あなたのWordPressサイト、本当に安全ですか?
WordPressは世界で最も人気のあるCMSですが、その人気ゆえにハッカーの標的にもなりやすいという側面があります。実際、WordPressサイトの約30%が何らかのハッキング被害を受けた経験があるという調査結果もあります。
しかし、適切なセキュリティ対策を講じれば、ハッキングのリスクは大幅に減らすことができます。
この記事では、初心者でも今すぐ実践できる11のセキュリティ対策と、2025年最新のおすすめセキュリティプラグイン5選を、難易度別に詳しく解説します。
この記事で学べること:
- WordPressが狙われる理由と攻撃手法
- 今すぐできる初級セキュリティ対策7選(難易度★☆☆☆☆)
- セキュリティを強化する中級施策4選(難易度★★★☆☆)
- 2025年最新のセキュリティプラグイン5選
- サーバー側のWAF機能による上級対策(難易度★★★★☆)
- 実際のハッキング事例と対処法
それでは、WordPressセキュリティ対策の全てを見ていきましょう。
目次
- WordPressセキュリティの基礎知識
- 【初級編】今すぐできるセキュリティ対策7選(難易度★☆☆☆☆)
- 【中級編】セキュリティを強化する4つの施策(難易度★★★☆☆)
- セキュリティプラグイン5選(難易度★★☆☆☆)
- 【上級編】サーバー側のセキュリティ強化(難易度★★★★☆)
- バックアップ・復元の重要性
- セキュリティ診断ツール2選
- トラブルシューティング
- Q&A(よくある質問)
第1章: WordPressセキュリティの基礎知識
1-1. WordPressが狙われる3つの理由
WordPressがハッカーの標的になりやすい理由は、主に以下の3つです。
①世界シェア43.7%の圧倒的人気
2024年12月時点で、世界のWebサイトの43.7%がWordPressで構築されており、CMSとしてのシェアは62.2%を占めています(W3Techs調査)。
これほど多くのサイトがWordPressを使用しているため、ハッカーにとっては「1つの脆弱性を見つければ、何千万ものサイトを攻撃できる」という効率の良いターゲットになっています。
②オープンソースで脆弱性が公開される
WordPressはオープンソースソフトウェアであり、ソースコードが公開されています。これは透明性が高く、コミュニティによる改善が行われるという大きなメリットがある一方で、脆弱性が発見された際には、その情報もすぐに公開されるというデメリットもあります。
2024年だけで、WordPressコア・プラグイン・テーマを合わせて1,200件以上の脆弱性が報告されました。
③初心者ユーザーが多く、対策が甘い
WordPressは「誰でも簡単にWebサイトを作れる」ことが特徴です。しかし、その手軽さゆえに、セキュリティ知識が十分でないまま運用しているユーザーも多いのが実情です。
- デフォルトの管理者名「admin」を使い続けている
- 弱いパスワード(123456、password等)を設定している
- WordPressやプラグインを更新していない
このような基本的な対策が不十分なサイトは、ハッカーにとって格好の標的となります。
WordPress利用率
CMSシェア: 62.2%
「1つの脆弱性で
何千万サイトを
攻撃できる」
脆弱性の数
ソースコードが公開
脆弱性情報も
すぐに公開される
受けたサイトの割合
対策が甘い
• admin使用
• 弱いパスワード
• 更新していない
1-2. 主な攻撃手法5種類
WordPressサイトへの代表的な攻撃手法を5つ紹介します。
①ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃とは、ログインページに対して、考えられる全てのパスワードパターンを試す攻撃手法です。
例えば、「123456」「password」「admin」など、よく使われるパスワードを順番に試していきます。
対策: 強力なパスワードを設定し、ログイン試行回数を制限するプラグインを導入することで防げます。
②SQLインジェクション
SQLインジェクションとは、Webサイトのデータベースに不正なSQL文を送り込み、情報を盗み出したり改ざんしたりする攻撃手法です。
WordPressのプラグインに脆弱性がある場合、この攻撃を受けやすくなります。
対策: プラグインを常に最新版に保ち、公式プラグインのみを使用することで防げます。
③XSS(クロスサイトスクリプティング)
XSS攻撃とは、Webサイトに悪意のあるスクリプトを埋め込み、訪問者のブラウザ上で実行させる攻撃手法です。
これにより、訪問者のCookie情報(ログイン情報など)を盗まれる可能性があります。
対策: WordPressやプラグインを最新版に保ち、入力値のサニタイズを徹底することで防げます。
④マルウェア感染
マルウェアとは、悪意のあるソフトウェア(ウイルス、トロイの木馬など)の総称です。
非公式のテーマやプラグインをインストールすると、マルウェアが混入している可能性があります。
対策: 公式テーマ・プラグインのみを使用し、信頼できないソースからはダウンロードしないことが重要です。
⑤DDoS攻撃
DDoS攻撃とは、大量のアクセスをサイトに送りつけ、サーバーをダウンさせる攻撃手法です。
個人サイトが標的になることは少ないですが、大規模サイトでは注意が必要です。
対策: サーバーのWAF(Web Application Firewall)機能やCDN(Cloudflare等)を利用することで軽減できます。
対策: 強力なパスワード、ログイン試行回数制限
対策: プラグインを最新版に保つ、公式プラグインのみ使用
対策: WordPress・プラグインを最新版に保つ
対策: 公式テーマ・プラグインのみ使用
対策: サーバーのWAF機能、CDN(Cloudflare等)
1-3. 実際にあったWordPress攻撃事例3選
セキュリティ対策の重要性を理解していただくため、実際にあったハッキング事例を3つ紹介します。
事例1: 大手企業サイトの改ざん事件(2023年)
ある大手企業のWordPressサイトが、古いプラグインの脆弱性を突かれて改ざんされました。トップページに不適切なメッセージが表示され、企業イメージを大きく損ねる結果となりました。
原因: プラグインを2年以上更新していなかった
被害: ブランドイメージの毀損、復旧費用約300万円
事例2: 個人情報漏洩事件(2023年)
ECサイトがSQLインジェクション攻撃を受け、顧客の個人情報(氏名、住所、メールアドレス)約5,000件が流出しました。
原因: 古いプラグインの脆弱性
被害: 個人情報流出、損害賠償請求、サイト閉鎖
事例3: ランサムウェア被害(2024年)
個人ブログがマルウェアに感染し、全てのファイルが暗号化されました。ハッカーから「復旧したければ10万円払え」という脅迫を受けました。
原因: 非公式テーマのインストール、バックアップなし
被害: サイトデータの完全消失(バックアップなしで復旧不可)
これらの事例は決して他人事ではありません。適切なセキュリティ対策を講じなければ、あなたのサイトも同じ被害を受ける可能性があります。
| 施策 | 難易度 | 所要時間 | 期待効果 |
|---|---|---|---|
| 【初級編】今すぐできる対策 | |||
| ❶ WordPressを最新版に保持 | 5分 | 脆弱性の修正(最重要) | |
| ❷ 使っていないプラグイン・テーマを削除 | 10分 | 攻撃の入り口を減らす | |
| ❸ 公式プラグイン・テーマのみ使用 | 5分 | マルウェア感染を防ぐ | |
| ❹ ユーザー名を「admin」から変更 | 5分 | ブルートフォース攻撃を困難にする | |
| ❺ 強力なパスワードを設定 | 5分 | 不正ログインを防ぐ(最重要) | |
| ❻ バージョン情報を隠す | 5分 | 既知の脆弱性を突かれにくくする | |
| ❼ ファイルパーミッション設定 | 10分 | 重要ファイルへのアクセスを制限 | |
| 【中級編】セキュリティ強化 | |||
| ❽ 管理画面URLを変更 | 15分 | ログインページを隠す | |
| ❾ IPアドレス制限 | 20分 | 特定IPのみアクセス許可(非常に強力) | |
| ❿ BASIC認証追加 | 20分 | 2段階ログインで防御強化 | |
| ⓫ wp-config.phpを保護 | 10分 | 重要設定ファイルへのアクセス遮断 | |
第2章: 【初級編】今すぐできるセキュリティ対策7選(難易度★☆☆☆☆)
まずは、初心者でも今すぐ実践できる基本的なセキュリティ対策7つを紹介します。
❶ WordPressを最新版に保持(難易度★☆☆☆☆/所要時間: 5分)
最も基本的で、最も重要なセキュリティ対策が、WordPressを常に最新版に保つことです。
なぜ最新版が重要なのか?
WordPressの新しいバージョンがリリースされる際、主に以下の3つの改善が含まれています:
- 脆弱性の修正(セキュリティパッチ)
- バグの修正
- 新機能の追加
特に、脆弱性が発見されると、その情報は公開されます。古いバージョンを使い続けていると、「この脆弱性があるサイトだから攻撃できる」とハッカーに狙われやすくなります。
更新頻度の目安
- マイナーアップデート(例: 6.4.1 → 6.4.2): 自動更新が推奨
- メジャーアップデート(例: 6.4 → 6.5): 月1回程度チェック
自動更新の設定方法
WordPress 3.7以降では、マイナーアップデートは自動的に適用されます。メジャーアップデートも自動化したい場合は、wp-config.phpに以下を追加します:
define('WP_AUTO_UPDATE_CORE', true);注意: メジャーアップデート前は、必ずバックアップを取りましょう。
❷ 使っていないプラグイン・テーマを削除(難易度★☆☆☆☆/所要時間: 10分)
使用していないプラグインやテーマを放置していませんか?
放置プラグインのリスク
プラグインは使用していなくても、インストールされているだけで脆弱性を持つことがあります。放置されたプラグインは更新されないため、古い脆弱性がそのまま残り、攻撃の入り口になる可能性があります。
削除手順
- WordPress管理画面 → 「プラグイン」→「インストール済みプラグイン」
- 使用していないプラグインを「無効化」
- 無効化したら「削除」をクリック
ポイント: 「無効化」だけでは不十分です。必ず「削除」まで行いましょう。
テーマも同様に、使用していないものは削除してください。
❸ 公式プラグイン・テーマのみ使用(難易度★☆☆☆☆/所要時間: 5分)
非公式のプラグインやテーマには、マルウェアが仕込まれている可能性があります。
非公式テーマの危険性
「無料で高機能なテーマ」「有料テーマの無料版」などと謳って配布されている非公式テーマには、以下のリスクがあります:
- バックドア(不正アクセスの入り口)が仕込まれている
- 訪問者のブラウザにマルウェアを感染させる
- スパムリンクが自動的に挿入される
公式プラグイン・テーマの見分け方
公式プラグイン・テーマ:
- WordPress.org(公式ディレクトリ)で配布
- WordPress管理画面から直接インストール可能
- レビュー・評価・ダウンロード数が表示される
非公式プラグイン・テーマ:
- 第三者サイトで配布(torrentsitesなど)
- zipファイルを手動アップロード
- 「Nulled」「Crack」などのキーワードがある
ルール: 公式ディレクトリ以外からは絶対にインストールしないこと。
❹ ユーザー名を「admin」から変更(難易度★☆☆☆☆/所要時間: 5分)
デフォルトの管理者名「admin」を使い続けていませんか?
なぜ「admin」が危険なのか?
ブルートフォース攻撃では、まず「admin」というユーザー名でログインを試みます。ユーザー名が「admin」だと、ハッカーはパスワードだけを推測すればよいため、攻撃が成功しやすくなります。
ユーザー名を変更することで、ハッカーは「ユーザー名とパスワードの両方を推測する」必要があり、攻撃の難易度が大幅に上がります。
ユーザー名変更の手順
WordPress管理画面からは直接ユーザー名を変更できないため、以下の手順で行います:
- 新しい管理者ユーザーを作成(「admin」以外の名前で)
- 新しいユーザーでログイン
- 古い「admin」ユーザーを削除
- 削除時に「コンテンツを新しいユーザーに引き継ぐ」を選択
推奨ユーザー名: 推測されにくい、サイトと関係のない名前(例: g7x3k9p など)
❺ 強力なパスワードを設定(難易度★☆☆☆☆/所要時間: 5分)
「123456」「password」「qwerty」…これらは 世界で最も使われているパスワードTOP3 です(NordPass調査、2024年)。
弱いパスワードの危険性
弱いパスワードは、ブルートフォース攻撃で数秒〜数分で破られます。実際、「123456」はわずか1秒未満で破られるというデータもあります。
強力なパスワードの条件
- 12文字以上
- 大文字・小文字・数字・記号を組み合わせる
- 辞書に載っている単語を使わない
- 個人情報(誕生日、名前等)を使わない
例: 7kT#pL9@vZ2!mX
パスワード生成ツール3選
- 1Password – パスワード管理ツール(https://1password.com/)
- LastPass – 無料でも使える(https://www.lastpass.com/)
- パスワード生成(ラッコツールズ) – 日本語サイト(https://rakko.tools/tools/58/)
2段階認証の設定方法
さらにセキュリティを強化したい場合は、2段階認証(2FA)を設定しましょう。
推奨プラグイン: Two Factor Authentication
- WordPress管理画面 → 「プラグイン」→「新規追加」
- 「Two Factor Authentication」で検索
- インストール・有効化
- スマホアプリ(Google Authenticator等)と連携
これにより、ログイン時にパスワードに加えて、スマホに表示される6桁のコードが必要になります。
❻ WordPressのバージョン情報を隠す(難易度★☆☆☆☆/所要時間: 5分)
デフォルトでは、WordPressはHTMLソース内にバージョン情報を出力しています。
<meta name="generator" content="WordPress 6.4.1" />バージョン情報が狙われる理由
ハッカーは、この情報を見て「このサイトはWordPress 6.4.1を使っている」と特定し、そのバージョンの既知の脆弱性を突いた攻撃を仕掛けることができます。
バージョン情報を非表示にする方法
テーマの functions.php に以下のコードを追加します:
// WordPressバージョン情報を削除
remove_action('wp_head', 'wp_generator');
// RSSフィードからバージョン情報を削除
add_filter('the_generator', '__return_empty_string');注意: functions.php を編集する際は、必ず事前にバックアップを取りましょう。
❼ ファイルのアクセス権限を正しく設定(難易度★★☆☆☆/所要時間: 10分)
WordPressのファイルには、適切な「パーミッション(アクセス権限)」を設定する必要があります。
ファイルパーミッションの基礎
パーミッションは3桁の数字で表されます(例: 644、755):
- 第1桁: 所有者の権限
- 第2桁: グループの権限
- 第3桁: その他のユーザーの権限
各桁の数字の意味:
- 4: 読み取り(Read)
- 2: 書き込み(Write)
- 1: 実行(Execute)
- 0: 権限なし
例: 644 = 所有者は読み書き可、グループとその他は読み取りのみ
WordPress推奨パーミッション
| ファイル/ディレクトリ | 推奨パーミッション |
|---|---|
wp-config.php |
400 または 600 |
.htaccess |
644 |
| その他のPHPファイル | 644 |
| ディレクトリ | 755 |
wp-config.phpの権限設定方法
wp-config.php は、データベース接続情報などの重要な設定が含まれるため、特に厳重に保護する必要があります。
FTPソフト(FileZilla等)で以下の手順で設定:
- FTPでサーバーに接続
wp-config.phpを右クリック → 「ファイルのパーミッション」- 数値を
400に設定(所有者のみ読み取り可)
400と600の違い:
- 400: 所有者のみ読み取り可(より安全)
- 600: 所有者のみ読み書き可(編集が必要な場合)
通常は 400 で十分ですが、一部のサーバーでは 600 が必要な場合があります。
第3章: 【中級編】セキュリティを強化する4つの施策(難易度★★★☆☆)
初級編のセキュリティ対策ができたら、次は中級編の施策に取り組みましょう。
❽ 管理画面URLを変更(難易度★★★☆☆/所要時間: 15分)
WordPressのデフォルト管理画面URLは、以下の2つです:
https://example.com/wp-admin/https://example.com/wp-login.php
ハッカーは、まずこのURLにアクセスしてブルートフォース攻撃を仕掛けます。
管理画面URLを変更するメリット
デフォルトURLを変更することで、ハッカーは「どこがログインページか分からない」状態になり、攻撃の第一歩を防ぐことができます。
推奨プラグイン: Login rebuilder
- WordPress管理画面 → 「プラグイン」→「新規追加」
- 「Login rebuilder」で検索
- インストール・有効化
- 「設定」→「ログインページ」
- 新しいログインページURL を設定(例:
https://example.com/my-secure-login/)
注意: 新しいURLは必ずメモしてください。忘れるとログインできなくなります。
❾ IPアドレス制限を設定(難易度★★★☆☆/所要時間: 20分)
自宅や会社など、特定のIPアドレスからのみ管理画面にアクセスできるように制限する方法です。
IPアドレス制限のメリット
固定IPアドレスを持っている場合、この設定によりあなた以外は管理画面にアクセスできなくなるため、非常に強力なセキュリティ対策になります。
.htaccessでIP制限を設定
サーバーのルートディレクトリにある .htaccess ファイルに以下を追加します:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789.0 # あなたのIPアドレス
</Files>自分のIPアドレスの確認方法:
- https://www.cman.jp/network/support/go_access.cgi にアクセス
- 表示された「あなたのIPアドレス」をメモ
注意: 動的IPアドレス(接続のたびにIPが変わる)の場合は、この方法は使えません。
❿ BASIC認証を追加(難易度★★★★☆/所要時間: 20分)
管理画面にアクセスする前に、もう1段階のログイン画面を追加する方法です。
BASIC認証とは?
ブラウザで管理画面にアクセスすると、WordPressのログイン画面の前に、別のユーザー名・パスワード入力画面が表示されます。これにより、2段階のログインが必要になるため、セキュリティが大幅に向上します。
.htaccessとhtpasswdで設定
手順1: .htpasswdファイルを作成
パスワード生成サイトを利用:
- https://www.luft.co.jp/cgi/htpasswd.php にアクセス
- ユーザー名とパスワードを入力
- 生成された文字列をコピー
.htpasswdファイルを作成し、サーバーの任意の場所に配置(例:/home/username/.htpasswd)
手順2: .htaccessに追加
AuthUserFile /home/username/.htpasswd # .htpasswdのフルパス
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user注意: AuthUserFile には .htpasswd の 絶対パス(フルパス) を指定してください。
⓫ wp-config.phpを保護(難易度★★★☆☆/所要時間: 10分)
wp-config.php は、WordPressの最も重要な設定ファイルです。データベースのパスワードなどが含まれるため、外部からのアクセスを完全に遮断する必要があります。
.htaccessでwp-config.phpを保護
サーバーのルートディレクトリにある .htaccess ファイルに以下を追加します:
<files wp-config.php>
Order allow,deny
Deny from all
</files>これにより、wp-config.php への外部アクセスが全て拒否されます。
第4章: セキュリティプラグイン5選(難易度★★☆☆☆)
WordPressのセキュリティ対策を簡単に強化できる、2025年最新のおすすめプラグイン5選を紹介します。
| プラグイン名 | 主な特徴 | 日本語 | 無料/有料 | おすすめ度 |
|---|---|---|---|---|
| SiteGuard WP Plugin | 国産・日本語完全対応 動作が軽い 初心者に最適 |
○ | 無料 | |
| CloudSecure WP Security | エックスサーバー推奨(2025年新) WAF連携 最新の脅威に対応 |
○ | 無料 | |
| Wordfence Security | 世界で400万サイト以上が使用 総合的なセキュリティ対策 リアルタイム監視 |
△ | 無料/有料 ($119/年〜) |
|
| All In One WP Security | 初心者向けUI セキュリティレベルが視覚的 全機能無料 |
△ | 無料 | |
| iThemes Security | カスタマイズ性が高い 細かい設定が可能 上級者向け |
△ | 無料/有料 |
• 初心者 → SiteGuard WP Plugin(日本語完全対応)
• エックスサーバー利用者 → CloudSecure WP Security
• 高機能を求める → Wordfence Security
• 視覚的に分かりやすいUI → All In One WP Security
⚠️ 注意: セキュリティプラグインは複数を同時に有効化すると競合する可能性があります。基本的には1つに絞って使用しましょう。
プラグイン1: SiteGuard WP Plugin(おすすめ度★★★★★)
日本の企業(株式会社ジェイピー・セキュア)が開発した国産プラグインです。
主な機能
- ログインページURLの変更
- 画像認証(ひらがな・カタカナ認証)
- ログイン試行回数の制限
- ログインアラート(ログイン時にメール通知)
- ピンバック無効化
ここが良い
- 日本語完全対応で設定がしやすい
- 無料で基本的なセキュリティ対策が全て揃う
- 動作が軽い
インストール方法
- WordPress管理画面 → 「プラグイン」→「新規追加」
- 「SiteGuard WP Plugin」で検索
- インストール・有効化
- 「SiteGuard」→「ダッシュボード」で各機能をONにする
プラグイン2: CloudSecure WP Security(おすすめ度★★★★★)
2025年3月にエックスサーバーが公式推奨した最新プラグインです。
主な機能
- WAF連携(エックスサーバーのWAF機能と連動)
- ログイン試行回数制限
- マルウェアスキャン
- セキュリティ診断レポート
ここが良い
- エックスサーバーとの連携が強力
- 最新の脅威に対応
- 無料で利用可能
対象ユーザー
エックスサーバーを使用しているユーザーには特におすすめです。
エックスサーバーについて詳しくはこちら:
👉 エックスサーバー 公式サイトで詳細を見る(10日間無料お試し)
プラグイン3: Wordfence Security(おすすめ度★★★★☆)
世界で400万以上のサイトで使用されている、最も人気のあるセキュリティプラグインです。
主な機能
- ファイアウォール(WAF)
- マルウェアスキャナー
- ブルートフォース攻撃対策
- リアルタイム攻撃監視
- 2段階認証
無料版と有料版の違い
無料版:
- 基本的なファイアウォール
- 定期的なマルウェアスキャン(24時間遅延)
- ブルートフォース攻撃対策
有料版($119/年〜):
- リアルタイムのファイアウォール更新
- リアルタイムのマルウェアスキャン
- 国別アクセス制限
- スケジュールスキャン
ここが良い
- 無料でもかなり高機能
- 攻撃をリアルタイムで可視化
- 詳細なログが見られる
ここが微妙
- 英語表記(日本語化されていない)
- やや重い(サーバーリソースを消費)
プラグイン4: All In One WP Security & Firewall(おすすめ度★★★★☆)
初心者でも扱いやすい、シンプルなUI が特徴のセキュリティプラグインです。
主な機能
- ユーザー名・パスワード強度チェック
- ログインページ保護
- データベース保護
- ファイアウォール
- ファイルパーミッションチェック
ここが良い
- セキュリティレベルが視覚的に分かりやすい(メーター表示)
- 初心者向けの説明が丁寧
- 無料で全機能が使える
プラグイン5: iThemes Security(おすすめ度★★★☆☆)
カスタマイズ性が高く、細かい設定ができるプラグインです。
主な機能
- ブルートフォース攻撃対策
- ファイル整合性チェック
- データベースバックアップ
- 404検知(存在しないページへのアクセス監視)
- 2段階認証
ここが良い
- 細かい設定が可能
- WordPress管理者向けの高度な機能
ここが微妙
- 初心者には設定項目が多すぎる
- 一部機能は有料版のみ
プラグインの選び方
- 初心者: SiteGuard WP Plugin(日本語対応・シンプル)
- エックスサーバー利用者: CloudSecure WP Security
- 高機能を求める: Wordfence Security
- 視覚的に分かりやすいUI: All In One WP Security & Firewall
- 細かいカスタマイズが必要: iThemes Security
重要: セキュリティプラグインは、複数を同時に有効化すると競合する可能性があります。基本的には 1つに絞って使用 しましょう。
第5章: 【上級編】サーバー側のセキュリティ強化(難易度★★★★☆)
ここまでの対策は主に「WordPress側」のセキュリティ強化でしたが、サーバー側のセキュリティ機能を利用することで、さらに強固な防御が可能になります。
推奨: ConoHa WING、エックスサーバー
推奨: SiteGuard WP Plugin、CloudSecure WP Security
推奨: パスワードマネージャー(1Password等)
サーバーのWAF(Web Application Firewall)とは?
WAF(Web Application Firewall)とは、Webアプリケーションへの攻撃を検知・ブロックする仕組みです。
プラグインのファイアウォールとサーバーWAFの違い
| 項目 | プラグインのファイアウォール | サーバーのWAF |
|---|---|---|
| 動作場所 | WordPress内部 | サーバー(WordPress外部) |
| 効果範囲 | WordPressのみ | サーバー全体 |
| パフォーマンス | やや重くなる | ほぼ影響なし |
| 効果 | 中程度 | 非常に高い |
結論: サーバーのWAF機能を利用する方が効果的です。プラグインのファイアウォールは、WAFがないサーバーの補助として使いましょう。
おすすめサーバー3社比較
WAF機能を標準搭載している、おすすめのレンタルサーバー3社を比較します。
| サーバー名 | WAF機能 | 料金(月額) | 自動バックアップ | SSL証明書 | 表示速度 | おすすめ度 |
|---|---|---|---|---|---|---|
| ConoHa WING | ○ (無料) |
678円〜 (36ヶ月契約) |
○ (14日間・無料) |
○ (無料) |
超高速 | |
| エックスサーバー | ○ (無料) |
990円〜 (36ヶ月契約) |
○ (14日間・無料) |
○ (無料) |
高速 | |
| ロリポップ | ○ (無料) |
220円〜 (ライトプラン) |
△ (スタンダード以上) |
○ (無料) |
普通 |
• WAF(無料)
• 無料独自SSL
• 自動バックアップ14日間
• IPアクセス制限
• SSH接続
✓ こんな人におすすめ:
• 高速・高セキュリティを求める
• WordPressを初めて使う初心者
• アフィリエイト・ブログで収益化
初期費用0円・14日間無料お試し
• WAF(無料)
• CloudSecure WP Security連携
• 無料独自SSL
• 自動バックアップ14日間
• 国外IPアクセス制限
✓ こんな人におすすめ:
• 信頼性・安定性を最重視
• 大規模サイトを運営
• 手厚いサポートを求める
17年以上の運用実績・10日間無料お試し
• WAF(無料)
• 無料独自SSL
• 自動バックアップ(スタンダード以上)
• 海外アタックガード
✓ こんな人におすすめ:
• とにかくコストを抑えたい
• 小規模サイト・ブログを運営
• ムームードメインと連携
月額220円から・10日間無料お試し
サーバーのWAF(推奨):
✓ WordPress外部(サーバーレベル)で攻撃をブロック
✓ サイト速度への影響がほぼない
✓ WordPress以外の攻撃も防げる
プラグインのファイアウォール:
△ WordPress内部で動作(攻撃がWordPressに到達してからブロック)
△ サイト速度がやや遅くなる
△ WordPressへの攻撃のみ防げる
結論: サーバーのWAF機能を優先的に使い、プラグインのファイアウォールは補助として使いましょう。
サーバー1: ConoHa WING(おすすめ度★★★★★)
国内最速レベルの表示速度と、充実したセキュリティ機能が特徴のレンタルサーバーです。
セキュリティ機能
- WAF機能(無料)
- 無料独自SSL(Let’s Encrypt)
- 自動バックアップ(14日間分、無料)
- ディレクトリアクセス制限
- IPアクセス制限
- SSH接続
ここが良い
- 表示速度が国内最速クラス(WordPress高速化にも有効)
- 初期費用0円
- WordPressかんたんセットアップ機能でインストールが簡単
- 管理画面が使いやすい
料金プラン
- ベーシック: 月額678円〜(36ヶ月契約)
- スタンダード: 月額1,925円〜
- プレミアム: 月額3,850円〜
こんな人におすすめ
- 高速・高セキュリティを求める方
- WordPressを初めて使う初心者
- アフィリエイト・ブログで収益化を目指す方
詳細はこちら:
👉 ConoHa WING 公式サイトで詳細を見る(14日間無料お試し)
関連記事: ConoHa WINGの詳細レビュー
サーバー2: エックスサーバー(おすすめ度★★★★★)
国内シェアNo.1の老舗レンタルサーバーです。
セキュリティ機能
- WAF機能(無料)
- CloudSecure WP Security連携(2025年新機能)
- 無料独自SSL
- 自動バックアップ(14日間分、無料)
- ログイン試行回数制限
- 国外IPアクセス制限
ここが良い
- 17年以上の運用実績で信頼性が高い
- CloudSecure WP Securityとの連携で2025年最新セキュリティに対応
- サポート体制が充実(24時間365日)
- 大量アクセスに強い
料金プラン
- スタンダード: 月額990円〜(36ヶ月契約)
- プレミアム: 月額1,980円〜
- ビジネス: 月額3,960円〜
こんな人におすすめ
- 信頼性・安定性を最重視する方
- 大規模サイトを運営する方
- 手厚いサポートを求める方
詳細はこちら:
👉 エックスサーバー 公式サイトで詳細を見る(10日間無料お試し)
サーバー3: ロリポップ(おすすめ度★★★☆☆)
コストパフォーマンスに優れた、初心者向けレンタルサーバーです。
セキュリティ機能
- WAF機能(無料)
- 無料独自SSL
- 自動バックアップ(スタンダードプラン以上)
- ログイン試行回数制限
- 海外アタックガード
ここが良い
- 月額220円から利用可能(エコノミープラン)
- 初心者向けのシンプルな管理画面
- ムームードメインとの連携が簡単
ここが微妙
- 下位プランでは自動バックアップなし
- 表示速度は上記2社よりやや劣る
料金プラン
- エコノミー: 月額99円〜(WordPressは非対応)
- ライト: 月額220円〜(WordPress対応)
- スタンダード: 月額440円〜(自動バックアップあり)
こんな人におすすめ
- とにかくコストを抑えたい方
- 小規模なサイト・ブログを運営する方
詳細はこちら:
👉 ロリポップ 公式サイトで詳細を見る(10日間無料お試し)
サーバー移行はセキュリティ向上になる?
もし現在のサーバーにWAF機能がない場合、WAF対応サーバーへの移行を検討する価値があります。
移行のメリット
- サーバー側でSQLインジェクション、XSS攻撃をブロック
- WordPress以外の攻撃も防げる
- プラグインに頼らずセキュリティ強化
移行のリスク
- データ移行の手間(ただし、各社とも移行代行サービスあり)
- DNS切り替え時の短時間ダウンタイム(数時間)
- 一部プラグインの再設定が必要な場合あり
結論: WAF機能のあるサーバーは、長期的なセキュリティ投資として非常に有効です。
第6章: バックアップ・復元の重要性
どれだけセキュリティ対策を講じても、100%安全ということはありません。万が一の事態に備えて、定期的なバックアップは必須です。
バックアップの必要性
「バックアップがあれば、最悪の事態でもサイトを復旧できる」
実際、ハッキング被害を受けたサイトのうち、バックアップがないサイトの70%は復旧困難というデータがあります。
バックアップすべきもの
- データベース(記事、コメント、設定等)
- ファイル(テーマ、プラグイン、画像等)
この2つを両方バックアップすることが重要です。
バックアップ頻度の目安
| サイトの更新頻度 | バックアップ頻度 |
|---|---|
| 毎日更新 | 毎日 |
| 週1-2回更新 | 週1回 |
| 月1-2回更新 | 月1回 |
| ほぼ更新しない | 3ヶ月に1回 |
バックアップ方法3選
| 方法 | 手軽さ | 復元の容易さ | 料金 | おすすめ度 |
|---|---|---|---|---|
| サーバー自動バックアップ | ◎ | ◎ | サーバー料金込み | ★★★★★ |
| プラグイン(UpdraftPlus) | ○ | ○ | 無料/有料 | ★★★★☆ |
| FTPで手動バックアップ | △ | △ | 無料 | ★★☆☆☆ |
方法1: サーバーの自動バックアップ機能(おすすめ度★★★★★)
最も手軽で確実な方法が、サーバーの自動バックアップ機能を利用することです。
ConoHa WING・エックスサーバーの自動バックアップ
- バックアップ範囲: データベース + ファイル
- 保存期間: 14日間
- 料金: 無料
- 復元方法: サーバー管理画面から数クリックで復元可能
これらのサーバーを使っている場合は、特に何もしなくても自動でバックアップされているため、非常に安心です。
方法2: プラグイン(UpdraftPlus)(おすすめ度★★★★☆)
サーバーに自動バックアップ機能がない場合、プラグインを利用しましょう。
UpdraftPlus の特徴
- 無料で基本機能が使える
- Dropbox、Google Drive、Amazon S3等に自動保存
- スケジュールバックアップ(毎日、毎週等)
- ワンクリック復元
インストール方法
- WordPress管理画面 → 「プラグイン」→「新規追加」
- 「UpdraftPlus」で検索
- インストール・有効化
- 「設定」→「UpdraftPlus Backups」
- バックアップスケジュールを設定(例: 毎週日曜 0時)
- 保存先を選択(Google Drive推奨)
方法3: FTPで手動バックアップ(おすすめ度★★☆☆☆)
FTPソフト(FileZilla等)で、全ファイルをローカルにダウンロードする方法です。
ここが微妙
- 手間がかかる(毎回手動で実行)
- データベースは別途phpMyAdminでエクスポート必要
- 復元も手動で行う必要がある
結論: 緊急時のみ推奨。通常はサーバーの自動バックアップまたはプラグインを使いましょう。
第7章: セキュリティ診断ツール2選
自分のサイトのセキュリティレベルを客観的に評価できる、無料の診断ツール2選を紹介します。
ツール1: WPScans.com
URL: https://wpscan.com/
主な機能
- WordPressバージョンの脆弱性スキャン
- プラグイン・テーマの脆弱性チェック
- 既知の脆弱性データベースとの照合
使い方
- WPScans.comにアクセス
- サイトのURLを入力
- 「Scan」をクリック
- 数分後、診断レポートが表示される
無料プランと有料プラン
- 無料プラン: 1日1回スキャン
- 有料プラン: リアルタイムスキャン、詳細レポート
ツール2: WPdoctor
URL: https://wpdoctor.jp/
主な機能
- マルウェアスキャン
- 脆弱性診断
- ファイル改ざんチェック
- 日本語対応
使い方
- WPdoctorにアクセス
- 診断用プラグインをダウンロード
- WordPressにインストール
- スキャン実行
- 詳細レポートをダウンロード
第8章: トラブルシューティング
セキュリティ対策を進める中で起こりがちな問題と、その対処法を紹介します。
Q1: ハッキングされたかもしれない時の対処法
確認すべきポイント
- サイトに身に覚えのない記事・リンクが追加されている
- サイトが表示されない、または警告メッセージが出る
- Search Consoleで「セキュリティの問題」が通知された
- アクセス数が急激に増えた(スパムボット)
初動対応
- すぐにサイトを非公開にする(WordPress管理画面 → 「設定」→「表示設定」→「検索エンジンに表示しない」)
- パスワードを全て変更(WordPress管理者、FTP、データベース)
- 全プラグインを無効化
- マルウェアスキャン(WPdoctor等)
- バックアップから復元(最終手段)
復旧手順
- クリーンなバックアップに復元
- WordPressを最新版に更新
- 全プラグイン・テーマを最新版に更新
- セキュリティプラグインを導入
- サイトを再公開
専門業者に依頼する場合:
- 復旧費用: 5万円〜30万円
- 完全復旧まで: 1週間〜1ヶ月
Q2: プラグインが競合した場合の対処法
セキュリティプラグインを複数インストールすると、機能が競合してログインできなくなる場合があります。
対処法
- FTPでサーバーに接続
/wp-content/plugins/フォルダにアクセス- 問題のプラグインフォルダ名を変更(例:
wordfence→wordfence_backup) - WordPressに再ログイン
- プラグインを1つずつ有効化して原因を特定
Q3: WAFでブロックされた場合の対処法
サーバーのWAF機能が、正常なアクセスを誤検知してブロックすることがあります。
対処法
- サーバー管理画面にログイン
- WAF設定 → 「ログ」を確認
- 該当するルールを「除外設定」に追加
- または一時的にWAFを無効化(非推奨)
第9章: Q&A(よくある質問)
Q1: セキュリティ対策で最優先すべきは?
A: 以下の3つが最優先です:
- WordPressを最新版に保つ(脆弱性を放置しない)
- 強力なパスワードを設定(ブルートフォース攻撃を防ぐ)
- 定期的なバックアップ(万が一の保険)
この3つを実施するだけで、ハッキングリスクは80%以上減らせると言われています。
Q2: 無料プラグインとサーバーWAF、どちらが効果的?
A: サーバーのWAF機能の方が効果的です。
理由:
- サーバーレベルで攻撃をブロック(WordPressに到達する前に防げる)
- パフォーマンスへの影響が少ない
- WordPress以外の攻撃も防げる
ただし、サーバーにWAF機能がない場合は、プラグインで補うのが現実的です。
Q3: セキュリティ対策でサイト速度は遅くなる?
A: プラグインを使いすぎると遅くなる可能性がありますが、サーバーのWAF機能ならほぼ影響ありません。
遅くなる原因:
- セキュリティプラグインが多数のチェック処理を行う
- ファイアウォール機能がリソースを消費
対策:
- セキュリティプラグインは1つに絞る
- サーバーのWAF機能を優先的に使う
- 高速化プラグイン(キャッシュ系)と併用
関連記事: WordPressサイトを3秒→1秒に高速化する方法13選
Q4: サーバー移行はセキュリティ向上になる?
A: 現在のサーバーにWAF機能がない場合、移行する価値があります。
WAF対応サーバーのメリット:
- SQLインジェクション、XSS攻撃をサーバー側でブロック
- 自動バックアップ機能(14日間分)
- SSL証明書が無料
おすすめサーバー:
- ConoHa WING(高速・高セキュリティ)
- エックスサーバー(信頼性・安定性)
Q5: SSL化は必須?
A: 2025年現在、SSL化は必須です。
理由:
- Googleがランキング要因として重視(2014年から)
- Chrome等のブラウザで「保護されていない通信」と警告表示
- 個人情報保護の観点から必須
SSL化していないサイトは、訪問者に不安を与え、直帰率が上がります。
関連記事: サーバー証明書(SSL/TLS)とは?WordPress設定方法と選び方
まとめ: WordPressセキュリティ対策11の方法
この記事では、WordPressセキュリティ対策の全てを解説しました。
セキュリティ対策11の方法まとめ
【初級編】今すぐできる対策7選(難易度★☆☆☆☆)
- WordPressを最新版に保持(所要時間: 5分)
- 使っていないプラグイン・テーマを削除(所要時間: 10分)
- 公式プラグイン・テーマのみ使用(所要時間: 5分)
- ユーザー名を「admin」から変更(所要時間: 5分)
- 強力なパスワードを設定(所要時間: 5分)
- WordPressのバージョン情報を隠す(所要時間: 5分)
- ファイルのアクセス権限を正しく設定(所要時間: 10分)
【中級編】セキュリティ強化4選(難易度★★★☆☆)
- 管理画面URLを変更(所要時間: 15分)
- IPアドレス制限を設定(所要時間: 20分)
- BASIC認証を追加(所要時間: 20分)
- wp-config.phpを保護(所要時間: 10分)
【上級編】サーバー側のセキュリティ強化(難易度★★★★☆)
- サーバーのWAF機能を利用(ConoHa WING、エックスサーバー等)
- 自動バックアップ機能を活用
優先順位の付け方
もし時間が限られている場合は、以下の優先順位で実施してください:
最優先(今すぐやるべき):
- WordPressを最新版に保持
- 強力なパスワードを設定
- 定期的なバックアップ
次に優先(1週間以内):
- セキュリティプラグインを1つ導入(SiteGuard WP Plugin推奨)
- 使っていないプラグインを削除
- ユーザー名を「admin」から変更
余裕があれば(1ヶ月以内):
- 管理画面URLを変更
- サーバーのWAF機能を確認(なければサーバー移行検討)
継続的な対策の重要性
セキュリティ対策は「一度やれば終わり」ではありません。定期的な見直しと更新が必要です。
月1回やるべきこと
- WordPress・プラグイン・テーマの更新チェック
- バックアップの動作確認
- セキュリティ診断ツールでスキャン(WPScans.com等)
3ヶ月に1回やるべきこと
- 使用していないプラグイン・テーマの棚卸し
- パスワードの変更
- アクセスログの確認(不審なアクセスがないか)
あなたのWordPressサイトを守るのは、あなた自身です。
今日から、できることから1つずつ実践していきましょう。
この記事が役に立ったら、ぜひSNSでシェアしてください!
