ホームページやウェブサイトを作るに当たって、WordPressを利用する企業は多いでしょう。
なぜならWordPressは、数あるソフトウェアの中でも「運用が簡単」であり、初心者の方でも使いやすいと言われているからです。
しかし使いやすい反面、”WordPressはセキュリティ面が弱い”と言われているのも事実。
そこで今回は、WordPressのセキュリティ対策を、プラグインも併せてお伝えします。
WordPressのセキュリティ面について

初心者にも使いやすいWordPressですが、セキュリティ面に関しては大きな期待ができません。
その理由として、”WordPressの利用者の急増”が大きく関わってきます。
【ホームページを作る人の4人に1人はWordPressを利用している】とも言われるほど、今やWordPressは日本だけでなく、世界中で利用者が増え続けています。
しかし、ホームページを攻撃するウイルスやサイバー攻撃側からすれば、利用者の少ないCMSよりも利用者の多いCMSの方が攻撃しやすいですよね?
つまり、WordPressは攻撃されやすいCMSというわけ。
もしWordPressで作った自社のホームページがサイバー攻撃されてしまうと、気づかぬ内に記事が書き換えられたり、管理画面が開かなくなったりといった問題が発生します。
そういった問題が起こらないためには、”徹底したセキュリティ対策が必要”と言えるわけです。
WordPressのセキュリティ対策は6つ

WordPressのセキュリティ対策には、以下5つが挙げられます。
- ログインパスワードの更新する
- 使用していないプラグインやテーマを削除する
- 使用しているプラグインやテーマを最新のものにする
- WordPressの状態を”非表示”にする
- 定期的にバックアップを取っておく
- プラグインを利用する
対策1.ログインパスワードの更新する
最も重要なセキュリティ対策として、ログインパスワードを更新することが挙げられます。
ログインパスワードは、いわばホームページの鍵となるもの。
ずっと同じパスワードを使い続けていると、ハッカーによってパスワード情報が漏れてしまい、いつか不正ログインされてしまう可能性も十分考えられます。
したがって、ログインパスワードは定期的に新しいものへと書き換えた方が良いでしょう。
なお、パスワードを設定するに当たって、ユーザー名と似たようなものにしたり自身の誕生日など、誰でも推測しやすいものはハッカーに狙われやすいので避け、出来るだけ複雑なものに設定しましょう。
対策2.使用していないプラグインやテーマを削除する
使用していないプラグインやテーマがあれば、なるべく削除しましょう。
ココで重要なことは、”削除すること”です。
よく、”削除”ではなく”無効化”のままにする方が居ますが、無効化だけでは完全に消えた訳ではないため、プラグインやテーマが攻撃されてしまう可能性があります。
プラグインやテーマの削除はWordPressの管理画面から出来るので、定期的にチェックし、使っていないと思ったらすぐに削除しておきましょう。
対策3.使用しているプラグインやテーマを最新のものにする
反対に、使用しているプラグインやテーマは最新の状態にしておきましょう。
古いままのプラグインやテーマを利用していると、セキュリティが脆弱化する恐れがあります。
なお、WordPressには自動的にプラグインやテーマを更新してくれる機能がついているものの、アップデート次第ではセキュリティ面以外で改悪することも稀にあるため、WordPressの公式サイトでアップデート内容の確認することも、セキュリティ対策の観点からみても重要となってくるでしょう。
対策4.WordPressの状態を”非表示”にする
通常、WordPressはバージョン情報が表示されていますが、この表示を”非表示”にすることもセキュリティ対策の1つとして挙げられます。
というのも、バージョン情報が古いままだと「セキュリティ対策を怠っている」「管理が甘いユーザー」とハッカーに判断され、攻撃の対象となりやすいのです。
WordPressのバージョン情報を非表示にする方法は、下記のコードを追加するだけ。
remove_action(‘wp_head’,’wp_generator’);
なお、この対策はWordPressの情報を”常に最新のものにしておくこと前提の方法”なので、定期的にWordPressのバージョンをチェックしておくことも、セキュリティ対策として大切です。
対策5.定期的にバックアップを取っておく
WordPressのセキュリティ対策として、定期的にバックアップを取っておくことも挙げられます。
バックアップを取っておくことで、万が一「アップデートによる不具合」や「不正ログインによる記事の改ざん」が起こったとしても、バックアップの情報を元にサイトを修復することができます。
なお、WordPressのバックアップの方法には、「エックスサーバーなどのレンタルサーバー会社によるサービス」と「プラグイン」の2通りあります。
この内「エックスサーバーなどのレンタルサーバー会社によるサービス」の方が、特に難しい設定や方法はなく、レンタルサーバーを使っている最中に自動的にWordPressのバックアップがされるのでオススメです。
対策6.プラグインを利用する
WordPressには、セキュリティ対策に相応しいプラグインが沢山あります。
しかし一度に沢山のプラグインを導入してしまうと、データの容量がいっぱいになりサイト自体が重くなってしまうので、どれか1つだけ導入すると良いでしょう。
ココでは、【All In One WP Security & Firewall】というプラグインをオススメします。

(出典:https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/)
【All In One WP Security & Firewall】は、WordPressのセキュリティ対策として世界中でインストールされているプラグインです。
【All In One WP Security & Firewall】内でできることは、以下の6つ。
- WordPress管理画面のログインページURLの変更
- データベースのセキュリティ対策
- 「.htaccess」ファイルへの外部からのアクセス拒否
- ログイン情報の入力にCAPTCHAを追加
- ファイルのアップロードサイズ制限
- スパムメール防止
ただしプラグインの設定が全て英語表記であるため、解読にはやや時間がかかってしまうかもしれません。
この点に抵抗がなければ、ぜひWordPressのセキュリティ対策のプラグインとして、導入してみてはいかがでしょうか。
WordPressを利用するならセキュリティ対策を徹底しましょう。

WordPressは世界中で利用されているCMSですが、セキュリティ面はやや乏しいです。
もし、御社がWordPressでホームページを作成するのであれば、この記事でご紹介したセキュリティ対策を取り、ウイルスやハッカーに狙われないようにしましょう。