こんにちは、しのです。
WordPressでブログを運用しているのですが、ハッキングなどされないか不安です。個人でも出来るセキュリティ対策について教えてください
本日は上記の疑問を解決していきます
WordPressでブログを運用しているとセキュリティが心配になりませんか?
最近は海外からのハッキング被害が多発していることもあり、WordPressのセキュリティ対策をちゃんとしておかないと悪質な被害を被ることになりかねません。
そのため本日は個人でも「これさえ行っておけば大丈夫!」というセキュリティ対策の内容を紹介しますので是非ご覧ください。
また、僕自身WordPressのブログを実際にハッキングされた経験がありますのでセキュリティ対策については実感を持ってお伝えできると思います。
本記事でわかること
・個人で出来るWordPressの対策が分かる
個人でもできるWordPressのセキュリティ対策
それでは早速見ていきましょう。
ポイント
①WordPress自体のバージョンアップを行う
②プラグインのバージョンアップを行う
③WordPressのログイン画面のURLを変更する
④ログイン時のパスワードを複雑なものにする
⑤ログイン時に2段階認証を設ける
順番に開設していきます。
①WordPress自体のバージョンアップを行う
WordPressは定期的にバージョンが変わります。
2025年12月14日現在、最新のバージョンは6.9となっていますが、あなたのWordPressのバージョンはちゃんと最新になっていますでしょうか。
WordPressってなんで定期的にバージョンアップされるの?
主な理由は以下となります。
・セキュリティの脆弱性を修正するため
・不正ログインや改ざん対策のため
・バグや不具合を修正するため
・管理画面や操作性を改善するため
・表示速度やパフォーマンス向上のため
・PHPやサーバー環境の変化に対応するため
・将来も安全に使い続けるため
様々な理由がありますが、WordPressのバージョンアップを放置しているとセキュリティ面の脆弱性が現れることが最も喫緊の課題となります。
WordPressは「オープンソース」といって誰でもコードの中身を知ることが出来るシステムで構築されている事から、セキュリティ面で脆弱性が現れやすいです。
また、その利便性から数あるWEBサイトの中でも全世界で使用されている割合が非常に高いため、他のWEBサイトで行えたハッキングの手法が横展開で利用しやすいという側面もあります。
これらの理由からWordPress自体のバージョンアップは欠かさず行う事をオススメします。
WordPressのアップデート通知は管理者用のアドレスにメールでも届きますし、ダッシュボードにも表示されるため通知が来たら更新しましょう。
②プラグインのバージョンアップを行う
プラグインのバージョンアップも抜かりなく行っておきましょう。
プラグインもバージョンアップが必要なの?プラグインがセキュリティの脆弱性に繋がるってあんまりイメージ湧かないなあ。
結論から言うと、必須です。実は、WordPressのセキュリティ事故の多くはプラグインから起きていることが多いのです。
なぜプラグインが脆弱性につながるのかというとプラグインもプログラムだからです。
プラグインは「便利な機能を後から追加する部品」のようなものですが、中身は普通のプログラムコード。
つまり書き方のミスや想定外の入力、古い処理方法があれば容易に攻撃の入り口となります。
また世界中で同じプラグインが使われている事も多く、人気なプラグインほど攻撃対象として狙われやすいケースが増えるんですね。
そのためプラグインもWordPress本体と同様にアップデートを抜かりなく行うようにしましょう。
③WordPressのログイン画面のURLを変更する
WordPressのログイン画面のURL、ひょっとして「/wp-admin」のままにしていませんか?
wp-adminのままにしておくとログイン画面に易々と到達することが出来、辞書攻撃や総当たり攻撃に遭うリスクが非常に高くなります。
辞書攻撃とは
あらかじめ用意した「よく使われるパスワードの一覧(=辞書)」を使って、不正ログインを試みる攻撃手法のことです。
総当たり攻撃とは
考えられるすべてのパスワードの組み合わせを機械的に試し、不正ログインを狙う攻撃手法のことです。
これらの攻撃を受けてもしパスワードを突破されるとSiteGuard WPなどのプラグインを使えば簡単にログインURLを変更することが出来るのでまだ「wp-admin」のままにしている方は早めにログインURLを変更しましょう。
④ログイン時のパスワードを複雑なものにする
これはイメージしやすいと思いますがログイン時のパスワードを他人が推測しやすいものや簡単なものにしていると、上記の辞書攻撃や総当たり攻撃などを受けて突破されやすくなります。
そうは言っても複雑なパスワードを覚えておくことは出来ないし
気持ちはわかります。
なのでそういった場合は以下の対応をしましょう。
・Google Chromeのパスワードを記憶する機能を使う
・非公開のGoogleドキュメントなどにパスワードを書いておく
僕は上記のどちらも使用して複雑なパスワードを管理しています。
パスワードは、12文字以上で大文字小文字を混ぜたランダムな英数字と記号を組み合わせて使うことをオススメします
⑤ログイン時に2段階認証を設ける
ログイン時する際に2段階認証を設ける事も非常に有効です。
2段階認証はSMSのコードを電話番号に送ることも出来ますし、Google Authenticatorというアプリを使って認証をすることも出来ます。
ログインするたびに二段階認証をする必要があるためしょっちゅうログインする方にとってはやや手間ではありますが、二段階認証を行えば第三者にログインされる危険性はかなり低くなるためしっかりセキュリティ対策を行いたい!という方にはオススメの方法です。
2段階認証はどうすれば行えますか?
Wordfence Login Securityというプラグインを使えば簡単に実装することが出来ますよ
こちらからダウンロードすることも出来ますし、WordPressの管理画面からログインすることも可能なので気になる方は是非チェックしてみて下さい。
無料ですが十分に使える良心的なプラグインです。
最後に
いかがでしたでしょうか。
個人でもWordPressのセキュリティ対策で出来る事は複数あります。
ちなみに最後になりますが皆さんが驚かれるであろう画像を貼っておきます。
これは Wordfenceというプラグインが世界中で検知・ブロックしている攻撃の総数です。
・24時間で 約700万〜800万件
・常にこの規模で発生している
結構すさまじいですよね。
WordPressがいかに日常的に膨大な攻撃を受けているかが分かります。
そのためもしまだブログのセキュリティ対策をしていないよ、という方は是非この機会にセキュリティ対策を行うようにしてください。
というわけで本日の記事は以上です( ͡° ͜ʖ ͡°)