「自分のブログなんて、誰も狙わないでしょ?」
「セキュリティ対策って、難しそうで後回しにしている…」
もし、あなたがそう思っているなら、非常に危険な状態かもしれません。
実は、インターネット上では、悪意のあるプログラム(ボット)が、24時間365日、世界中のWordPressサイトの「ドアノブ」をガチャガチャと回し続けています。そこには、「個人ブログだから」とか「有名サイトだから」といった区別はありません。セキュリティの甘い鍵が開いているサイトがあれば、誰彼構わず侵入しようとするのです。
万が一、サイトが乗っ取られてしまうと、勝手に詐欺サイトへのリンクを貼られたり、読者の情報を盗まれたり、最悪の場合はサイトそのものを削除されてしまうこともあります。積み上げてきた記事が一瞬で消えてしまうなんて、想像するだけで恐ろしいですよね。
「でも、専門知識がないから怖い…」
大丈夫です。WordPressのセキュリティ対策は、実は「プラグイン」と「ちょっとした設定」だけで、驚くほど強固にすることができます。
この記事では、ネットガイド「かいせつくん」が、専門知識ゼロでも今日から実践できる、WordPressの不正アクセスを防ぐための「鉄壁の5ステップ」を分かりやすく解説します。
「あの時やっておけばよかった」と後悔する前に、5分だけ時間を取って、あなたの大切なサイトに鍵をかけましょう。
なぜWordPressは狙われやすいのか?
対策の前に、敵を知っておきましょう。
WordPressは、世界のWebサイトの40%以上で使われている、超人気システムです。
これは「世界で一番普及している鍵」のようなもの。ハッカーからすれば、WordPressの弱点(共通の侵入経路)さえ見つければ、世界中の数億サイトを一気に攻撃対象にできるため、非常に効率が良いのです。
特に多いのが「ブルートフォースアタック(総当たり攻撃)」です。
ログイン画面で、ありそうなパスワードを機械的に何千回、何万回と打ち込み、強引に突破しようとする手口です。これに対する防御策を立てることが、セキュリティ対策の第一歩です。
ステップ1:ログインページのURLを変更する
WordPressの最大の弱点は、「ログイン画面の場所が全員同じ」だということです。
通常、WordPressのログイン画面は あなたのドメイン/wp-admin や wp-login.php にアクセスすれば誰でも表示できてしまいます。これでは、玄関のドアがどこにあるか世界中に公表しているようなものです。
まずは、この「入り口」を隠してしまいましょう。
【具体的なアクション】
- おすすめプラグイン:
SiteGuard WP Plugin(日本製で安心)やWPS Hide Login- これらのプラグインを入れると、ログインURLを好きな文字列(例:
mydomain/secret-door-123など)に変更できます。これだけで、機械的な攻撃の9割以上を門前払いできます。
- これらのプラグインを入れると、ログインURLを好きな文字列(例:
[ここにSiteGuard WP Pluginの設定画面のキャプチャ画像を挿入]
ステップ2:「admin」というユーザー名を廃止する
もし、あなたのログインID(ユーザー名)が「admin」のままなら、今すぐ変更してください。
ハッカーは、「IDは admin だろう」という前提でパスワードの総当たり攻撃を仕掛けてきます。IDが合っているなら、あとはパスワードを当てるだけ…つまり、鍵穴に半分鍵が刺さっている状態です。
【具体的なアクション】
- WordPressの管理画面から「ユーザー」→「新規追加」をクリック。
- 推測されにくいユーザー名で、新しい「管理者」権限のユーザーを作る。
- 一度ログアウトし、新ユーザーでログインし直す。
- 古い「admin」ユーザーを削除する(※この時、adminで書いた記事を新ユーザーに引き継ぐ設定を忘れずに!)。
ステップ3:ログイン試行回数を制限する(ロックダウン)
「3回パスワードを間違えたら、1時間は入力できなくする」
スマホのロック解除などでもおなじみの機能ですが、WordPressには標準でこの機能がありません。
これがないと、ボットは何万回でもパスワード入力を試せてしまいます。回数制限をかけることで、総当たり攻撃を物理的に不可能にしましょう。
【具体的なアクション】
- 前述の
SiteGuard WP Pluginには標準でこの機能が含まれています。 - 海外製プラグインなら
Limit Login Attempts Reloadedが有名です。
ステップ4:2段階認証(2FA)を導入する
これが最強の盾です。
IDとパスワードだけでなく、スマホアプリ(Google Authenticatorなど)に表示される「使い捨ての数字」を入力しないとログインできないようにします。
これさえ設定しておけば、万が一パスワードが流出したとしても、あなたのスマホが手元にない限り犯人はログインできません。
【具体的なアクション】
- おすすめプラグイン:
Wordfence Login SecurityやWP 2FA- 導入すると、ログイン時にQRコードが表示され、スマホアプリとの連携が求められるようになります。銀行サイトのような安心感が手に入ります。
ステップ5:WordPress本体とプラグインを常に最新にする
基本中の基本ですが、意外とできていないのがこれです。
WordPressの更新通知(「更新してください」というメッセージ)は、新機能のお知らせであると同時に、「セキュリティの穴(脆弱性)を塞ぎました」という報告でもあります。
古いバージョンのまま放置することは、穴の空いた壁を修理せずに放置しているのと同じです。
【具体的なアクション】
- 管理画面に「更新」の通知が出たら、後回しにせず、バックアップを取った上ですぐに更新ボタンを押す癖をつけましょう。
まとめ:セキュリティは「保険」。何もない時こそ始めよう
今回は、WordPressを守るための5つのステップを紹介しました。
- ログインURLを変更して隠す
- 「admin」ユーザーを削除する
- ログイン試行回数に制限をかける
- 2段階認証で鉄壁にする
- 常に最新版にアップデートする
これらは、一度設定してしまえば、あとは自動的にあなたのサイトを守り続けてくれます。
「自分は大丈夫」という根拠のない自信は捨てて、今日、このあとすぐにプラグインを1つ入れるところから始めてみてください。その小さなアクションが、あなたの将来の資産を守ることにつながります。
