WordPress はウェブの膨大な割合を支えており、それゆえ常に攻撃の標的になります。良い知らせは、WordPressの侵害の圧倒的多数が、小さく予測可能な一連の弱点を悪用しており、そのほぼすべてが防止可能だということです。この WordPressセキュリティ強化 チェックリストは、2026年に本当に効果を発揮する手順を、おおむね優先順位順に解説します。
要点
- 脆弱で古いプラグインとテーマは、WordPressにとって最大の攻撃経路です。規律ある更新と未使用コードの削除は、何よりも重要です
- 強力な認証(一意の管理者ユーザー名、強固なパスワード、二要素認証、ログインのレート制限)は、2番目に多い侵入口をふさぎます
wp-config.php、ファイル権限、REST API / XML-RPC の攻撃面を強化し、サイトの前段にWAFを配置します- 定期的にバックアップを取り、復元をテストします。良いバックアップは、侵害を災害ではなく単なる不便に変えます
1. コア、プラグイン、テーマを最新に保つ
古いプラグインとテーマは、WordPressサイトがハッキングされる最大の原因です。すべてのプラグインは、サイトへのアクセス権を持って動作するサードパーティのコードです。
- WordPressコアの自動更新を有効にします(少なくともマイナーリリース)。
- プラグインとテーマを速やかに更新します。理想的にはステージングでのテストを含むスケジュールに沿って行います。
- 使用していないプラグインとテーマは削除します。無効化では不十分で、削除して初めて安全です。
- 積極的にメンテナンスされている、評判の良いソースからのみプラグインをインストールします。
- 放置されたプラグインに注意します。メンテナンスされていないコードは、まだ動作していても負債です。
2. 認証をロックダウンする
wp-login.php に対するブルートフォース攻撃と認証情報攻撃は絶え間なく続きます。
- ユーザー名に
adminを絶対に使用しません。一意の管理者名を使います。 - すべてのアカウントに強固で一意のパスワードを強制します。
- すべての管理者アカウントと編集者アカウントで二要素認証(2FA)を有効にします。
- ログイン試行回数を制限し、レート制限を追加してブルートフォース攻撃を阻止します。
- ログインURLの変更や保護、CAPTCHAチャレンジの追加を検討します。
3. 最小権限のユーザーロールを適用する
- 各ユーザーには、業務を遂行できる最小のロールを付与します。全員が管理者である必要はありません。
- ユーザーアカウントを定期的に監査し、退職者や未使用のログインを削除します。
- カスタム権限を追加するプラグインをインストールした後は、ロールを見直します。
4. wp-config.php を強化する
wp-config.php にはデータベースの認証情報とシークレットキーが含まれるため、特別な注意に値します。
- 一意の認証キーとソルトを設定します。
- 組み込みのファイルエディターを無効にします。
define('DISALLOW_FILE_EDIT', true);とすることで、管理者アクセスを得た攻撃者がダッシュボードからテーマやプラグインのコードを編集できないようにします。 - ホスティング構成で許される場合は、
wp-config.phpをウェブルートの1階層上に移動し、そのファイル権限を制限します。 - 本番環境では
WP_DEBUGを無効のままにし、エラーが情報を漏らさないようにします。
5. 正しいファイルおよびディレクトリ権限を設定する
- ディレクトリは
755、ファイルは644を標準の基準とし、777は決して使いません。 - ウェブサーバーのユーザーがファイルを所有しつつも、必要のない場所には書き込めないようにします。
- 機密ファイルを保護し、ディレクトリ一覧の表示を無効にします。
6. 攻撃面を減らす:XML-RPC と REST API
- 使用していない場合は XML-RPC を無効にします。これはブルートフォースやDDoS増幅の一般的な経路です。
- 公開したくないデータを露出する箇所では、REST API を制限するか認証を要求します。
- WordPressのバージョン番号やその他の不要な情報開示を、ページ出力から削除します。
7. 前段に WAF と HTTPS を置く
- サイト全体を HTTPS で配信し、すべての HTTP トラフィックをリダイレクトします。
- セキュリティヘッダー(HSTS、
X-Content-Type-Options、X-Frame-Optionsまたは frame-ancestors の Content-Security-Policy、および実用的な範囲で CSP)を追加します。 - ウェブアプリケーションファイアウォールを使用します。Cloudflare のような CDN レベルの WAF は、悪意あるトラフィックが WordPress に到達する前にフィルタリングし、ボットやDDoSの圧力を吸収します。
8. データベースとホスティングの強化
- 新規インストールでは、既定ではないデータベーステーブルの接頭辞を使用します。
- WordPress が必要とする権限のみを持つ専用のデータベースユーザーを使用します。
- PHP はサポートされている最新バージョンに保ちます。サポート終了の PHP は静かなリスクです。
- サイトを隔離し、サーバースタックにパッチを適用するホスティングを選びます。
9. 監視、バックアップ、復旧
- マルウェアとファイル整合性のスキャンを実行し、予期しない変更を迅速に検知します。
- セキュリティログを有効にし、ログイン試行や変更を確認できるようにします。
- 定期的な自動バックアップをサーバー外に保存し、その復元をテストします。テストされていないバックアップは、計画ではなく希望に過ぎません。
重要なポイント
- 最大の効果は地味なものです。すべてを更新し、未使用のプラグインとテーマを削除し、2FA による強力な認証を強制することです。
wp-config.php、ファイル権限、XML-RPC / REST API の攻撃面を強化して、攻撃面を縮小します。- HTTPS、セキュリティヘッダー、WAF をサイトの前段に置きます。
- 定期的にバックアップを取り、復元をテストして、侵害から復旧できるようにします。
プロによるWordPressセキュリティ強化
チェックリストで大半の道のりは進めますが、WordPressセキュリティ強化 は専門家の目があるとさらに効果的です。WordPressセキュリティ監査
では、すべてのプラグインとテーマをレビューし、認証とアクセスをテストし、wp-config.php、データベース、REST API と XML-RPC の攻撃面を確認して、優先順位付けされた強化計画を作成します。サイトとスタック全体にわたる、より広い視点については、英国企業向けのウェブサイトセキュリティ監査ガイド
をご覧ください。強化と並行して継続的な開発と保守が必要な場合は、採用可能なWordPress開発者
が長期にわたって安全を維持できます。
よくある質問(FAQ)
WordPressサイトがハッキングされる最も一般的な方法は何ですか? 脆弱で古いプラグインとテーマです。サードパーティのプラグインコードが最大の攻撃経路であり、だからこそ速やかな更新と未使用プラグインの削除が、ほぼ何よりも重要になります。
セキュリティプラグインは本当に必要ですか? 評判の良いセキュリティプラグインは、マルウェアスキャン、ログイン制限、監視に役立ちますが、基本の代わりにはなりません。更新、強力な認証、最小権限のロール、WAF が基本です。良い衛生管理の代わりではなく、その上に重ねて使いましょう。
XML-RPC は無効にすべきですか? 使用していない場合(たとえばモバイルアプリや一部の連携など)は、はい。XML-RPC はブルートフォースやDDoS増幅に頻繁に悪用されるため、無効化すれば一般的な攻撃面を取り除けます。
WordPressサイトはどのくらいの頻度でバックアップすべきですか? 意味のあるデータを失わない程度に頻繁に、通常はアクティブなサイトでは毎日、サーバー外に保存します。決定的に重要なのは、復元をテストすることです。一度も復元したことのないバックアップは、実証されていません。
WordPressの保護に Cloudflare だけで十分ですか? Cloudflare のような CDN レベルの WAF は、多くの悪意あるトラフィックをフィルタリングし、ボットやDDoSの圧力を吸収しますが、脆弱なプラグイン、弱いパスワード、設定ミスは修正しません。オンサイトの強化と並ぶ一つの層として使いましょう。
コメント