WordPress導入後やるべきセキュリティ対策【初期設定】

WordPressを導入したら、すぐに記事を書いたりデザインをカスタマイズしたりしたくなりますよね。しかし、その前にやっておくべき重要なことがあります。
それが セキュリティ対策 です。

WordPressは世界中で使われている人気のCMSですが、その分 攻撃の対象になりやすい というリスクもあります。初期設定のまま使っていると、不正アクセスやデータ改ざん、スパム投稿などの被害を受ける可能性が高まります。

この記事では、 WordPressをインストールした直後にやるべき基本的なセキュリティ対策 を、初心者でも実践できるようにわかりやすく解説します。あなたの大切なサイトを守るために、ぜひ参考にしてください！

CONTENTS

WordPress導入後やるべきセキュリティ対策
まとめ

WordPress導入後やるべきセキュリティ対策

WordPress導入後やるべきセキュリティ対策は以下4つになります。

やるべきセキュリティ対策

プラグイン「SiteGuard」の導入
WAF設定
SSL設定
迷惑メール対策「reCAPTCHA」の導入

プラグイン「SiteGuard」の導入

WordPressの初期設定ログインURLは以下のとおりです。

ログイン画面：https://domain/wp-login.php
管理画面　　：https://domain/wp-admin

つまり、ドメインを見れば管理画面のURLが簡単に分かってしまいます。
悪意あるユーザーに知られてしまった場合、以下のようなリスクがあります。

不正ログイン　：ブルートフォース攻撃（総当たり攻撃）による管理画面への侵入

スパム攻撃　　：ボットによる自動ログイン試行

管理画面改ざん：管理ページが乗っ取られ、サイトの内容が変更される可能性

個人情報流出　：ユーザー情報や機密データの漏洩

これらのリスクを軽減するために、SiteGuardを導入しましょう！

SiteGuardを導入することで以下のメリットがあります。

メリット

ログインページセキュリティ強化
ログイン試行回数制限
画像認証追加
管理ページアクセス制限

それでは早速、SiteGuardを導入していきましょう！

SiteGuard設定方法

Step1
WordPress管理画面を開く
Step2
SiteGuardのインストール | インストール画面を開く

サイドメニュー「プラグイン」>「新規プラグインを追加」をクリック
Step3
SiteGuardのインストール | インストール + 有効化

プラグインの検索に「SiteGuard」を検索
「SiteGuard」を「今すぐインストール」>「有効化」

これでインストールは完了です
Step4
SiteGuardの設定 | ダッシュボードを開く

サイドメニュー「SiteGuard」をクリック
必要なものが有効になっているか確認する（基本的に初期設定のままでOK）

ログインページに関わる「ログインページ変更」と「画像認証」の設定を行う
Step5
SiteGuardの設定 | ログインページ変更

サイドメニュー「ログインページ変更」をクリック
ログインページのURLを変更 + チェックボックスをONにして「変更を保存」をクリック

※設定したログインページのURLはブックマークしておきましょう！
　忘れるとログインできなくなります
Step6
SiteGuardの設定 | 画像認証

サイドメニュー「画像認証」をクリック
「ログインページ」項目で「ひらがな」or「英数字」を選択して、「変更を保存」をクリック
Step7
ログイン画面確認

ログイン画面が以下のようになっていれば設定完了です！

WAF設定

WAFとは、Web Application Firewall（ウェブアプリケーションファイアウォール） の略です。

簡単に言うと、Webサイトを攻撃から守るための壁のようなものです。
普通のファイアウォールが「サーバー」や「ネットワーク」を守るのに対して、WAFは特にWebサイト（アプリケーション）に対する攻撃を防ぐことに特化しています。

WAFは以下のような攻撃から守ってくれます。

SQLインジェクション
データベースを不正に操作しようとする攻撃

クロスサイトスクリプティング（XSS）
Webページに悪意あるスクリプトを仕込む攻撃

ファイルアップロード攻撃
サイトにウイルスや不正ファイルをアップロードする攻撃

こういった攻撃は、WordPressをはじめとするCMS（コンテンツ管理システム）を使ったサイトが特に狙われやすいため、WAFの導入は非常に重要です。

WAFを導入することで以下のようなメリットがあります。

メリット

サイトの脆弱性を突く攻撃を自動でブロックできる
セキュリティ知識がなくても、ある程度の安全性を確保できる
攻撃を未然に防ぐことで、情報漏洩やサイト改ざんなどの被害リスクを大幅に減らせる

レンタルサーバー「X Server」では、無料でWAFを利用できます！
それでは設定していきましょう。

WAF設定方法

Step1
XServerサーバーパネルを開く
Step2
WAF設定画面を開く

サイドメニュー「セキュリティ」>「WAF設定」をクリック
Step3
WAF設定状況トグルをONにする

トグルをONにした後、反映まで時間がかかります。（画面のSSL設定状況のトグル横に”反映待ち”と表示される）
添付画像の状態になれば反映完了です。

＼レンタルサーバーならXServer ／

SSL設定

SSL設定については、以下の記事で紹介しています。

WordPress導入後やるべきSEO対策【初期設定】

迷惑メール対策「reCAPTCHA」の導入

reCAPTCHAとは、Googleが提供しているスパムやボットによる不正アクセスを防ぐための仕組みです。

お問い合わせフォームやコメント欄を使って、スパムメッセージや悪質な広告リンクを送ってくる「自動プログラム（ボット）」をブロックするために使用します。

reCAPTCHAを導入することで以下のメリットがあります。

メリット

スパムメールの大量送信を防げる
フォームの安全性が上がり、信頼性が向上する
ユーザー側の手間が少ない

WordPressでお問い合わせフォームを作成する際に使用するプラグイン「Contact Form 7」と連携することで、reCAPTCHAを簡単に導入することができます。

サイトの運営を安心して続けるためにも、reCAPTCHAは早めに設定しておきたいセキュリティ対策のひとつです。

それでは早速、導入していきましょう！
※プラグイン「Contact Form 7」が導入されている前提の手順になります。

reCAPTCHA設定方法

Step1
reCAPTCHA設定 | 登録画面を開く

Sign in - Google Accounts
www.google.com
Step2
reCAPTCHA設定 | 登録フォームを入力する

ラベル：「任意の名前」を入力（サイトが特定できる名前）
reCAPTCHAタイプ：スコアベース(v3)を選択
ドメイン：reCAPTCHAを導入するドメインを入力

入力後、「送信」ボタンをクリック
Step3
reCAPTCHA設定 | サイトキー / シークレットキーをコピーする

サイトキー / シークレットキーをコピーして退避させておく
Step4
WordPress設定 | WordPress管理画面を開く
Step5
WordPress設定 | reCAPTCHA連携画面を開く

サイドメニュー「お問い合わせ」>「インテグレーション」>reCAPTCHAカード「インテグレーションをセットアップ」をクリック
Step6
WordPress設定 | reCAPTCHA連携を行う

Step3でコピーしたサイトキー / シークレットキーを貼り付けて、「変更を保存」をクリック
Step7
問い合わせ画面確認

問い合わせ画面右下に赤枠のマークが出ていれば設定完了です！

まとめ

この記事で紹介したセキュリティ対策は、サイトを立ち上げた直後に必ず設定しましょう！
どれも数分〜数十分で導入できる対策ばかりですが、サイトの安全性を大きく高めてくれます。

セキュリティ対策は「後でやろう」ではなく、”今すぐやる”のが一番のセキュリティ対策です。

他にも運営するサイトによっては、もっとやるべきセキュリティ対策があります。
これから安心してWordPressを運営していくためにも、セキュリティ対策について知識を深めていきましょう！

セキュリティ対策について学びたい場合、以下の本がオススメです。

WordPressセキュリティ大全

Webサイトには、サイトの改ざん、個人情報の流出、迷惑メールの踏み台などのリスクがあります。特にWordPressは狙われており、サイトの運営者は相応の知識が必要になります。本書は、2000人が受講した大人気のセミナーを凝縮し、シンプルだけど効果が大きい対策法をまとめたWordPressセキュリティ大全です。プラグインのみで対応可能なので、システムエンジニアだけでなく、初心者ブロガー、デザイナーでも安心です。購入者特典付き。

¥2,420 （2025/05/11 23:34時点 | Amazon調べ）

Amazon

楽天市場