「自分のサイトなんて誰も狙わないだろう」
そう思っている方は少なくありません。
しかし、WordPressへの攻撃は、有名企業や大規模サイトだけを狙って行われるものではありません。多くの場合、攻撃者はボットを使って世界中のWordPressサイトを自動的にスキャンし、古いバージョンや脆弱性のあるプラグイン、弱いパスワードなどを探しています。
つまり、サイトの規模や知名度に関係なく、WordPressを使っているだけで攻撃対象になる可能性があります。
ウェビデザインが保守管理を引き継いだサイトの中にも、長期間セキュリティ対策を行っていなかった結果、気づかないうちに不審なファイルが設置されていたケースがありました。
この記事では、WordPressが狙われやすい理由、よくある攻撃手口、そして今すぐ実施できる対策7選を解説します。京都を拠点にWordPressサイトの保守管理を行っているウェビデザインが、現場の視点からわかりやすくお伝えします。
WordPressが狙われやすい理由
WordPressは、世界中のWebサイトの4割以上で使われている非常に利用者の多いCMSです。
多くのサイトで使われているということは、攻撃者にとっても「効率よく攻撃対象を探しやすい」ということを意味します。
たとえば、WordPress本体やプラグインに脆弱性が見つかった場合、その情報をもとに、世界中のWordPressサイトが自動的にスキャンされることがあります。
攻撃者は、以下のような情報を機械的に調べます。
- WordPressのバージョン
- 使用しているテーマやプラグイン
- ログインページの場所
- 古いプラグインが残っていないか
- 推測されやすいユーザー名を使っていないか
WordPressはオープンソースであるため、誰でも仕組みを確認できます。これは自由にカスタマイズできる大きなメリットである一方、攻撃者にも構造を研究されやすいという側面があります。
「小さなサイトは狙われない」が通用しない理由
WordPressへの攻撃の多くは、「この会社を狙おう」と人間が個別に判断しているわけではありません。
ボットによる自動スキャンで、条件に当てはまるサイトを機械的に探しています。
そのため、個人事業主のサイト、小規模店舗のサイト、更新頻度の低いサイトであっても、古いWordPressや脆弱なプラグインを使っていれば攻撃対象になる可能性があります。
WordPressでよくある攻撃の種類と被害
ブルートフォース攻撃
ブルートフォース攻撃とは、ログインページに対して、IDとパスワードの組み合わせを何度も試す攻撃です。
たとえば、よく使われるユーザー名と簡単なパスワードを組み合わせて、機械的にログインを試みます。
現在も管理者IDに「admin」などの推測されやすい名前を使っていたり、短く単純なパスワードを設定していたりすると、不正ログインのリスクが高まります。
SQLインジェクション
SQLインジェクションは、データベースに不正な命令を送り込み、情報の取得・改ざん・削除などを行う攻撃です。
古いプラグインや、適切に対策されていないフォーム機能などが入口になる場合があります。
お問い合わせフォーム、予約フォーム、検索機能など、ユーザーが入力できる箇所があるサイトでは特に注意が必要です。
マルウェアの埋め込み
サイト内に悪意のあるコードやファイルを設置される被害です。
マルウェアを埋め込まれると、訪問者が別の不審なサイトへ誘導されたり、警告画面が表示されたりすることがあります。
サイトオーナー自身は通常通り見えていても、特定の条件下でだけ不正な動作をするケースもあるため、発見が遅れることがあります。
スパムリンクの埋め込み
サイト内に大量の不正なリンクを埋め込まれる被害です。SEOスパムと呼ばれることもあります。
一見すると普通のサイトに見えていても、ページの裏側や見えにくい場所に、不自然なリンクが大量に追加されている場合があります。
発見が遅れると、検索エンジンからの評価低下や、検索結果への悪影響につながる可能性があります。
今すぐできるWordPress不正アクセス・改ざん対策7選
ここからは、WordPressサイトで今すぐ実施したい基本的なセキュリティ対策を7つ紹介します。
対策1:ログインURLを変更する
WordPressのログインページは、初期状態では以下のようなURLでアクセスできます。
https://ドメイン名/wp-login.php
または、
https://ドメイン名/wp-admin
このURLは多くのWordPressサイトで共通しているため、ボットによる機械的なアクセスの対象になりやすい場所です。
対応方法
「SiteGuard WP Plugin」などのセキュリティプラグインを使うことで、ログインURLを変更できます。
たとえば、
https://ドメイン名/login-abc123
のように、第三者から推測されにくいURLに変更することで、wp-login.php や wp-admin を狙った機械的なアクセスを大きく減らすことができます。
ただし、ログインURLの変更だけで完全に安全になるわけではありません。パスワードの強化やログイン試行制限など、他の対策と組み合わせることが重要です。
対策2:管理者IDを「admin」以外にする
古いWordPressサイトや一部の簡単インストール環境では、管理者IDに「admin」が使われているケースがあります。
攻撃者は、まず「admin」や「administrator」などの推測されやすいユーザー名を試すことがあります。そのため、現在も管理者IDに「admin」を使っている場合は、別のユーザー名に変更することをおすすめします。
対応方法
WordPressでは、作成済みのユーザー名を管理画面から直接変更することはできません。
そのため、以下の流れで対応します。
- 新しい管理者ユーザーを作成する
- 新しい管理者ユーザーでログインする
- 旧「admin」ユーザーを削除する
- 投稿データを新しいユーザーに引き継ぐ
削除時に投稿者の引き継ぎを間違えると、過去の記事が消えてしまう可能性があるため、作業前に必ずバックアップを取っておきましょう。
対策3:強力なパスワードを設定する
どれだけログインURLを変更しても、パスワードが弱ければ不正ログインのリスクは残ります。
以下のようなパスワードは避けましょう。
password123456admin123- 誕生日
- 電話番号
- 会社名や屋号
- ドメイン名に近い文字列
推奨されるパスワード
英字の大文字・小文字、数字、記号を組み合わせた12文字以上のパスワードをおすすめします。
WordPressの管理画面には、強力なパスワードを自動生成する機能があります。自分で覚えやすいパスワードを作るよりも、自動生成された複雑なパスワードを使う方が安全です。
パスワードの管理には、1PasswordやBitwardenなどのパスワード管理ツールを使うと便利です。
対策4:セキュリティプラグインを導入する
WordPressのセキュリティ対策では、セキュリティプラグインの導入も有効です。
代表的なものとして、以下のようなプラグインがあります。
Wordfence Security
Wordfence Securityは、ファイアウォール、マルウェアスキャン、ログイン試行の監視などに対応した多機能なセキュリティプラグインです。
不審なアクセスを検知したり、ログイン試行を制限したりする機能があります。
SiteGuard WP Plugin
SiteGuard WP Pluginは、日本のWordPressユーザーにも使いやすいセキュリティプラグインです。
ログインURLの変更、画像認証の追加、ログイン履歴の確認、ログインロックなど、管理画面への不正アクセス対策に役立つ機能が揃っています。
注意点
セキュリティプラグインは便利ですが、設定を間違えると正規の管理者がログインできなくなったり、他のプラグインと競合したりする場合があります。
導入前にはバックアップを取り、設定後はサイトの表示やログイン動作を確認しましょう。
対策5:SSL(HTTPS)化を確認する
自社サイトが https:// から始まるURLになっているか確認しましょう。
SSLに対応しているサイトでは、サイトと訪問者の間でやり取りされる通信が暗号化されます。
特に、お問い合わせフォームや予約フォームなど、ユーザーが情報を入力するページでは、SSL対応が重要です。
非SSLサイトのリスク
http:// のままのページでは、ブラウザ上で「安全でない接続」といった警告が表示される場合があります。
また、GoogleはHTTPSを検索ランキングのシグナルの一つとして扱っています。そのため、SEO面でもSSL対応は重要です。
現在、多くのレンタルサーバーでは無料SSLが利用できます。ただし、サーバー側で設定が有効になっていない場合もあるため、未対応のサイトは早めに確認しましょう。
対策6:ログイン試行回数を制限する
ブルートフォース攻撃への対策として、ログイン試行回数の制限は非常に有効です。
たとえば、短時間に何度もログインに失敗したIPアドレスを、一時的にブロックする設定を行います。
設定例
- 5回ログインに失敗したら一時ロック
- 一定時間ログインできないようにする
- 不審なログイン試行をメールで通知する
Wordfence SecurityやSiteGuard WP Pluginには、ログイン試行を制限する機能があります。
ログインURLの変更と組み合わせることで、管理画面への機械的な攻撃を減らしやすくなります。
対策7:WordPress・プラグイン・テーマを常に最新に保つ
WordPressのセキュリティ対策で最も基本的かつ重要なのが、定期的なアップデートです。
古いWordPress本体、古いプラグイン、古いテーマには、すでに知られている脆弱性が残っている場合があります。
攻撃者は、そのような既知の脆弱性を利用してサイトに侵入しようとします。
アップデート時の注意点
ただし、何でもすぐに更新すればよいというわけではありません。
WordPressやプラグインを更新した結果、サイトのデザインが崩れたり、フォームが動かなくなったり、Elementorの表示に不具合が出たりすることもあります。
そのため、アップデート前には必ずバックアップを取り、更新後に以下の項目を確認しましょう。
- トップページが正常に表示されるか
- 下層ページが崩れていないか
- お問い合わせフォームが送信できるか
- スマホ表示に問題がないか
- 管理画面にエラーが出ていないか
アップデートの注意点・手順については「WordPressのコアアップデートを放置するとどうなる?」の記事でも詳しく解説しています。
WordPressの放置はセキュリティ以外にも影響する
WordPressの放置によるリスクは、不正アクセスや改ざんだけではありません。
以下のような問題にもつながります。
- 表示速度の低下
- お問い合わせフォームの不具合
- スマホ表示の崩れ
- SEO評価の低下
- プラグイン同士の競合
- 管理画面にエラーが出る
- バックアップが正常に取れていない
特に、事業用サイトの場合、お問い合わせフォームの不具合や表示崩れに気づかないまま放置してしまうと、本来得られるはずだった問い合わせを逃してしまう可能性があります。
セキュリティ対策はもちろん大切ですが、WordPressサイトは「公開して終わり」ではなく、定期的な確認とメンテナンスが必要です。
セキュリティ対策を外注するメリット
ここまで紹介した7つの対策は、自分で実施できるものも多くあります。
しかし、実際には以下のような問題が起きやすいです。
- プラグインの設定を間違えてログインできなくなった
- セキュリティプラグインが他のプラグインと競合した
- 設定はしたが、本当に機能しているかわからない
- アップデート後にサイトが崩れた
- 攻撃を受けていることに気づかない
- バックアップが正常に取れていなかった
セキュリティ対策は、一度設定して終わりではありません。
定期的な確認、ログのチェック、アップデート、バックアップ、不審な動作への対応など、継続的な管理が必要です。
本業が忙しい事業者の方が、これらをすべて自分で行うのは現実的に難しい場合があります。
ウェビデザインでは、月額の保守管理費の中で、WordPressの更新管理、セキュリティ設定、定期確認、バックアップ、不具合対応までまとめてサポートしています。
WordPress+Elementorを使ったサイト制作・保守管理の経験をもとに、サイトの状態に合わせた管理をご提案します。
「設定してみたけど正しいか不安」
「過去に改ざん被害を受けたことがある」
「アップデートやバックアップまでまとめて任せたい」
という方は、お気軽にご相談ください。
制作費無料プランとあわせてご利用いただくことで、ホームページ制作から公開後の保守・セキュリティ管理まで、すべてウェビデザインにお任せいただけます。
まとめ
WordPressは世界中で広く使われているCMSだからこそ、攻撃者に狙われやすい側面があります。
特に、古いWordPress、更新されていないプラグイン、弱いパスワード、推測されやすい管理者IDを使っているサイトは注意が必要です。
今すぐできる基本的な対策は以下の7つです。
- ログインURLを変更する
- 管理者IDを「admin」以外にする
- 強力なパスワードを設定する
- セキュリティプラグインを導入する
- SSL(HTTPS)化を確認する
- ログイン試行回数を制限する
- WordPress・プラグイン・テーマを常に最新に保つ
ただし、セキュリティ対策は設定して終わりではありません。
継続的な監視、バックアップ、アップデート、不具合確認まで含めて、はじめて安心して運用できる状態になります。
WordPressの不正アクセス対策や改ざん防止に不安がある方は、ウェビデザインまでお気軽にご相談ください。
まずはWordPress無料診断サービスをご利用ください
- サイト診断:WordPress無料診断サービス
- 「WordPress保守管理が必要な理由はこちら」→ WordPress保守管理とセットで頼むべき理由
- 「コアアップデートのリスクはこちら」→ WordPressのコアアップデートを放置するとどうなる?
- 「バックアップの設定方法はこちら」→ WordPressサイトのバックアップを怠ると後悔する理由と今すぐやるべき対策