WordPressってセキュリティ弱いんでしょ?
クライアントとの会話で、そんな言葉を聞いたことはありませんか?
実は、WordPressのセキュリティは弱いわけではなく、運用次第です。
本記事では、最低限入れておくべきセキュリティ対策を厳選して紹介します。
自社で運用する方も、クライアントに説明する側も、この内容を押さえておけば安心です。
WordPressってセキュリティ弱いんでしょ?
クライアントとの会話で、そんな言葉を聞いたことはありませんか?
実は、WordPressのセキュリティは弱いわけではなく、運用次第です。
本記事では、最低限入れておくべきセキュリティ対策を厳選して紹介します。
自社で運用する方も、クライアントに説明する側も、この内容を押さえておけば安心です。
クライアントサポート
WordPressサイトのデフォルトログインURLは攻撃の的
「WPS Hide Login」などのプラグインで変更可能
攻撃を受けにくくするという点で超基本の対策
最低限これだけでも設定しておけば安心感が違います
管理者ログインの乗っ取りリスクを減らす強力な対策
「Google Authenticator」や「Wordfence Login Security」など
モバイル連携で使いやすいUIが最近は多い
自社で管理している人は、特にこれがあると安心です
WordPress管理画面から直接PHPをいじれてしまうリスク
wp-config.php に以下を追記するだけ
define('DISALLOW_FILE_EDIT', true);代表例:Wordfence、All In One WP Security
不正アクセス・ファイアウォール・変更通知など多機能
定期スキャンやメール通知も設定可能
何が起きたかを把握できる仕組みがあると、万が一でも復旧が早いです。
コア/プラグイン/テーマそれぞれで管理方法が異なる
安定性とセキュリティのトレードオフ
不安な場合は“通知だけ受け取る”設定もあり
自動更新は便利ですが、「止まってしまったらどうしよう」という心配も多いです。
ファイアウォール(WAF)搭載
不正アクセスブロック/マルウェアスキャン/ログ管理
ログイン試行制限や2FAにも対応
無料版あり/有料版でリアルタイムWAFルール
難易度別の設定メニューが見やすく、初心者向き
ログイン保護、ファイル保護、データベース保護など網羅
セキュリティ診断スコア表示で改善点が視覚化できる
無料で多機能、使いやすい
ログイン試行の制限(ブルートフォース攻撃対策)
IPブロック、2段階認証、ログイン通知など
無料で基本対策可能/有料で追加機能
ログインURL(/wp-login.php)を任意のURLに変更
簡単で軽量、他プラグインと干渉しにくい
「とりあえず最低限」の一歩にぴったり
Google Authenticatorなどと連携して2FAを導入
ユーザーごとの設定管理が可能
WooCommerceにも対応
無料版で十分/企業向けに有料版もあり
セキュリティ監視(ファイル変更、ブラックリスト監視など)
コアファイルの整合性チェック
外部攻撃の履歴を記録&通知
Wordfenceと併用せず、どちらかを選ぶのがベター
コメントスパムの自動フィルター
Jetpackと連携可能、APIキーで利用開始
コア/テーマ/プラグインの自動更新を柔軟に制御
「通知だけON」などの設定も可能
慎重派ユーザーにはおすすめ
自動バックアップの設定・復元が簡単
Google DriveやDropboxへの保存が可能
保守体制の第一歩に必須
同時に複数のセキュリティ系プラグインを入れすぎない(干渉や重複機能に注意)
万が一のため、必ずバックアップしてから導入・設定を行う
保守契約中のクライアントには、「何を入れてどう管理しているか」を説明すると信頼度アップ!