【2026年最新版】WordPressのセキュリティ対策21選！初心者でも今日からできる強化方法

WordPressが狙われやすい理由と最新の脅威動向

世界シェア43%が生む「大きな的」

WordPressは世界中のWebサイトの約43%、CMS市場では60%以上のシェアを占めています。これほど普及しているがゆえに、攻撃者にとっては「一度攻撃手法を確立すれば、数百万サイトに同じ手口が通用する」という状況が生まれています。

規模の大小を問わず、すべてのWordPressサイトは日常的に自動スキャンや不正ログイン試行にさらされています。「うちは小さなサイトだから大丈夫」という認識は非常に危険です。

2025年の脆弱性レポートが示す現実

セキュリティ企業Patchstackの調査によると、2025年のWordPress脆弱性の内訳は以下のとおりです。

• 発見された脆弱性の91%はプラグイン由来
• テーマ由来が9%
• WordPressコア本体由来はわずか6件（いずれも低優先度）

つまり、WordPress本体よりもプラグインとテーマの管理が最重要ということです。高リスク脆弱性の件数は前年から大幅に増加しており、攻撃の高度化・自動化が進んでいます。

⚠️ 注意: セキュリティ対策は「一度やれば終わり」ではありません。脆弱性は毎日のように発見されており、継続的な運用管理が不可欠です。

【基本編】まずここから！初心者でも必須の対策

1. WordPress本体・テーマ・プラグインを常に最新版に保つ

難易度: ★☆☆ / 効果: 高

WordPressの脆弱性の大半は、アップデートで修正済みの既知の問題を狙ったものです。古いバージョンを使い続けることは、鍵のかかっていないドアを放置するようなものです。

実践方法:

• WordPress管理画面の「更新」メニューを週1回以上確認する
• 小規模サイトであれば「自動更新」を有効にすることを検討する
• マイナーバージョン（セキュリティ修正）は自動更新が推奨

2026年現在のWordPressの最新メジャーバージョンは6.x系です。管理画面の「ダッシュボード → 更新」から現在のバージョンを確認してください。

2. 定期的なバックアップを必ず取る

難易度: ★☆☆ / 効果: 高

バックアップはセキュリティ対策の「最後の砦」です。万が一サイトが改ざんされたり、マルウェアに感染したりしても、バックアップがあれば復旧できます。

実践方法:

• UpdraftPlus（無料）などのプラグインを使い、自動バックアップを設定する
• バックアップデータはサーバー外（Google Drive、Dropboxなど）に保存する
• 週1回以上のバックアップが理想。ECサイトなど毎日更新するなら毎日設定する
• バックアップからの復旧テストも定期的に行う

3. セキュリティプラグイン「SiteGuard WP Plugin」を導入する

難易度: ★☆☆ / 効果: 高

SiteGuard WP Pluginは日本の企業が開発した無料のWordPress向けセキュリティプラグインです。日本語環境に最適化されており、多くの対策を一括で設定できます。

主な機能:

• 管理ページへのアクセス制限
• ログインページのURL変更
• 画像認証（CAPTCHA）の追加
• ログイン失敗時のロックアウト
• ファイル更新の無効化（本番環境向け）

WordPressの公式プラグインディレクトリから無料でインストールできます。インストール後は管理画面の「SiteGuard」メニューから各機能を有効化してください。

4. スパムコメント対策に「Akismet」を設定する

難易度: ★☆☆ / 効果: 中

WordPressに標準搭載されているAkismetは、スパムコメントを自動検出・除去するプラグインです。スパムコメントには悪意のあるリンクが含まれていることがあり、放置するとサイト評価を下げる原因にもなります。

実践方法:

• WordPress.comアカウントを作成してAPIキーを取得する
• 個人・非商用サイトは無料で利用可能
• 設定後は「ディスカッション」設定でコメントを承認制にするとさらに安全

5. 不要なプラグインは即座に削除する

難易度: ★☆☆ / 効果: 高

使っていないプラグインを「無効化」しただけで放置していませんか？無効化されていても、ファイルがサーバー上に残っていれば脆弱性の対象になります。不要なプラグインは必ず「削除」まで行いましょう。

実践方法:

• 「プラグイン → インストール済みプラグイン」で未使用プラグインを確認
• 使っていないものは「削除」をクリック（無効化だけではNG）
• インストール数や更新頻度、評価が低いプラグインは使用を避ける
• プラグインはできるだけ最小限にとどめる

6. ログイン情報（ユーザー名・パスワード）を強化する

難易度: ★☆☆ / 効果: 高

WordPressへの不正ログインの多くは、ブルートフォース攻撃（パスワードの総当たり）によるものです。推測されやすいパスワードや、初期設定のまま放置したユーザー名は格好の標的になります。

ユーザー名の注意点:

• 「admin」「administrator」「wp-admin」などは絶対に使わない
• サイトのURLやドメイン名をユーザー名にしない
• 投稿者名（ニックネーム）とログインユーザー名は別にする

パスワードの注意点:

• 12文字以上で英大文字・小文字・数字・記号を組み合わせる
• WordPressの「強力なパスワードを生成」機能を活用する
• 他サービスと同じパスワードの使い回しは厳禁

7. 管理者アカウントの数を最小限にする

難易度: ★☆☆ / 効果: 中

WordPressの「管理者」権限はサイトのすべてを操作できます。管理者アカウントが増えるほど、不正アクセスのリスクも高まります。

実践方法:

• 管理者権限が必要なユーザーのみ「管理者」に設定する
• 記事を書くだけのユーザーには「投稿者」や「編集者」権限で十分
• 退職・離脱したメンバーのアカウントは速やかに削除または無効化する
• 定期的に「ユーザー一覧」を見直し、不要なアカウントを整理する

【中級編】より強固な防御を実現する設定

8. ログインURLをデフォルトから変更する

難易度: ★★☆ / 効果: 高

WordPressのログインページはデフォルトで /wp-login.php または /wp-admin/ です。攻撃者はこのURLを知っているため、ここへの不正ログイン試行が自動的に繰り返されます。URLを変更するだけで、こうした自動攻撃の大半を回避できます。

実践方法:

• SiteGuard WP Pluginの「ログインページ変更」機能を使う（おすすめ）
• 「WPS Hide Login」プラグインでも変更可能
• 変更後のURLは必ずメモしておく（忘れると自分もログインできなくなる）

9. デフォルトの「admin」ユーザーを削除する

難易度: ★★☆ / 効果: 高

WordPressをインストールした際に「admin」というユーザー名でアカウントを作成していませんか？「admin」は攻撃者が最初に試みるユーザー名のひとつです。

手順:

1. 新しい管理者アカウントを別のユーザー名で作成する
2. 旧「admin」アカウントからログアウトし、新アカウントでログインする
3. 「ユーザー → ユーザー一覧」から「admin」を選択し削除する
4. 削除時に投稿の帰属先を新アカウントに設定する

10. ログイン時に二段階認証を導入する

難易度: ★★☆ / 効果: 高

パスワードが流出した場合でも、二段階認証（2FA） があれば不正ログインを防げます。スマートフォンの認証アプリを使うのが一般的です。

実践方法:

• WP 2FAやGoogle Authenticator for WPなどのプラグインを利用する
• Google AuthenticatorやAuthyなどの認証アプリをスマートフォンにインストールする
• 管理者アカウントには必ず設定する

11. ログインの失敗回数を制限する（ロックアウト設定）

難易度: ★★☆ / 効果: 高

ブルートフォース攻撃は同じIPアドレスから大量のログイン試行を行います。一定回数失敗したらIPアドレスをブロックする設定で、攻撃を根本から防ぎます。

実践方法:

• Limit Login Attempts ReloadedやSiteGuard WP Pluginのロックアウト機能を使う
• ログイン失敗5回でロックアウト、30分〜1時間程度のブロックが目安

12. 管理画面へのアクセスをIPアドレスで制限する

難易度: ★★★ / 効果: 高

固定IPアドレスを持っている場合、.htaccessを使って管理画面へのアクセスを特定のIPアドレスからのみ許可できます。

.htaccessに追加するコード例:

<Files "wp-login.php">
  Order Deny,Allow
  Deny from all
  Allow from 自分のIPアドレス
</Files>

⚠️ 注意: IPアドレスが変わる環境（モバイル回線など）では設定に注意が必要です。自分自身がアクセスできなくなる場合があります。設定前にバックアップを取ってください。

13. wp-config.phpをアクセス不可に設定する

難易度: ★★☆ / 効果: 高

wp-config.phpはデータベースのパスワードや秘密鍵などの機密情報が含まれた最重要ファイルです。外部からアクセスできないよう制限します。

.htaccessに追加するコード例:

<Files wp-config.php>
  order allow,deny
  deny from all
</Files>

14. データベーステーブルのプレフィックスを変更する

難易度: ★★★ / 効果: 中

WordPressのデータベーステーブルはデフォルトでwp_から始まります。SQLインジェクション攻撃では、このプレフィックスを知っていることを前提にした攻撃コードが多く存在します。

実践方法:

• WordPressの新規インストール時に変更するのが最も安全（wp_→任意の文字列_）
• 既存サイトでの変更はWP-DBManagerなどのプラグインを使うか、データベースの直接編集が必要
• 変更前に必ずデータベースのバックアップを取ること

15. WordPressのバージョン情報を隠す

難易度: ★★☆ / 効果: 中

WordPressはデフォルトでHTMLのソースコードやreadme.htmlなどにバージョン情報を出力します。このバージョン情報を知られると、特定バージョンの脆弱性を突く攻撃がしやすくなります。

functions.phpに追加するコード:

// バージョン情報を削除
remove_action('wp_head', 'wp_generator');

また、readme.htmlやlicense.txtなどWordPressのデフォルトファイルは削除するか、アクセス制限をかけることをおすすめします。

16. アクセスログを定期的に確認する

難易度: ★★☆ / 効果: 中

不正アクセスの兆候は多くの場合、アクセスログに記録されています。定期的なログ確認で早期発見・早期対処が可能です。

確認すべきポイント:

• 深夜や早朝に集中する大量のアクセス（ブルートフォース攻撃の可能性）
• 存在しないファイルへのアクセス試行（404エラーの多発）
• wp-login.phpへの短時間での大量アクセス
• 海外IPアドレスからの管理画面へのアクセス

レンタルサーバーのコントロールパネルからアクセスログを確認できることが多いです。

【上級編】さらに強固なセキュリティのために

17. .htaccessファイルへの書き込みを防ぐ

難易度: ★★★ / 効果: 中

.htaccessファイルは改ざんされると、リダイレクト設定などを通じてサイト訪問者を悪意のあるサイトに誘導されるリスクがあります。

.htaccess自体へのアクセス制限:

<Files .htaccess>
  order allow,deny
  deny from all
</Files>

18. パスワードポリシーを設定する（複数ユーザー運営の場合）

難易度: ★★☆ / 効果: 中

複数人でWordPressを管理している場合、各ユーザーが弱いパスワードを使っているとセキュリティの穴になります。Password Policy Managerなどのプラグインを使ってパスワードの強度を強制できます。

設定する内容:

• 最低文字数（12文字以上推奨）
• 英数字・記号の組み合わせの必須化
• 一定期間ごとのパスワード変更の強制

19. ユーザー権限を適切に分けて管理する

難易度: ★★☆ / 効果: 中

WordPressには5つのユーザー権限があります。それぞれの役割に応じた権限を付与することで、万が一アカウントが乗っ取られた際の被害を最小限に抑えられます。

20. サーバー設定でPHPのバージョンを最新に保つ

難易度: ★★★ / 効果: 高

WordPressはPHPで動いています。PHPにも脆弱性があるため、サポートが終了した古いバージョンのPHPを使い続けることは非常に危険です。

確認方法:

• WordPressの管理画面「ツール → サイトヘルス」でPHPバージョンを確認できる
• レンタルサーバーのコントロールパネルからPHPバージョンを変更できる場合が多い

2026年現在のPHPバージョン状況:

• PHP 8.1: 2024年12月31日にセキュリティサポート終了済み（EOL）のため、即アップグレードが必要
• PHP 8.2: セキュリティサポートのみで2026年12月末EOL予定
• PHP 8.3: 2027年末までサポート予定。2026年現在の推奨バージョン

⚠️ 注意: PHPバージョンを上げる前に、使用しているプラグインやテーマが新しいPHPバージョンに対応しているか確認してください。互換性の問題でサイトが動かなくなる場合があります。

21. WAF（Webアプリケーションファイアウォール）を導入する

難易度: ★★★ / 効果: 高

WAFはWebサイトへの通信を監視し、悪意のある攻撃をリアルタイムにブロックするセキュリティシステムです。個人レベルの設定では防ぎきれない高度な攻撃に対して有効です。

導入方法:

• Cloudflare（無料プランあり）：DNSレベルでのWAF機能
• レンタルサーバーのWAF機能：エックスサーバー、さくらインターネットなど主要レンタルサーバーで提供
• WordFence（プラグイン型WAF）：WordPressプラグインとして動作

Patchstackの2026年レポートによると、従来型のWAFだけでは防げない攻撃が多数存在するとされています。WAFは単体で使うのではなく、仮想パッチ機能との組み合わせることで防御力を大幅に高められます。

21項目まとめ一覧表

まず現状のセキュリティ状態を把握したい方は、こちらの簡易チェック記事もご参照ください。

よくある質問

まとめ：WordPressセキュリティ対策は「今日から」始めよう

2025年に発見されたWordPressの脆弱性は11,334件、前年比42%増。最も多く狙われた脆弱性では公開から5時間以内（加重中央値）に攻撃が確認されているという現実があります。「うちは小さなサイトだから大丈夫」は通用しない時代です。

21項目の対策のうち、まず今日できることから始めてみてください。

今すぐ取り組める3つのこと:

1. WordPress本体・テーマ・プラグインのアップデートを確認する
2. バックアッププラグイン（UpdraftPlus）を導入する
3. SiteGuard WP Pluginをインストールして有効化する

この3つだけでも、セキュリティリスクを大幅に下げることができます。

セキュリティ設定の確認や対策の実施について不安がある方、または「そもそもWordPressサイトの設計から見直したい」とお考えの方は、ぜひ弊社にお気軽にご相談ください。大阪のホームページ制作会社として、セキュリティを考慮したサイト設計・保守管理まで幅広くサポートしています。