WordPressは世界中で多くの人に使われている人気のCMSですが、その人気ゆえにスパムやハッキングの標的になりやすいという側面もあります。

「突然、サイトが別のページにリダイレクトされるようになった」「管理画面にログインできない」「謎のリンクが勝手に記事に挿入されている」…こういったトラブルは、外部からの攻撃やマルウェア感染が原因の可能性があります。

この記事では、WordPressを安全に運用するために、最低限やっておきたい予防対策をわかりやすく解説します。

よくある被害例

• サイトが別のドメインに転送される
• 管理画面が乗っ取られてログインできない
• 怪しいリンクやスクリプトが記事に挿入される
• Googleの検索結果で「このサイトは危険です」と警告が表示される

WordPressの基本的なセキュリティ対策

これから紹介する対策を実施することで、ほとんどの攻撃を未然に防ぐことが可能です。

1. WordPress本体・テーマ・プラグインを常に最新に

セキュリティの穴は、古いバージョンに存在していることが多いです。更新がある場合は、できるだけ早く反映しましょう。

2. 強力なログインパスワードを使用する

「admin」「123456」などの簡単なパスワードはNG。英数字・記号を組み合わせた12文字以上のパスワードが推奨されます。

3. ログインページの保護

• ログイン試行制限（例：Limit Login Attempts Reloaded）
• reCAPTCHA導入でボットをブロック
• ログインURLの変更（wp-login.phpから変更）

4. セキュリティ系プラグインを導入

以下のようなプラグインを入れておくと、かなり安全性が高まります。

• Wordfence Security（総合的なセキュリティ対策）
• All In One WP Security & Firewall（初心者にも使いやすい）
• Sucuri Security（ファイアウォールや監視機能）

5. 管理者権限のアカウントを必要以上に増やさない

複数人で運用する場合でも、管理者権限は最小限にし、編集者や投稿者など適切な権限に制限しましょう。

6. 定期的なバックアップの実施

万が一感染・改ざんされた場合に備えて、自動でバックアップを取得しておくのが重要です。

• BackWPup（無料・簡単）
• UpdraftPlus（Googleドライブ等に保存可能）

7. サーバー側での対策

信頼できるレンタルサーバーを使い、WAF（Web Application Firewall）やウイルススキャンが有効化されているか確認しましょう。

攻撃を受けたかも…と思ったときの対処

• WordPressファイルを再インストール
• テーマやプラグインの中身を確認し、不審なコードがないか調べる
• セキュリティプラグインでマルウェアスキャンを実行
• 過去の安全な状態にバックアップから復元

対処が難しい場合は、専門の業者やサーバー会社に相談しましょう。

まとめ

WordPressは便利で柔軟な反面、セキュリティ対策を怠ると簡単に攻撃されてしまいます。

本記事で紹介した基本の対策をしっかりと実施し、「被害にあってから後悔」するのではなく、「未然に防ぐ」ことが大切です。

「まだ何も対策していない」という方は、ぜひ今日から始めてみてください。