インシデントを未然に防ぐ、WordPressセキュリティ実践チェックリスト25項目

2025.08.10

この記事では、企業のWebサイト担当者様が直面するWordPressのセキュリティリスクを体系的に解説し、具体的な対策を網羅した「実践チェックリスト」をご提供します。この記事をブックマークし、貴社のセキュリティ対策の指針としてご活用ください。

この記事で得られること：

WordPressのセキュリティインシデントがもたらす経営リスクの理解

自社サイトのセキュリティレベルを客観的に評価できるチェックリスト

万が一のインシデント発生時に冷静に対応するための初動手順

プロに依頼すべき範囲と、自社でできることの明確な切り分け

まず理解すべき、セキュリティインシデントが企業に与える5つの経営リスク

技術的な対策の前に、なぜそれが必要なのかを理解することが重要です。セキュリティインシデントは、単なる「Webサイトの不具合」ではなく、事業全体を揺るがす経営リスクに直結します。

リスク1：事業停止による機会損失と復旧コスト

サイトが停止すれば、その間のビジネスチャンスはすべて失われます。復旧には専門家への依頼費用や人件費など、直接的なコストも発生します。

リスク2：顧客情報・機密情報の漏洩による賠償問題

ECサイトや会員サイトで個人情報が漏洩した場合、損害賠償や慰謝料の支払いは莫大な金額に上る可能性があります。

リスク3：企業の社会的信用の失墜

「セキュリティ管理が杜撰な会社」というレッテルは、顧客や取引先からの信頼を根本から覆し、長期的なブランドイメージの低下を招きます。

リスク4：検索エンジンからのペナルティ（SEO評価の著しい低下）

Googleは、改ざんされたサイトやマルウェアに感染したサイトの評価を大幅に引き下げます。回復には多大な時間と労力が必要です。

リスク5：意図しない加害行為（踏み台化）によるブランド毀損

自社サイトが乗っ取られ、フィッシングサイトやスパムメールの送信拠点として悪用されるケースです。知らぬ間に「加害者」となり、ブランドを大きく毀損します。

WordPressセキュリティ実践チェックリスト25項目

ここからが本題です。貴社のサイトがこれらの項目を満たしているか、一つずつ確認していきましょう。レベル1から順に取り組むことで、着実にセキュリティレベルを向上させることができます。

レベル1：基本対策編｜まず最初に確認すべき必須項目（5項目）

WordPress本体・プラグイン・テーマは常に最新版か
古いバージョンは既知の脆弱性を抱えている可能性が高く、攻撃者の格好の標的です。ダッシュボードの更新通知は放置せず、速やかに対応しましょう。
推測されにくい強力なパスワードを設定しているか
password123や会社名など、安易なパスワードは厳禁です。大文字・小文字・数字・記号を組み合わせた、12文字以上の複雑な文字列を使用してください。
管理者権限（administrator）を持つユーザーを最小限に絞っているか
管理者権限はサイトのすべてをコントロールできる強力な権限です。日常的な投稿作業は「編集者」や「投稿者」権限で行い、管理者アカウントは必要最低限にしましょう。
定期的なバックアップを取得し、復旧手順を確認しているか
セキュリティ対策の最後の砦がバックアップです。自動で定期的に取得する仕組みを導入し、実際にそのデータから復旧できるかを一度はテストしておくことが重要です。
サイト全体がSSL化（https）されているか
通信が暗号化されていないhttpサイトは、ログイン情報やフォーム入力内容を盗み見されるリスクがあります。常時SSL化は現代のWebサイトの必須要件です。

レベル2：不正アクセス対策編｜侵経路を遮断する防御設定（7項目）

ログインURLをデフォルトから変更しているか
/wp-login.phpや/wp-admin/は世界共通のログインURLです。これを推測されにくい独自のURLに変更するだけで、機械的な攻撃の多くを回避できます。
ログイン試行回数に制限を設けているか
短時間に何度もログインに失敗したIPアドレスを一時的にブロックする機能です。総当たり攻撃（ブルートフォースアタック）に極めて有効です。
二段階認証を導入しているか
パスワードに加えて、スマートフォンアプリなどで生成されるワンタイムコードの入力を必須にする方式です。万が一パスワードが漏洩しても、不正ログインを防ぐことができます。
不要なユーザーアカウントを削除しているか
退職した従業員のアカウントや、テスト用に作成したアカウントを放置していませんか？不要なアカウントは侵入経路となるため、速やかに削除しましょう。
管理画面へのアクセスをIPアドレスで制限しているか
オフィスの固定IPアドレスなど、特定のIPからしか管理画面にアクセスできないように制限します。非常に強力な不正アクセス対策です。
WAF（Web Application Firewall）を導入しているか
Webアプリケーションの脆弱性を狙った攻撃を検知・遮断する防御壁です。サーバー側で提供されているサービスを利用するのが一般的です。
安易なWi-Fi環境からログインしていないか
カフェや空港などのフリーWi-Fiは通信が暗号化されていない場合があり、ログイン情報が盗聴されるリスクがあります。重要な操作は信頼できるネットワーク環境で行いましょう。

レベル3：脆弱性・改ざん対策編｜攻撃の起点を作らせない設定（7項目）

信頼できる公式ディレクトリ以外からテーマ・プラグインを導入していないか
公式サイト以外で配布されている、いわゆる「野良プラグイン」や「海賊版テーマ」には、バックドア（裏口）が仕掛けられている危険性が非常に高いです。導入は絶対に避けてください。
現在使用していないテーマやプラグインを削除しているか
「無効化」しているだけでは不十分です。サーバー上にファイルが存在する限り、そのプラグインに脆弱性が見つかれば攻撃の標的となります。使わないものは完全に「削除」しましょう。
ファイルのパーミッション設定は適切か
パーミッションとは、ファイルやディレクトリへのアクセス権限（読み込み、書き込み、実行）のことです。不用意に「書き込み権限」を与えていると、ファイル改ざんの原因となります。一般的に推奨される設定値は以下の通りです。
- ディレクトリ： 755
- ファイル： 644
- wp-config.php： 600（特に厳重に）
管理画面からのファイル編集機能を無効化しているか
WordPressの管理画面からは、テーマやプラグインのファイルを直接編集できます。便利な反面、管理者アカウントが乗っ取られた際に、簡単に悪性コードを埋め込まれるリスクとなります。wp-config.phpに以下の1行を追記して、この機能を無効化しましょう。
define(‘DISALLOW_FILE_EDIT’, true);
データベースのテーブル接頭辞をデフォルトのwp_から変更しているか
デフォルトのままだと、データベースの構造が推測されやすく、「SQLインジェクション」攻撃のリスクが高まります。インストール時に独自の接頭辞に変更するのが理想です。
PHPのバージョンはサポート期間内のものを使用しているか
PHP自体にも脆弱性は見つかります。公式のセキュリティサポートが終了した古いバージョン（EOL: End of Life）を使い続けることは、サーバーレベルでの重大なリスクとなります。
WordPressのバージョン情報を非表示にしているか
サイトのソースコードには、使用しているWordPressのバージョンが出力されることがあります。これを非表示にすることで、特定のバージョンを狙った攻撃を多少なりとも受けにくくします。

レベル4：監視・運用編｜異常を迅速に検知する体制づくり（6項目）

定期的にマルウェアスキャンを実施しているか
セキュリティプラグインやサーバーの機能を利用して、サイト内のファイルに悪意のあるコード（マルウェア）が紛れ込んでいないかを定期的にスキャンする体制を整えましょう。
ファイルの改ざんを検知する仕組みを導入しているか
WordPressのコアファイルやプラグインのファイルが、意図せず変更された場合にアラートを出す仕組みです。改ざんを早期に発見する上で非常に有効です。
ユーザーのアクティビティログを監視しているか
「誰が」「いつ」「何をしたか」という操作履歴を記録・監視します。不審な時間に管理者権限でログインがあった、身に覚えのないファイルがアップロードされた、といった異常を追跡できます。
脆弱性情報を定期的に収集するチャネルを持っているか
利用しているプラグインやテーマに新たな脆弱性が見つかった場合、その情報をいち早くキャッチアップする必要があります。公的な情報機関（IPA, JPCERT/CCなど）や、信頼できるセキュリティブログなどを定期的にチェックしましょう。
エラーログを監視し、攻撃の兆候を把握しているか
サーバーのエラーログには、外部からの攻撃の試み（存在しないファイルへの大量アクセスなど）が記録されていることがあります。これを監視することで、攻撃の予兆を掴むことができます。
セキュリティプラグインを導入・設定しているか
これらの監視や防御策の多くは、優れたセキュリティプラグインを導入することで、ある程度自動化・効率化できます。ただし、「インストールしただけ」では意味がありません。
自社のポリシーに合わせて適切に設定し、そのアラートを定期的に確認する運用が不可欠です。

代表的なセキュリティプラグインの比較

プラグイン名	主な特徴	こんな企業におすすめ
Wordfence Security	WAF機能とマルウェアスキャナーが強力。最もメジャーなプラグインの一つ。	高機能で包括的な対策をしたい企業
All In One WP Security & Firewall	設定項目が分かりやすく、スコア形式でセキュリティレベルを評価できる。	初心者でも使いやすいものを求める企業
Sucuri Security	セキュリティイン-シデント対応やマルウェア駆除の専門企業が開発。監視機能に定評あり。	外部監視とインシデント対応力を重視する企業

万が一インシデントが発生してしまったら？冷静に対応するための初動マニュアル

どれだけ対策をしても、インシデントのリスクをゼロにすることはできません。万が一の事態に備え、冷静に対応するための手順を確認しておきましょう。

Step1: サイトの隔離とオフライン化（被害拡大の防止）
まずはサーバー会社に連絡し、サイトをネットワークから切り離します。これにより、被害の拡大や、さらなる情報漏洩を防ぎます。
Step2: 状況の把握と原因の特定
- いつから問題が発生したか
- どのような被害が出ているか（改ざん、情報漏洩の可能性など）
- サーバーのアクセスログやエラーログを確認し、不正なアクセスの痕跡を探す
Step3: バックアップからの復旧と脆弱性の解消
攻撃を受ける前の健全なバックアップからサイトを復元します。重要：復元するだけでは、原因となった脆弱性が残ったままです。必ず原因を特定・修正してからサイトを公開してください。
Step4: 関係各所への報告と再発防止策の策定
被害の規模によっては、顧客や監督官庁への報告が必要です。今回のインシデントを教訓に、再発防止策を策定し、実行します。

専門家による「セキュリティ診断」という選択肢｜自社の対策に潜む“穴”を見つけませんか？

この25項目のチェックリストを実践するだけでも、貴社のサイトのセキュリティレベルは格段に向上するはずです。しかし、「本当にすべての項目を正しく設定できているか不安だ」「自分のサイト特有の問題点がないか、一度プロの目で見てほしい」と感じられた方も多いのではないでしょうか。

なぜ専門家による「第三者診断」が必要なのか？

自社での対策には、どうしても「思い込み」や「知識の偏り」による見落としが発生しがちです。また、日々巧妙化するサイバー攻撃の手法に対応し続けるには、常に最新の知見が求められます。専門家による第三者診断は、まるで人間ドックのように、自社では気づけない潜在的なリスクを客観的に洗い出すための最も確実な方法です。

WP保守工房の「WordPressセキュリティ診断サービス」でご提供できること

私たちWP保守工房では、貴社のWordPressサイトに潜むセキュリティリスクを網羅的に調査し、具体的な改善策を提示する「セキュリティ診断サービス」を提供しています。単に問題点を指摘するだけでなく、その解決までをサポートします。

サービス内容	ご提供する価値
① 脆弱性スキャンとヒアリング	専用ツールと専門家の知見を組み合わせ、プラグインや設定の脆弱性を網羅的にスキャン。現状の運用体制などもヒアリングします。
② 詳細な分析レポートのご提出	発見されたリスクを「緊急度」「危険度」別に分類し、具体的な技術的根拠と共に詳細なレポートとしてご提出。専門用語も分かりやすく解説します。
③ 具体的な改善策のご提案・実行支援	レポートに基づき、貴社のサイトに最適な改善アクションプランをご提案。ご要望に応じて、実際の修正・改善作業まで私たちが代行することも可能です。