WordPressは世界中のWebサイトの約43%で使われているCMSです。裏を返せば、攻撃者にとって最も効率的なターゲットでもあります。「うちのサイトは小規模だから狙われない」と思っている方が多いですが、攻撃は規模に関係なく、脆弱性が放置されたサイトに無差別に仕掛けられます。実際の被害事例はWordPressがハッキングされたらどうなる?被害事例をご覧ください。この記事では、WordPressのセキュリティ保守として最低限やるべき5つの施策を、実務家の視点で解説します。
WordPress本体とプラグインを常に最新バージョンに保つ
セキュリティ保守の基本中の基本が、WordPress本体・プラグイン・テーマのアップデートです。WordPress.orgのセキュリティチームは脆弱性が発見されるたびにパッチを公開しており、アップデートを適用するだけで既知の攻撃から守ることができます(出典 WordPress.org Hardening WordPress)。しかし、多くのサイトでこの「適用するだけ」が放置されています。
アップデートを放置すると既知の脆弱性を突かれる
WordPressのアップデートには、機能追加だけでなくセキュリティパッチが含まれています。アップデートが公開されるということは、同時に「どこに脆弱性があったか」が世界中に公開されるということです。攻撃者はこの情報をもとに、アップデートされていないサイトを探して攻撃を仕掛けます。
Sucuriの2022年の調査レポートによると、ハッキングされたWordPressサイトの49.8%が攻撃時点で古いバージョンのWordPressを使用しており、脆弱なプラグインやテーマが攻撃の主要な侵入経路であることが報告されています(出典 Sucuri 2022 Hacked Website Threat Report)。つまり、アップデートを適用するだけで防げたはずの攻撃が半数近くを占めているのです。
アップデート作業で注意すべきポイント
「アップデートしたらサイトが壊れた」という話を聞いて、更新を避けている方もいるでしょう。確かに、プラグイン同士の互換性やテーマとの相性でトラブルが起きるケースはあります。だからこそ、以下の手順を守る必要があります。
- アップデート前に必ずバックアップを取得する
- まずテスト環境(ステージング環境)で動作確認する
- WordPress本体よりも先にプラグインとテーマを更新する
- 更新後はサイトの主要ページを目視で確認する
- 問い合わせフォームなど動的機能の動作テストを行う
この手順を毎回きちんと実行するのは、正直なところ面倒です。自動更新を有効にしている方もいますが、自動更新はマイナーアップデート(セキュリティ修正)には有効でも、メジャーアップデートでは予期しない不具合を引き起こすリスクがあります。
自分でやるかプロに任せるかの判断基準
マイナーアップデート(5.9.1→5.9.2のような修正)は、バックアップさえ取っていれば自分で適用しても問題ありません。しかし、メジャーアップデート(5.9→6.0のような大きな変更)やプラグインの大型更新は、テスト環境での検証が必要です。外注すべきかどうかの判断材料はWordPress更新作業を外注すべき理由に整理しています。テスト環境を持っていない、PHPのバージョン互換性を判断できない、という場合はプロに任せるべきです。(「更新ボタンを押すだけ」と思っていたら、サイトが真っ白になって復旧に半日かかった、という相談は本当に多いです)
定期的なバックアップ体制を構築する
セキュリティ対策の大前提として、バックアップがなければ何も始まりません。どれだけ強固なセキュリティ対策を講じても、攻撃を100%防ぐことは不可能です。万が一サイトが改ざんされた場合や、アップデートで不具合が発生した場合に、バックアップがあれば元の状態に復旧できます。バックアップがなければ、一からサイトを作り直すことになります。
バックアップを取っていない場合のリスク
サイト改ざんの被害に遭ったとき、バックアップがなければ復旧は困難を極めます。マルウェアに感染したファイルを一つずつ手作業で調べて除去し、データベースの改ざん箇所を特定して修正する。この作業には専門知識が必要で、復旧費用は数十万円に達することもあります。バックアップさえあれば数時間で復旧できたはずの問題が、バックアップがないだけで数日から数週間の業務停止につながるのです。
効果的なバックアップの取り方
バックアップは「取っているつもり」が最も危険です。以下のポイントを押さえた体制を構築してください。
| 項目 | 推奨設定 | 理由 |
|---|---|---|
| バックアップ頻度 | 最低でも週1回、更新頻度が高いサイトは毎日 | バックアップの間隔が長いほど、復旧時に失われるデータが増える |
| 保存対象 | ファイル一式とデータベースの両方 | 片方だけでは完全な復旧ができない |
| 保存先 | サーバー外部(クラウドストレージ、ローカルPC) | サーバー自体が攻撃を受けた場合、サーバー内のバックアップも消される |
| 保持世代数 | 最低3世代以上 | 直近のバックアップ自体がすでに感染している可能性があるため |
| 復元テスト | 半年に1回は実際に復元できるか確認 | バックアップが壊れていて復元できないケースが少なくない |
WordPressのバックアッププラグインとしては、UpdraftPlus、BackWPup、All-in-One WP Migrationなどが有名です。無料版でも基本的なバックアップ機能は使えますが、スケジュール設定やクラウドストレージへの自動転送など、実用的な機能は有料版に含まれていることが多いです。
バックアップはプロに任せるべき領域
バックアップの本質は「取ること」ではなく「確実に復元できること」です。バックアップファイルが壊れていないか、復元手順は整備されているか。ここまで管理するのは、技術的な知識がないと難しいです。特に重要なのは、保存先をサーバー外部に置くことです。ハッキングされたサーバー上にしかバックアップがなければ、攻撃者にバックアップごと削除されます。クラウドストレージへの自動転送と定期的な復元テストまで含めて運用し続けるのは、本業の片手間では困難です。
ログインセキュリティを強化して不正アクセスを防ぐ
WordPressへの攻撃で最も多いのが、管理画面への不正ログインの試行です。初期設定のままのWordPressは、ログインURLが「/wp-login.php」で全世界共通であり、ユーザー名も容易に推測されます。ここに対策を施さないのは、玄関のドアを開けっぱなしにしているのと同じです。
ログインセキュリティを放置した場合のリスク
ブルートフォースアタック(総当たり攻撃)は、ボットが自動的にID・パスワードの組み合わせを何千、何万通りも試す攻撃手法です。「admin」「password123」といった安易なパスワードなら数分で突破されます。管理画面に侵入されれば、サイト改ざん、マルウェア埋め込み、顧客情報の窃取、スパムメール送信基地化など、あらゆる被害が発生します。最悪の場合、Googleからマルウェア配布サイトとして認定され、検索結果に「このサイトは危険です」と表示されます。こうなると検索順位の回復には数ヶ月かかります。
今すぐ実施すべきログインセキュリティ対策
以下の対策は、専門知識がなくても今日中に実施できるものです。一つでも実施していないものがあれば、すぐに対応してください。
- 管理者パスワードを16文字以上の英数字記号混合に変更する
- ユーザー名「admin」を使っている場合は別名に変更する
- ログイン試行回数を制限するプラグイン(Limit Login Attempts Reloaded等)を導入する
- 二要素認証(2FA)を導入する(Google Authenticator等)
- ログインURLを初期値から変更する(WPS Hide Login等のプラグインを使用)
特に二要素認証の導入は効果が大きいです。パスワードが漏洩しても、スマートフォンに表示されるワンタイムコードがなければログインできないため、不正アクセスをほぼ完全に防ぐことができます。ログイン周りの設定と対策全般はWordPressログイン完全ガイドで整理しています。
IP制限やBASIC認証はプロに相談して導入する
さらに強固な対策として、管理画面へのアクセスをIPアドレスで制限する方法があります。自社のオフィスからしか管理画面にアクセスできないように設定すれば、外部からの不正ログインは物理的に不可能になります。ただし、この設定には.htaccessファイルの編集やサーバーの設定変更が必要で、誤った設定をすると自分自身もログインできなくなります。
BASIC認証も有効ですが、こちらもサーバー設定が必要です。設定ミスのリスクがあるため、自信がなければプロに依頼してください。(設定を間違えてサイトにアクセスできなくなり、サーバー会社に緊急連絡する羽目になった、というケースは珍しくありません)
WAF(Webアプリケーションファイアウォール)を導入して攻撃を遮断する
WAFは、Webサイトへの悪意あるアクセスをサーバーに到達する前に検知・遮断するセキュリティ対策です。SQLインジェクション、クロスサイトスクリプティング(XSS)、ファイルインクルード攻撃など、WordPressを狙う代表的な攻撃手法を自動的にブロックしてくれます。
WAFなしで運用した場合のリスク
WordPressにはプラグインやテーマを通じて無数の機能が追加されており、そのぶん攻撃の入り口も多くなります。土台となるPHPのバージョン管理についてはPHPのバージョンアップ通知を無視するとサイトが動かなくなる理由も必読です。プラグインの脆弱性が発見されてからパッチが公開されるまでの間(いわゆるゼロデイ期間)、WAFがなければサイトは無防備です。
SQLインジェクション攻撃を受ければデータベースの内容を丸ごと抜き取られ、顧客情報の流出と損害賠償につながります。XSS攻撃では、サイト訪問者のブラウザで悪意あるスクリプトが実行され、フィッシング詐欺やマルウェア感染の踏み台にされます。
WAFの種類と選び方
WAFには大きく3つの導入方法があります。サイトの規模や予算に応じて選択してください。
| 種類 | 特徴 | 費用目安 | 導入難易度 |
|---|---|---|---|
| レンタルサーバー付属のWAF | エックスサーバー、ConoHa WINGなど主要レンタルサーバーに標準搭載。管理画面からON/OFFするだけ | 無料(サーバー料金に含む) | 低い |
| クラウド型WAF | SiteGuard Cloud Edition、攻撃遮断くんなど。DNS設定を変更して導入。高精度な検知が可能 | 月額数千円〜数万円 | 中程度 |
| WordPressプラグイン型 | Wordfence、SiteGuard WP Pluginなど。プラグインとして導入でき手軽 | 無料〜年額1万円程度 | 低い |
最もハードルが低いのは、レンタルサーバー付属のWAFを有効にすることです。エックスサーバーやConoHa WINGを利用しているなら、管理画面のセキュリティ設定からWAFをONにするだけで、基本的な攻撃は遮断できます。設定に5分もかかりません。これをやっていないサイトが非常に多いのが実情です。
WAFの導入と運用はどこまで自分でできるか
レンタルサーバー付属のWAFやWordPressプラグイン型のWAFは、自分で導入・管理できます。ただし、WAFが正常なアクセスまで遮断してしまう「誤検知」が発生することがあります。お問い合わせフォームが送信できない、管理画面の特定機能が使えない、といったトラブルです。
誤検知が発生した場合は、WAFのルール設定で特定のアクセスを除外する必要がありますが、攻撃パターンと正常なアクセスの違いを理解していないと適切に行えません。導入は自分でできても、運用・チューニングはプロに任せた方が安全です。
不要なプラグインとテーマを削除してリスクを減らす
使っていないプラグインやテーマをWordPressにインストールしたまま放置していませんか。「無効化しているから問題ない」と考えている方が多いですが、これは大きな誤りです。無効化していても、プラグインやテーマのファイルはサーバー上に存在し続けており、そのファイルに脆弱性があれば攻撃の対象になります。
不要なプラグイン・テーマを放置した場合のリスク
無効化されたプラグインは、WordPress管理画面からは動作していないように見えます。しかし、プラグインのPHPファイルにはサーバーから直接アクセスできるため、脆弱性を持つファイルが存在すれば、WordPressの認証を経由せずに攻撃を受ける可能性があります。
テーマも同様です。WordPressには初期インストール時のデフォルトテーマが複数入っていますが、使用していないテーマは削除すべきです。テーマファイルに脆弱性が見つかった場合、有効化していなくても悪用される可能性があります。インストールされているプラグインの数が多いサイトほどハッキングされるリスクが高いという傾向は、セキュリティ業界では広く認識されている事実です。
プラグイン・テーマの整理手順
定期的にプラグインとテーマの棚卸しを行い、不要なものを削除する習慣をつけてください。以下の基準で判断します。
- 無効化して3ヶ月以上経過しているプラグインは削除する
- 「いつか使うかも」で残しているプラグインは削除する(必要になったら再インストールすればよい)
- 最終更新が2年以上前のプラグインは代替品を検討する
- 使用中のテーマ以外のテーマはすべて削除する(デフォルトテーマ1つだけ残す)
- 同じ機能を持つプラグインが複数入っている場合は1つに統一する
プラグインの削除は、WordPress管理画面から「無効化」→「削除」の手順で行えます。ただし、プラグインがデータベースに書き込んだデータや、ショートコードが埋め込まれている場合、削除後にサイトの表示が崩れることがあります。
プラグインの選定基準を知っておく
不要なプラグインを増やさないためには、導入前の選定基準を明確にしておくことが重要です。以下のチェックポイントを確認してからインストールしてください。
| チェック項目 | 確認内容 | 危険信号 |
|---|---|---|
| 最終更新日 | WordPress公式ディレクトリの更新日を確認 | 1年以上更新されていない |
| 有効インストール数 | 利用者数の多さは一定の信頼性を示す | 1,000件未満で評価も少ない |
| WordPress互換性 | 現在のWordPressバージョンでテスト済みか | 「未検証」と表示されている |
| 開発者の実績 | 他のプラグインの評価や開発会社の規模 | 開発者情報が不明、連絡先がない |
| レビュー内容 | セキュリティに関する指摘がないか | 「マルウェアが含まれていた」等の報告 |
プラグインの選定に迷ったら、WordPress運用の実務経験があるプロに相談するのが確実です。「このプラグインは安全か」「代替品はあるか」といった判断は、経験がないと難しいものです。
5つの施策を一覧で整理する
ここまで解説した5つのセキュリティ保守施策を、自分で対応できる範囲とプロに任せるべき範囲に分けて整理します。
| 施策 | 自分でできること | プロに任せるべきこと |
|---|---|---|
| WP本体・プラグイン更新 | マイナーアップデートの適用、自動更新の有効化 | メジャーアップデートの検証・適用、互換性テスト |
| バックアップ | プラグインの導入・スケジュール設定 | 外部保存先の設定、復元テスト、緊急時の復旧対応 |
| ログインセキュリティ | パスワード強化、2FA導入、ログイン制限プラグイン導入 | IP制限設定、BASIC認証設定、.htaccess編集 |
| WAF導入 | レンタルサーバーのWAF有効化、プラグイン型WAF導入 | 誤検知の調整、ルールチューニング、クラウド型WAF導入 |
| 不要プラグイン・テーマ削除 | 明らかに不要なプラグイン・テーマの削除 | 依存関係の調査、削除後の影響確認、代替プラグインの選定 |
自分でできる部分だけでも実施すれば、セキュリティリスクは大幅に下がります。しかし、5つの施策すべてを「継続的に」管理し続けるのは別の話です。毎週・毎月欠かさず実施できるなら自己管理で問題ありませんが、本業の片手間で続けるのは現実的に困難です。
セキュリティ被害が発生したときの損害を理解しておく
セキュリティ保守を「コスト」と捉えて後回しにする方が多いですが、被害が発生した場合の損害と比較すれば、保守費用がいかに安い投資であるかがわかります。
改ざん被害の復旧には時間も費用もかかる
サイトが改ざんされた場合の一般的な対応コストは以下の通りです。
- マルウェア除去・復旧作業の費用は5万〜30万円が相場
- 復旧までの間のサイト停止期間は平均で3日〜1週間
- Googleのセーフブラウジング警告が解除されるまで数週間〜数ヶ月(SSL期限切れによる警告とは別物なので注意)
- 検索順位の回復にはさらに数ヶ月を要する
- 顧客情報が漏洩した場合は報告義務と損害賠償が発生する
IPA(独立行政法人情報処理推進機構)は、中小企業においてもサイバーセキュリティ対策が経営課題であると指摘しており、セキュリティインシデントが発生した場合の平均被害額は中小企業でも数百万円に達すると報告しています(出典 IPA 中小企業の情報セキュリティ対策ガイドライン)。月額数千円〜数万円のセキュリティ保守費用は、このリスクに対する保険と考えるべきです。
間接的な被害はさらに深刻
直接的な復旧費用だけでなく、取引先への信頼低下、既存顧客の離反、新規問い合わせの減少といった間接的な損害も見過ごせません。特にBtoBの事業者にとって、自社サイトが改ざんされた事実は「情報管理ができない会社」という評価に直結します。(「ホームページが改ざんされました」と取引先に報告する場面を想像してみてください。その後の商談がどうなるかは明白です)
セキュリティ保守を外注する場合のチェックポイント
自社でセキュリティ保守を継続するのが難しい場合、外部の専門業者に委託するのが現実的な選択肢です。保守会社の具体的な選び方はWordPress保守代行サービスの選び方を参照してください。ただし、「保守」の範囲は業者によって大きく異なるため、契約前に以下のポイントを確認してください。
| 確認項目 | 最低限含まれるべき内容 |
|---|---|
| WordPress本体・プラグイン更新 | 月1回以上の更新確認と適用、事前の動作検証 |
| バックアップ | 週1回以上の自動バックアップ、サーバー外部への保存 |
| セキュリティ監視 | 不正ログインの監視、ファイル改ざんの検知 |
| WAF運用 | WAFの設定・チューニング、誤検知対応 |
| 緊急対応 | 改ざん発生時の復旧対応、連絡体制の明確化 |
| レポート | 月次のセキュリティレポート(更新履歴、攻撃ブロック数等) |
「月額3,000円でWordPress保守」といった格安プランは、サーバー監視とバックアップだけで、アップデートの適用や緊急時の復旧は含まれていないことが大半です。安さだけで選ぶと、いざというときに「対応範囲外です」と言われます。何が含まれていて何が含まれていないか、契約前に必ず確認してください。
最後に
WordPressのセキュリティ保守は、特別な技術を持った人だけがやることではありません。本体とプラグインの更新、バックアップの取得、ログインセキュリティの強化、WAFの導入、不要プラグイン・テーマの削除。この5つは最低限の保守作業であり、どれか一つでも欠ければ、サイトは攻撃のリスクにさらされ続けます。自分でできる部分は今日から実施し、専門的な判断や継続的な監視が必要な部分はプロに任せる。この線引きを明確にすることが、WordPress運用における現実的なセキュリティ対策です。
Web管理では、WordPressのセキュリティ保守を月額1万円から代行しています。本体・プラグインの更新管理、定期バックアップ、ログインセキュリティの設定、WAFの導入・運用、不要プラグインの整理まで、すべて対応します。「セキュリティ対策を何もしていない」「更新を放置している」というご相談だけでも歓迎です。被害が出る前に、まずは現状のリスクを把握するところから始めましょう。
