているか

バックアップは「取っているつもり」では意味がありません。実際に復元できるか、テスト環境で確認しておくことが重要です。

5-4. 不正ログイン対策に役立つプラグイン

不正ログイン対策では、次の機能を備えたプラグインを選びましょう。

ログイン試行回数制限
ログインURL変更
二段階認証
reCAPTCHA
ログイン通知
IPブロック
ユーザー名の推測防止

ログイン対策は、複数の機能を組み合わせるほど強くなります。ただし、設定を複雑にしすぎると自分がログインできなくなることもあるため、変更前にバックアップを取り、設定内容を控えておきましょう。

5-5. マルウェアスキャンに対応したプラグイン

マルウェアスキャン対応プラグインを使うと、WordPress内の不審なファイル、改ざん、既知のマルウェアパターンを検出できます。

選ぶときは、次の点を確認しましょう。

WordPress本体ファイルの改ざん検知ができるか
テーマ・プラグイン内の不審コードを検出できるか
定期スキャンに対応しているか
検出時にメール通知できるか
誤検知時の確認方法がわかりやすいか

マルウェアスキャンは発見のための手段です。検出されたファイルを削除する前に、バックアップを取り、必要に応じて専門家やサーバー会社に相談しましょう。

5-6. プラグインを入れすぎるリスクと注意点

セキュリティ強化のために多くのプラグインを入れすぎると、次のような問題が起こることがあります。

サイトが重くなる
プラグイン同士が競合する
管理画面にエラーが出る
設定が複雑になり管理できなくなる
脆弱性の入口が増える
更新作業の負担が増える

セキュリティプラグインは、総合型を1つ選び、必要に応じてバックアップやフォーム保護用のプラグインを追加する程度に抑えるのがおすすめです。同じ機能を持つプラグインを複数入れるのは避けましょう。

6. サーバー側で行うWordPressセキュリティ対策

WordPressセキュリティは、管理画面やプラグインだけでは不十分です。サーバー側の設定も重要です。サーバーが弱ければ、WordPressをしっかり管理していても攻撃を受ける可能性があります。

6-1. セキュリティに強いレンタルサーバーを選ぶ

レンタルサーバーを選ぶときは、料金や速度だけでなく、セキュリティ機能も確認しましょう。

無料SSLに対応しているか
WAFを利用できるか
自動バックアップがあるか
マルウェアスキャンや改ざん検知があるか
PHPのバージョンを選べるか
サポート体制があるか
不正アクセス時の対応実績があるか

WordPress公式も、信頼できるホストの条件として、セキュリティ機能や最新の安定版サーバーソフトウェア、信頼できるバックアップと復旧手段を挙げています。

6-2. WAFを有効化する

WAFとは、Web Application Firewallの略で、Webアプリケーションへの攻撃を検知・遮断する仕組みです。SQLインジェクション、XSS、不正なリクエストなどをブロックするのに役立ちます。

多くのレンタルサーバーでは、管理画面からWAFをオンにできます。WordPress公式も、サーバーレベルのWAFや、Webサイトファイアウォールを使って悪意あるリクエストをフィルタリングする方法に触れています。

ただし、WAFを有効化すると、一部のプラグインやフォーム送信が誤ってブロックされる場合があります。問題が起きたときは、WAFログを確認し、必要に応じて除外設定を行いましょう。

6-3. サーバー側の自動バックアップを設定する

サーバー側の自動バックアップは、WordPressプラグインによるバックアップとは別に設定しておくと安心です。プラグインが正常に動作しない場合でも、サーバー側のバックアップから復旧できる可能性があります。

理想は、次のように複数のバックアップ手段を組み合わせることです。

サーバー自動バックアップ
WordPressプラグインによるバックアップ
外部クラウドへの保存
手動バックアップ
復元テスト

バックアップは多重化しておくほど、攻撃や障害から復旧しやすくなります。

6-4. PHPバージョンを最新に保つ

WordPressはPHPで動作しています。PHPのバージョンが古いと、セキュリティやパフォーマンスに問題が出る可能性があります。PHP公式サイトでは、PHP 8.2、8.3、8.4、8.5など複数系統のリリース情報が公開され、セキュリティリリースでは該当バージョンの利用者にアップグレードが促されています。

ただし、PHPを急に上げると、古いテーマやプラグインが動かなくなることがあります。事前にバックアップを取り、可能であればテスト環境で表示や機能を確認してから切り替えましょう。

6-5. データベースの接頭辞を見直す

WordPressのデータベーステーブル接頭辞は、初期状態では wp_ になっていることが多いです。接頭辞が標準のままだと、攻撃者がテーブル名を推測しやすくなります。

新規インストール時は、wp_ 以外の接頭辞に変更するのがおすすめです。既存サイトで変更する場合は、データベースを直接操作するためリスクがあります。必ずバックアップを取り、手順に不安がある場合は専門家に依頼しましょう。

6-6. ファイルやディレクトリの権限を適切に設定する

ファイル権限が緩すぎると、不正にファイルを書き換えられる可能性があります。WordPress公式は、ディレクトリは755、ファイルは644に設定する例を紹介し、必要以上に書き込み可能にしないことを推奨しています。

一般的な目安は次のとおりです。

ディレクトリ：755
ファイル：644
wp-config.php：400または440など、より厳しめ
777は原則として使わない

サーバー環境によって適切な設定は異なるため、レンタルサーバーの公式マニュアルも確認しましょう。

7. WordPressの改ざん・マルウェア感染を防ぐ対策

改ざんやマルウェア感染は、発生してから気づくまでに時間がかかることがあります。見た目が正常でも、裏側では不審なファイルが置かれていたり、検索エンジン向けにスパムページが生成されていたりすることがあります。

7-1. 不審なファイル変更を検知する

ファイル変更検知を導入すると、WordPress本体、テーマ、プラグイン、アップロードフォルダなどで不審な変更があったときに通知を受け取れます。

特に注意すべき場所は次のとおりです。

wp-content/uploads/
wp-content/plugins/
wp-content/themes/
WordPressルートディレクトリ
.htaccess
wp-config.php

画像アップロード用フォルダにPHPファイルがある場合や、見慣れないランダム文字列のファイルがある場合は注意が必要です。

7-2. テーマ・プラグインは公式サイトや信頼できる配布元から入手する

テーマやプラグインは、WordPress.org公式ディレクトリ、開発元の公式サイト、信頼できる販売サイトから入手しましょう。検索で見つけた非公式配布サイトや、出所不明のzipファイルは危険です。

WordPress公式も、テーマやプラグインはWordPress.orgリポジトリやよく知られた企業など信頼できる配布元に限定することを推奨しています。

7-3. 無料配布の有料テーマ・海賊版プラグインを使わない

本来有料のテーマやプラグインが無料で配布されている場合、海賊版の可能性があります。海賊版には、バックドア、スパムリンク、情報を外部送信するコードが仕込まれていることがあります。

「無料だからお得」と思って導入すると、サイト全体を乗っ取られるリスクがあります。ビジネスサイトでは特に、正規ライセンスを購入し、公式アップデートを受けられる状態で使いましょう。

7-4. wp-config.phpを保護する

wp-config.php には、データベース接続情報や認証キーなど重要な情報が含まれています。外部から直接閲覧されないように保護することが重要です。

WordPress公式では、wp-config.php をWordPress設置ディレクトリの1階層上に置く方法や、.htaccess でアクセスを拒否する方法が紹介されています。

Apache環境では、.htaccess に次のような設定を追加する方法があります。

apache
<Files "wp-config.php">
Require all denied
</Files>

サーバー環境によって記述方法が異なる場合があるため、設定前にバックアップを取り、サーバーの仕様を確認してください。

7-5. ファイル編集機能を無効化する

WordPress管理画面には、テーマファイルやプラグインファイルを編集する機能があります。便利な一方で、管理画面に侵入された場合、攻撃者がこの機能を使って悪意あるコードを埋め込む恐れがあります。

WordPress公式は、wp-config.php に次のコードを追加することで、管理画面からのファイル編集を無効化できると説明しています。

PHP
define( 'DISALLOW_FILE_EDIT', true );

この設定をしてもすべての攻撃を防げるわけではありませんが、管理画面侵入後の被害拡大を抑える効果があります。

7-6. 定期的にマルウェアスキャンを実施する

マルウェアスキャンは、週1回または月1回など定期的に実施しましょう。更新直後、プラグイン追加後、不審なアクセス増加後にもスキャンすると安心です。

スキャンで問題が見つかった場合は、次の手順で対応します。

検出内容を確認する
すぐに削除せずバックアップを取る
ファイルの更新日時を確認する
不審な管理者ユーザーがないか確認する
テーマ・プラグインを公式ファイルで上書きする
必要に応じてサーバー会社や専門業者へ相談する

8. WordPressサイトが攻撃されたときの確認ポイント

WordPressサイトが攻撃された可能性がある場合は、慌ててすべてを削除するのではなく、状況を確認しながら被害範囲を特定しましょう。

8-1. 不正アクセスの兆候を確認する

次のような兆候がある場合、不正アクセスを疑いましょう。

管理画面にログインできない
知らない記事や固定ページが増えている
サイトが勝手に別サイトへ転送される
検索結果に不審なタイトルが表示される
サーバー会社から警告メールが届く
セキュリティプラグインから通知が来る
アクセス数が急増している
メール送信エラーが大量に届く

1つでも該当する場合は、ログイン履歴、ユーザー一覧、ファイル変更、Search Console、サーバーログを確認しましょう。

8-2. サイト改ざんの有無をチェックする

改ざん確認では、トップページだけでなく、投稿ページ、固定ページ、カテゴリーページ、スマートフォン表示、検索エンジン経由の表示も確認しましょう。

攻撃によっては、管理者が直接アクセスしたときは正常に見え、検索エンジンや特定端末からアクセスした場合だけ不正ページを表示することがあります。GoogleのSearch Consoleでは、セキュリティ問題レポートや手動による対策レポートでハッキングの兆候を確認できる場合があります。

8-3. 管理者ユーザーが勝手に追加されていないか確認する

管理画面の「ユーザー」一覧を確認し、知らない管理者アカウントが追加されていないか確認します。不審なユーザーがある場合は、すぐに削除し、すべての管理者パスワードを変更しましょう。

あわせて、登録メールアドレス、権限、最終ログイン履歴も確認します。正規ユーザーのアカウントが乗っ取られている可能性もあるため、全ユーザーにパスワード変更を依頼すると安心です。

8-4. 不審なプラグインやファイルを確認する

プラグイン一覧に見覚えのないものがないか、更新停止しているプラグインがないか確認します。サーバー上のファイルでは、次の点を確認しましょう。

ランダムな名前のPHPファイル
画像フォルダ内のPHPファイル
最近更新された不審ファイル
.htaccess の不審なリダイレクト
wp-config.php の改ざん
テーマの functions.php に不審コードがないか

不審ファイルを削除する前に、証拠保全や原因調査のためバックアップを取っておくと、後の復旧がスムーズになります。

8-5. Google検索結果やブラウザの警告表示を確認する

検索結果に「このサイトはハッキングされている可能性があります」や危険サイト警告が表示されている場合、訪問者の流入が大きく減少します。Googleのヘルプでは、危険なサイトと表示された場合、Search Consoleのセキュリティ問題レポートから詳細を確認し、修正後に再審査をリクエストできると説明されています。

サイトを復旧しただけでは、検索結果やブラウザ警告がすぐ消えない場合があります。Search Consoleで問題を修正したことを報告しましょう。

8-6. アクセスログ・エラーログを確認する

サーバーのアクセスログやエラーログには、不正アクセスの手がかりが残っている場合があります。

確認したい項目は次のとおりです。

不審なIPアドレス
大量のログイン試行
wp-login.php への連続アクセス
xmlrpc.php への大量アクセス
存在しないファイルへのアクセス
不審なPOSTリクエスト
エラーが発生した時間帯
ファイル更新時刻との一致

ログの読み方がわからない場合は、サーバー会社や専門業者に相談しましょう。

9. WordPressが乗っ取られた・改ざんされた場合の復旧手順

WordPressが乗っ取られた場合は、焦って作業すると被害が拡大することがあります。復旧は「被害拡大の防止」「原因の特定」「安全な状態への復元」「再発防止」の順で進めましょう。

9-1. まずサイトを一時停止して被害拡大を防ぐ

訪問者を不正サイトへ誘導している、マルウェアを配布している、スパムメール送信に使われている可能性がある場合は、まずサイトを一時停止します。メンテナンス表示に切り替える、サーバー会社へ相談する、該当ディレクトリへのアクセスを制限するなどの方法があります。

Googleの古い公式ブログでも、ハッキング時にはホスティング事業者へ連絡することが最初の対応として挙げられています。共有サーバーでは、利用者だけで対応できない作業もあるため、早めに相談しましょう。

9-2. パスワードをすべて変更する

次のパスワードをすべて変更します。

WordPress管理者
編集者・投稿者など全ユーザー
サーバー管理画面
FTP/SFTP
データベース
メールアカウント
Googleアカウント
外部連携サービス

パスワードを変更しても、攻撃者が作成した不正ユーザーやバックドアが残っていれば再侵入される可能性があります。パスワード変更は復旧作業の一部として行い、ファイルやユーザーの確認も必ず実施しましょう。

9-3. 不審なユーザー・ファイル・プラグインを削除する

ユーザー一覧、プラグイン一覧、テーマファイル、アップロードフォルダ、.htaccess、wp-config.php を確認し、不審なものを削除します。

ただし、削除前に現在の状態をバックアップしておくと、後から侵入経路を調査できます。業務サイトや顧客情報を扱うサイトでは、証拠保全の観点から専門業者に相談したほうがよい場合があります。

9-4. バックアップから復元する

安全な時点のバックアップがある場合は、そこから復元します。復元するバックアップは、感染前のものを選ぶ必要があります。

復元時は、次の点に注意しましょう。

感染後のバックアップを戻さない
ファイルとデータベースをセットで復元する
復元後すぐにWordPress本体・テーマ・プラグインを更新する
パスワードを変更する
不審ユーザーが復元されていないか確認する
マルウェアスキャンを実施する

WordPress公式は、サイト復元にはファイルとデータベースの両方が必要だと説明しています。どちらか一方だけでは、完全に元の状態へ戻せない場合があります。

9-5. WordPress本体・テーマ・プラグインを更新する

復元後は、WordPress本体、テーマ、プラグインを最新にします。古い脆弱性が原因で侵入された場合、復元だけでは再び攻撃される可能性があります。

更新できないプラグイン、長期間メンテナンスされていないテーマ、配布元が不明なファイルは削除または代替に切り替えましょう。

9-6. Googleへの再審査リクエストが必要なケース

Google検索結果やブラウザで警告が表示されている場合は、サイトを修正した後にSearch Consoleから再審査をリクエストします。Googleのヘルプでは、サイトをクリーンアップし、ハッカーによる被害を修正した内容を説明して再審査をリクエストする流れが案内されています。

再審査リクエストでは、次の内容を簡潔に記載するとよいでしょう。

どの問題を確認したか
どのファイルやページを修正・削除したか
どの脆弱性を塞いだか
どのプラグインや本体を更新したか
再発防止策として何を行ったか

9-7. 自力で復旧できない場合に専門業者へ相談する目安

次のケースでは、専門業者やサーバー会社へ相談することをおすすめします。

管理画面にログインできない
何度削除しても不審ファイルが復活する
個人情報を扱っている
検索結果に大量のスパムページが出ている
サーバー会社から停止警告を受けた
バックアップがない
データベースが改ざんされている
どこまで被害があるかわからない
企業サイトやECサイトで早急な復旧が必要

誤った復旧作業で証拠を消したり、必要なファイルを削除したりすると、被害調査や復元が難しくなります。不安がある場合は早めに相談しましょう。

10. WordPressセキュリティ対策のチェックリスト

WordPressセキュリティは、一度設定して終わりではありません。日常的に確認する仕組みを作ることが大切です。

10-1. 初心者が今日から実施すべき最低限の対策

まずは、次の項目を今日中に確認しましょう。

WordPress本体を最新にする
テーマを最新にする
プラグインを最新にする
不要なテーマ・プラグインを削除する
管理者ユーザー名が「admin」でないか確認する
強力なパスワードに変更する
二段階認証を導入する
ログイン試行回数制限を設定する
SSL化する
バックアップを設定する
バックアップの保存先を確認する

この中でも、更新、パスワード、バックアップの3つは最優先です。

10-2. 月1回確認したいセキュリティ項目

月1回は、次の項目を確認しましょう。

WordPress本体の更新状況
テーマ・プラグインの更新状況
不要なプラグインの有無
管理者ユーザーの一覧
ログイン履歴
バックアップの取得状況
バックアップ容量と保存先
セキュリティプラグインの通知
Search Consoleのセキュリティ問題
サーバーのWAF設定
PHPバージョン

定期確認日をカレンダーに登録しておくと、更新忘れを防げます。

10-3. プラグイン・テーマ更新時の確認項目

プラグインやテーマを更新するときは、次の流れで確認しましょう。

更新前にバックアップを取る
更新内容を確認する
重要サイトではテスト環境で試す
本番環境で更新する
トップページを確認する
投稿ページを確認する
フォーム送信を確認する
決済や予約など重要機能を確認する
エラー表示がないか確認する
キャッシュを削除する

特に企業サイト、ECサイト、会員サイトでは、更新後の動作確認を必ず行いましょう。

10-4. バックアップと復元テストの確認項目

バックアップは、取得だけでなく復元できることが重要です。次の項目を確認しましょう。

自動バックアップが実行されている
データベースが保存されている
ファイルが保存されている
外部ストレージにも保存されている
複数世代が残っている
復元手順を把握している
テスト環境で復元できる
バックアップファイルにアクセス制限がある
バックアップ保存先の容量に余裕がある

WordPress公式も、問題が起きたときに備えてバックアップを取ることの重要性を説明しています。

10-5. 管理者・編集者が複数いる場合の確認項目

複数人で運営するサイトでは、アカウント管理が重要です。

退職者や外部委託先のアカウントを削除する
全員が強力なパスワードを使っているか確認する
管理者権限を必要最小限にする
二段階認証を必須にする
共有アカウントを使わない
投稿者ごとに個別アカウントを発行する
定期的に権限を見直す
ログイン履歴を確認する

人が増えるほど、パスワード管理や権限管理のミスが起こりやすくなります。運用ルールを明文化しておくと安心です。

11. WordPressセキュリティ対策でよくある質問

ここでは、WordPressセキュリティ対策でよくある疑問に回答します。

11-1. WordPressにセキュリティ対策は本当に必要？

必要です。WordPressは便利で利用者が多い反面、管理画面、プラグイン、テーマ、サーバー、パスワードなど複数のリスクがあります。何も対策しないまま運用すると、不正ログイン、改ざん、マルウェア感染、情報漏えいの危険があります。

WordPress公式も、基本的なセキュリティ対策をしない場合には潜在的な問題が起こり得ると説明しています。

11-2. 無料プラグインだけでセキュリティ対策は十分？

小規模な個人ブログであれば、無料プラグインと基本対策だけでも一定の防御は可能です。ただし、無料プラグインだけで完全に安全になるわけではありません。

重要なのは、プラグインだけに頼らず、更新、強力なパスワード、二段階認証、バックアップ、SSL、WAF、サーバー管理を組み合わせることです。企業サイト、ECサイト、会員サイト、問い合わせ数が多いサイトでは、有料版や専門業者の保守も検討しましょう。

11-3. セキュリティ対策をしてもサイトは重くならない？

設定内容によります。マルウェアスキャン、ファイアウォール、ログ監視などは、サーバー負荷に影響することがあります。ただし、適切に設定すれば大きな問題にならないことも多いです。

重くなる場合は、次の点を見直しましょう。

セキュリティプラグインを複数入れていないか
スキャン頻度が高すぎないか
不要な機能を有効化していないか
キャッシュプラグインと競合していないか
サーバースペックが不足していないか

セキュリティと速度は両立できます。必要な機能を選び、過剰な設定を避けましょう。

11-4. 初心者が最優先でやるべき対策は？

初心者が最優先でやるべき対策は、次の5つです。

WordPress本体・テーマ・プラグインを更新する
強力なパスワードを使う
二段階認証を導入する
ログイン試行回数を制限する
バックアップを設定する

特にバックアップは、攻撃だけでなく、更新失敗や操作ミスから復旧するためにも重要です。WordPress公式も、データベースやファイルを適切にバックアップすることで復元できると説明しています。

11-5. セキュリティ業者に依頼すべきケースは？

次のような場合は、セキュリティ業者への依頼を検討しましょう。

サイトが改ざんされた
マルウェアが検出された
不正な管理者ユーザーが追加された
検索結果に警告が表示された
個人情報を扱っている
ECサイトや会員サイトを運営している
自力で復旧できない
何度も再感染する
原因調査と再発防止まで行いたい

業者に依頼する場合は、復旧だけでなく、侵入経路の調査、脆弱性対策、監視、バックアップ設計まで対応できるか確認しましょう。

11-6. WordPress.comとWordPress.orgでセキュリティ対策は違う？

違います。WordPress.comはホスティング込みのサービスで、サーバー管理や一部の保守はサービス側に任せられます。一方、WordPress.orgから入手して自分でサーバーにインストールするWordPressは、サーバー、テーマ、プラグイン、バックアップ、セキュリティ設定を自分で管理する必要があります。WordPress.orgのダウンロードページでも、自分でホスティングとドメインを用意してインストールする形が案内されています。

一般的に、この記事で解説している「WordPressセキュリティ対策」は、主にWordPress.org版の自前運用サイト向けです。WordPress.comを使っている場合も、強力なパスワード、二段階認証、ユーザー権限管理、不要な連携の削除などは重要です。

まとめ

WordPressセキュリティ対策は、サイト運営者なら必ず取り組むべき基本管理です。不正アクセス、改ざん、乗っ取り、マルウェア感染、情報漏えいは、個人ブログでも企業サイトでも起こり得ます。

まずは、WordPress本体・テーマ・プラグインの更新、不要プラグインの削除、強力なパスワード、二段階認証、ログイン試行回数制限、SSL化、バックアップから始めましょう。そのうえで、WAF、ファイル変更検知、マルウェアスキャン、サーバー設定、ログ確認、Search Consoleの監視を組み合わせることで、より安全なサイト運営ができます。

WordPressのセキュリティは、一度設定して終わりではありません。更新、確認、バックアップ、監視を継続することが大切です。今日できる基本対策から始めて、攻撃されにくく、万が一のときにも復旧しやすいWordPressサイトを作りましょう。