WordPressのセキュリティ対策｜攻撃手法と具体的な防御方法

なぜWordPressは攻撃されやすいのか

WordPressは世界のWebサイトの約43%で使われています。この圧倒的なシェアが、逆に攻撃者にとって「効率の良いターゲット」になっています。

攻撃者の視点

• 1つの脆弱性で大量のサイトを攻撃できる — 同じプラグインの脆弱性を突けば、数万サイトに侵入可能
• 管理画面のURLが共通 — デフォルトでは /wp-admin/ にアクセスすれば管理画面
• オープンソースでコードが公開 — 脆弱性を見つけやすい
• 放置サイトが多い — アップデートされていないサイトが大量に存在

だからといって「WordPressは危険」というわけではありません。適切な対策を取れば、十分に安全に運用できます。

WordPressの全体像については、WordPress活用ガイドをご覧ください。

よくある攻撃手法

ブルートフォースアタック（総当たり攻撃）

管理画面のログインページに、大量のユーザー名・パスワードの組み合わせを試行する攻撃です。

• リスク: 管理者アカウントを乗っ取られる
• 特徴: 1分間に数百〜数千回のログイン試行
• 対策: ログイン試行回数の制限、2段階認証の導入

SQLインジェクション

フォームやURLパラメータに不正なSQL文を注入し、データベースを操作する攻撃です。

• リスク: 個人情報の漏洩、データの改ざん・削除
• 特徴: 脆弱なプラグインのフォームが狙われる
• 対策: プラグインのアップデート、WAF（Webアプリケーションファイアウォール）の導入

クロスサイトスクリプティング（XSS）

悪意のあるJavaScriptコードをサイトに埋め込む攻撃です。

• リスク: 訪問者のCookie情報の窃取、フィッシングサイトへの誘導
• 特徴: コメント欄やフォームが悪用される
• 対策: 入力値のサニタイズ、CSPヘッダーの設定

ファイルインクルージョン

外部の悪意あるファイルをサーバーに読み込ませる攻撃です。

• リスク: サーバーの完全な乗っ取り、マルウェアの設置
• 特徴: 古いテーマ・プラグインが狙われる
• 対策: テーマ・プラグインの更新、ファイルパーミッションの適切な設定

今すぐできるセキュリティ対策10選

対策①：WordPress本体・テーマ・プラグインを最新に保つ

これが最も重要かつ効果的な対策です。脆弱性が発見されると、修正パッチがアップデートとして配信されます。

• WordPress本体のマイナーアップデートは自動更新を有効に
• プラグイン・テーマは月1回は確認・更新
• 使っていないプラグイン・テーマは削除（無効化ではなく削除）

対策②：管理者パスワードを強化する

• 12文字以上、英大小文字・数字・記号を含む
• 「admin」「password」「会社名」は絶対に使わない
• パスワードマネージャー（1Password、Bitwarden）の利用を推奨

対策③：ユーザー名「admin」を変更する

デフォルトの「admin」は攻撃者が最初に試すユーザー名です。

• 新しい管理者アカウントを作成し、「admin」アカウントを削除
• ユーザー名に会社名や個人名を使わない

対策④：ログインURLを変更する

デフォルトの /wp-admin/ /wp-login.php を独自のURLに変更します。

• SiteGuard WP Pluginで簡単に変更可能
• これだけでブルートフォースアタックの大半を防げる

対策⑤：ログイン試行回数を制限する

• 一定回数（5回など）ログインに失敗したらアカウントを一時ロック
• Limit Login Attempts Reloaded プラグインが定番

対策⑥：2段階認証を導入する

• Google Authenticator や Wordfence のログインセキュリティ機能
• パスワードが漏洩しても、2段階認証があれば侵入を防げる

対策⑦：SSL（HTTPS）を有効にする

• 通信を暗号化し、ログイン情報やフォームデータの盗聴を防ぐ
• 現在はSEOにも影響する（HTTPSでないとGoogleの評価が下がる）
• Let's Encryptで無料のSSL証明書が取得可能

対策⑧：ファイルパーミッションを適切に設定する

• wp-config.php — 400 or 440（読み取り専用）
• .htaccess — 644
• ディレクトリ — 755
• ファイル — 644

対策⑨：WAF（Webアプリケーションファイアウォール）を導入する

• 不正なリクエストをサーバーに到達する前にブロック
• サーバー会社が提供するWAF（エックスサーバー等）を有効にする
• Cloudflareの無料プランでも基本的なWAF機能が利用可能

対策⑩：定期的なバックアップを取る

• 最後の砦。すべての対策を突破されても、バックアップがあれば復旧できる
• データベース＋ファイルの両方をバックアップ
• バックアップ先はサーバー外（Googleドライブ・Dropboxなど）に保存

おすすめセキュリティプラグイン

SiteGuard WP Plugin（無料）

日本製のセキュリティプラグイン。管理画面の保護に特化。

• ログインURL変更
• ログイン時の画像認証（日本語CAPTCHA対応）
• ログイン試行回数制限
• ログインアラートメール

Wordfence Security（無料/有料）

世界で最も利用されているWordPressセキュリティプラグイン。

• ファイアウォール機能
• マルウェアスキャン
• ブルートフォース防止
• 2段階認証
• リアルタイムの脅威データベース（有料版）

Sucuri Security（無料/有料）

• セキュリティ監査ログ
• マルウェアスキャン
• ファイル整合性チェック
• クラウドベースのWAF（有料版）

万が一改ざんされた場合の復旧手順

Step 1：サイトを一時停止する

メンテナンスモードにするか、サーバー会社に連絡してサイトを一時停止。被害の拡大を防ぐ。

Step 2：バックアップから復旧する

改ざん前の正常なバックアップがあれば、そこから復旧するのが最速。

Step 3：マルウェアの除去

バックアップがない場合は、Wordfenceのスキャン機能などで不正ファイルを特定・削除。

Step 4：パスワードの全変更

• WordPress管理者パスワード
• データベースパスワード
• FTP/SFTPパスワード
• サーバー管理画面のパスワード

Step 5：侵入経路の特定と対策

• どのプラグイン・テーマの脆弱性が原因だったか調査
• 該当のプラグイン・テーマをアップデートまたは削除
• セキュリティ対策の見直し

Step 6：Googleへの再審査リクエスト

Googleにマルウェア判定されている場合、Search Consoleから再審査リクエストを送信。

あわせて読みたい

• ホームページ制作の費用相場と選び方｜中小企業のWeb制作ガイド【2026年版】
• LP（ランディングページ）制作ガイド｜コンバージョン率を上げる設計と費用
• ホームページのSEO対策｜中小企業が検索上位を獲得する方法
• Webサイトリニューアルの進め方｜失敗しないための5ステップ
• WordPress活用ガイド｜ホームページ制作から運用・保守まで【2026年版】

まとめ

• WordPressはシェアの高さゆえに攻撃のターゲットになりやすい
• 最大の対策は「WordPress本体・テーマ・プラグインを最新に保つ」こと
• ログインURL変更・試行回数制限・2段階認証で管理画面を保護
• セキュリティプラグインは1つ選んでしっかり設定
• バックアップは最後の砦。サーバー外に定期保存
• 改ざんされた場合は、サイト停止→復旧→パスワード変更→原因調査の順で対応

WordPressのセキュリティ対策にお困りの方は、お問い合わせからお気軽にご相談ください。FUNBREWでは、セキュリティ診断から対策の実施、保守運用まで対応しています。