WordPressサイトのセキュリティ診断チェックリスト10項目
「WordPressのセキュリティ対策、何をすればいいかわからない」── 制作会社からも具体的な説明を受けたことがなく、漠然と不安を抱えているご担当者は少なくありません。本記事では、すぐに確認できる10項目のチェックリストをまとめました。
なぜWordPressはセキュリティ対策が必要なのか
WordPressは世界のWebサイトの約4割で使われているCMSです。利用者が多いほど攻撃者にとっても狙いやすく、ボットによる自動攻撃の対象になりやすいという特徴があります。
そのため「自社サイトは小さいから狙われない」という考えは通用しません。攻撃の多くは「人」ではなく「ボット」が無差別に行うため、規模の大小は関係なく試行されます。
セキュリティ診断チェックリスト10項目
1. WordPress本体が最新バージョンか
WordPressは月に数回マイナーアップデートが提供されます。管理画面の「ダッシュボード > 更新」で確認できます。アップデートには重要なセキュリティ修正が含まれるため、放置は致命的です。
2. テーマ・プラグインが最新バージョンか
「プラグイン > インストール済みプラグイン」で更新通知が出ていないか確認します。古いバージョンは既知の脆弱性を抱えている可能性があります。
3. 管理者ユーザー名が「admin」になっていないか
「admin」「administrator」など推測されやすいユーザー名は、ブルートフォース攻撃の的になります。「ユーザー」メニューで確認し、該当する場合は別のユーザーを作成して権限を移すことが推奨されます。
4. ログインURLが変更されているか
標準の「/wp-login.php」は最も狙われるURLです。SiteGuard WP PluginなどでログインURLを変更しておくと、自動攻撃の大半を遮断できます。
5. ログイン試行のロック機能が有効か
一定回数連続でログインに失敗したIPを自動でロックする機能を有効にしておくと、ブルートフォース攻撃を抑制できます。
6. XML-RPC を無効化しているか
古いWordPressの外部連携機能ですが、現代では使用機会が少なく、攻撃の入口になりがちです。利用していなければ無効化することが推奨されます。
7. SSL/HTTPS化が完了しているか
URLが「https://」で始まり、ブラウザに鍵マークが表示されることを確認してください。サイト全体がHTTPS化されていない場合、フォーム送信内容が暗号化されないリスクがあります。
8. バックアップが定期的に取得されているか
万一改ざんされた場合、復元できるバックアップがあるかが運命を分けます。BackWPupなどで自動バックアップを設定し、別サーバーやクラウドに保管しておくことが理想です。
9. 不要なテーマ・プラグインを削除しているか
「使っていないけど入っている」テーマやプラグインは、更新が放置されやすく脆弱性の温床になります。使わないものは削除(無効化だけでは不十分)してください。
10. 管理画面からのファイル編集が無効化されているか
wp-config.php に define('DISALLOW_FILE_EDIT', true); を追加することで、管理画面からのテーマ・プラグインファイル編集を無効化できます。万一管理画面が乗っ取られても、サーバー上のファイル直接改ざんは防げます。
まとめ:自分でできることと、専門家に任せたほうがいいこと
上記10項目のうち、1〜3は管理画面から確認・対応できます。4以降は設定変更・サーバー操作が必要なものも含まれ、誤ると本番サイトが表示されなくなるリスクがあります。
WordPressドクターでは、これらのセキュリティ項目を含めた診断と改善を、本番サイトを触らずに検証環境で安全に実施します。気になる点があればお気軽にご相談ください。
この記事をシェアする
