WordPressの脆弱性に対するセキュリティ対策方法！強化プラグインも紹介

WordPressは、手軽にウェブサイトやブログを構築できることから、世界トップシェアを誇るCMSです。カスタマイズやSEOがしやすく、利用者が多いので困ったときに情報を得やすいなど、Wordpressを利用するメリットはたくさんあります。

一方で、WordPressは脆弱性の報告が多いことでも有名です。セキュリティ対策をしっかりしておかないと、トラブルに見舞われるケースも少なくないでしょう。

本記事では、WordPressの脆弱性に関するセキュリティ対策方法を詳しく解説していきます。セキュリティが弱いと言われている理由や、セキュリティ強化におすすめのプラグイン、WordPressのセキュリティチェックツールも紹介しています。ぜひ参考にしてください。

WordPressは脆弱性が多い？

そもそも脆弱性とは、設計ミスやプログラムの不具合が原因で発生する、セキュリティの欠陥です。脆弱性があると、外部から攻撃を受けるリスクが高くなるので注意が必要と言われています。

「JVN iPedia」でWordPressと検索してみた結果、2024年1月～12月の間だけでも2,225件の脆弱性報告がされているほど発生件数が多いです。

とくに、プラグインやテーマでの脆弱性が多いので、長期間サポートされていないものは避けるなど自衛は必要でしょう。

セキュリティ対策をしない場合のリスク

WordPressでセキュリティ対策をしない場合は、以下のようなリスクがあります。

WordPressは何もセキュリティ対策をしていない状態だと、管理画面のURLが固定であるため、ID・パスワードを総当たりで攻撃される「ブルートフォースアタック」が簡単にできてしまいます。それによってサイトのパスワードが変更され、本来のサイト管理者がログインできなくされてしまうのがサイトの乗っ取りです。

乗っ取られてしまうと、サイトを自由に操作、改ざんができてしまいます。会員の個人情報が流出や、スパムコメントの量産、フィッシングサイトへの誘導などに使われてしまうでしょう。

WordPressのセキュリティが弱いと言われる理由

脆弱性の報告が多いWordPress。セキュリティが弱いと言われる理由は、以下の4つがあります。

それぞれの理由について見ていきましょう。

世界中で最も使われるCMSで狙われやすい

WordPressは、世界シェアトップのCMSです。「W3Techs」によると、日本のCMS市場では8割を占めているほど使われています。

世界的にメジャーであり、ユーザー数も多いことから狙われる可能性も高くなっています。そのため、結果として被害数が多くなってしまっていると言えるでしょう。

オープンソースなので脆弱性を発見しやすい

WordPressは、無料で使えるオープンソースです。プログラム構造やシステムの仕様が公開されているため、不特定多数の人がセキュリティホールを発見できてしまいます。

また、プログラムの改良にも個人から企業の知見が活かされているため、一定品質を保つのが難しいのも脆弱性が多い理由の1つかもしれません。

デフォルトの管理画面URLが固定化されている

WordPressでは、管理画面のURLがデフォルトで「https://ドメイン名//wp-login.php」に固定されています。使い慣れている人であれば、誰でも簡単にログインページへアクセスできてしまいます。

悪意あるものはログイン画面に入れれば、パスワードの総当たり攻撃（ブルートフォースアタック）を仕掛けてきます。パスワードが短かったり、数字のみの単純な文字列だったりすると、これで簡単にログインされてしまう恐れがあります。

とくにブログやホームページを初めて運営する人は、設定を変えていないことが多く、パスワードも覚えやすい簡単なものであることから、被害に遭いやすくなります。

基本的に最新バージョン以外はサポートされていない

WordPressのセキュリティサポートは、基本的には最新バージョンのみです。2025年1月時点では、バージョン6.7.1が最新のものとなります。6.6以下のバージョンを使っている場合は、公式サポートが終了しているので脆弱性の危険が高くなります。

WordPressは年に数回、最新バージョンをリリースしているのでこまめにアップデートしましょう。

最低限行うべきWordpressのセキュリティ対策方法

ここでは、WordPressでサイト運営を行う人が最低限しておくべきセキュリティ対策を紹介します。

それぞれのセキュリティ対策の詳細を解説していきます。

WordPressのバージョンは最新状態を保つ

先述した通り、WordPressは最新バージョンしかセキュリティサポートをしていません。年に数回、更新がかかるので常に最新状態を保つようにしましょう。

セキュリティやバグの修正であるマイナーアップデートに関しては、リリース後しばらくすると自動でアップデートされます。ですが、自動アップデートされるまでに時間がかかるケースもあります。更新通知に気づいた時点で、手動対応したほうが安全でしょう。

ユーザー名・パスワードの複雑化

ユーザー名がadminだったり、パスワードに生年月日などを設定していると、悪意のある第三者に簡単にログインされてしまいます。WordPressのユーザー名とパスワードは、意味のある単語ではなく、意味のない文字列の羅列にし、英数、記号を組み合わせた複雑なものを設定するようにしましょう。できれば、定期的にパスワードの変更することをおすすめします。

管理画面URLを変更する際はプラグインが必要

管理画面URLを変更する場合は「SiteGuard WP Plugin」「WPS Hide Login」などのプラグインが必要となります。導入するのも良いですが、それよりユーザー名・パスワードを複雑化させてセキュリティを高めたほうが容易です。

ニックネームを設定

初期設定では、ニックネームがユーザー名になっています。そのままでは、コメント返信時などで、利用者にログイン情報の一部がバレてしまいます。

WordPressに左メニューから「ユーザー→あなたのプロフィール」をクリックして、ニックネームを変更しましょう。ユーザー名やログイン情報に関係のない名前にしておくと良いです。

IPアドレスの制限をかける

ログインできるIPアドレスを制限しておけば、不正アクセスを防げます。社内Wi-Fiにログインしているときだけ利用できるなど、できる限り範囲を狭めて設定しておきましょう。

もし、在宅などの社員がいるという場合は、国外IPアドレスからのアクセスの制限だけでもしておいたほうが良いです。IPアドレスの制限は、専用プラグインを使えば簡単に設定できます。

設定ファイルにアクセス制限をかける

WordPressには、データベースのIDやパスワード、WordPressの設定情報などが記載されている「wp-config.php」というファイルがあります。外部からファイルにアクセスされてしまうと、サイトが乗っ取られるなどのリスクとなるので、第三者がアクセスできないように設定しておきましょう。

FTPソフトでパーミッション（ファイルの属性）を、デフォルトの「644」から「600」に変更し、所有者のみ読み取りと書き込みができるように設定してください。

プラグインの導入は必要最低限に

WordPressにはさまざまなプラグインがあり、使用することで自由にカスタマイズや拡張できることが魅力です。ですが、サポートされていないプラグインを入れてしまうと、脆弱性が見つかる可能性もあります。リスクを回避するためにも、導入するプラグインは必要最低限にとどめておきましょう。

使用していないプラグインやテーマは削除する

使用していないプラグインやテーマから脆弱性が発見されることもあります。使っていないものは定期的に削除するようにしましょう。

WebサイトのSSL化

WordPressに限ったことではありませんが、Webサイトを運営するうえでSSL化対応は必須と言えます。

SSLとは「Secure Sockets Layer」のことで、インターネット上の通信を暗号化する仕組みのことです。サイトを常時SSL化することで、端末とサーバー間の盗聴や改ざんを防ぐことができ、ログイン情報などを守ることが可能になります。

なお、GoogleはSSL化されたサイトを検索順位の評価基準にしています。SEOにも関わってくるので、Webサイトを運営するならSSL化しておきましょう。

WAFを導入

WAF（ワフ）とは、「Web Application Firewall」の略称で、セキュリティ製品の1つです。「Webアプリケーションの脆弱性を悪用した攻撃」からの保護を目的としたセキュリティ対策が可能となります。不正な通信などを検出し、それを遮断してログを記録しつつ、webサイトの運営者に警告メッセージを送信するので、導入しておくと良いでしょう。

WordPressのセキュリティ強化におすすめなプラグイン

次に、Wordpressのセキュリティ強化におすすめなプラグインを5つ紹介します。

これらは2025年1月時点でサポートされているもののみ掲載しています。

SiteGuard WP Plugin：管理画面URL変更

「SiteGuard WP Plugin」は、WordPressのログイン画面や管理画面の保護を目的にした無料プラグインです。「管理画面へのアクセス制限」「管理画面URLの変更」「不正アクセス履歴の閲覧」などができます。WordPressのデフォルトURLを変更したい人は導入しても良いでしょう。

また、複数回ログインに失敗したユーザーを一定時間ロックする機能も搭載されています。日本の企業が開発したプラグインなので、英語が苦手な人でも取り扱いやすいはずです。

All In One WP Security & Firewall：総合セキュリティ

「All In One WP Security & Firewall」は、WordPressのセキュリティ関係のプラグインで最もメジャーなものと言えます。総合的なセキュリティ強化ができるので、導入しているサイトは多いはずです。

「ファイアウォール導入」「ファイルへのアクセス・編集禁止」「ブルートフォースアタックの阻止」「ログインロック」など、基本的なセキュリティ機能が備わっています。さまざまな対策をまとめて行えるので、どのプラグインを入れるべきか迷うのであれば、All In One WP Security & Firewallを選んでみてはいかがでしょうか。

Wordfence Security：セキュリティ監視

「Wordfence Security」も、総合的なセキュリティ強化ができます。特徴的なのは、セキュリティレベルをリアルタイムで監視できる機能です。サイバー攻撃や不正アクセス防止に役立つことでしょう。

監視以外は「ファイアウォール導入」「二段階認証設定」「アカウントロック」「脆弱性診断」などの機能が備わっています。

IP Location Block：IPアドレス制限

「IP Location Block」は、海外からの攻撃やスパムを防ぐためのプラグインです。管理画面、公開画面双方への国外IPアドレスからの不正アクセスをブロックできます。

特に、総当たり攻撃であるブルートフォースアタックは海外からのアクセスによるものが多いため、IP Geo Blockを導入することで効率的に防げるでしょう。接続の拒否は国コードによって指定できるので、不正アクセスが多い国からの攻撃をピンポイントで指定できるのも特徴です。

Akismet：スパムコメント防止

「Akismet」は、スパム対策を目的としたプラグインです。投稿されたコメントやトラックバックがスパムかどうかを自動判別してくれるほか、スパムコメントなどを「スパムフォルダ」に自動で移動して削除してくれます。

ただし、商用利用は有料となり、プランにもよりますが月額1,492円～です。

WordPressのセキュリティ脆弱性を調べる方法

WordPressのセキュリティレベルや脆弱性についてを調べる方法は以下のようなものがあります。

それぞれについて解説していきます。

脆弱性情報データベースで確認する

本記事の冒頭でも紹介した「JVN iPedia」は、脆弱性に関する情報がまとまったデータベースです。日本だけでなく世界中の情報が日々登録されています。

検索窓で「WordPress」と入力し、調べたい期間を入れれば一覧で情報が出てきます。最新のものを確認して大丈夫かどうか判断しましょう。

WordPressのサイトヘルス機能を使う

WordPressのバージョン5.2以降は、サイトヘルス機能が搭載されています。サイトのセキュリティ状態やパフォーマンスをチェックできるので、問題がないかこまめに見ておくと良いです。

サイトヘルス機能は、WordPressの管理画面に入り、左メニューから「ツール→サイトヘルス」に進めば確認できます。WordPressやPHPのバージョン更新などの情報も、このサイトヘルス機能で表示されます。

セキュリティ診断ツールを使う

「WPScans.com」や「WPdoctor」などの、WordPress専用のセキュリティ診断ツールもあります。ほとんどが無料なうえ、URLを入れるだけで簡単に利用できるので気軽に試せることでしょう。

セキュリティが強い別のCMSに移行するのもあり

WordPressのセキュリティが不安、問題が発生して解決しないという場合は、別のCMSに移行を考えるのも手です。簡易的なWebサイトであれば、WordPressのような無料CMSでも解説できます。

さらにセキュリティを強化したいのであれば、有料サポートがしっかりしているCMSを選ぶのも良いでしょう。もちろん、Webサイトを新しく開設するという人も、セキュリティ面を考慮しつつ適切なものを選んでみてください。

WordPressを使うならセキュリティ強化は必須！

WordPressは自由度が高くカスタマイズしやすいCMSですが、世界的に利用者が多いためサイバー攻撃の対象になりやすいのも事実です。そのため、WordPressを利用してホームページやブログを作成するのなら、セキュリティ対策をしっかり意識する必要があります。

今回紹介したWordPressのセキュリティ対策は、個人でもできる簡単な方法ばかりです。ぜひこの機会に、使用しているWordPressのセキュリティを見直し、より強化していきましょう。