こんにちは、Brtipsのクリオネです。
便利で自由度の高いWordPressですが、その反面、攻撃の対象になりやすいのも事実です。初期設定のまま放置すると、不正ログインやスパム攻撃、データ改ざんのリスクが高まります。この記事では、初心者でもすぐに実践できるWordPressの安全対策4ステップを紹介します。
まずは「守る意識」を持つことから
WordPressは世界中で使われているCMS(コンテンツ管理システム)です。その人気ゆえに、ハッカーや悪意あるボットの標的にもなりやすい環境にあります。
ただ、世の中便利なもので、特別な知識がなくてもできる初期のセキュリティ対策を行うことで、多くのトラブルを防ぐことができます。ブログ運営を安心して続けるための第一歩として、最低限の「守るための設定」を最初に済ませておきましょう。
WordPressの安全性を高める4つの基本設定
管理者アカウントの安全性を強化
インストール時に設定する管理者名が「admin」になっている場合は、すぐに変更しましょう。
この名前は最も狙われやすいユーザー名です。
左メニューから、[ユーザー]→[ユーザー一覧] で表示されたユーザー名を確認します。
さらに、パスワードは12文字以上・英数字・記号を組み合わせて設定し、「Google Authenticator」などの二段階認証プラグインを導入しておくと安心です。これだけで、不正ログインのリスクを大幅に減らせます。
設定は以下の手順で行います。
①CloudSecure WP Security プラグインを有効化する
エックスサーバーの場合はデフォルトでCloudSecure WP Securityがインストールされているため、
[プラグイン]→[インストール済みのプラグイン]から有効化させます。
※プラグイン名の下の表示が「無効化」になっていればOKです。
「有効化」が表示されている場合は、「有効化」をクリックしてください。
②2段階認証を有効化する
[CloudSecure WP Security]→[2段階認証]の画面を開き、二段階認証の対象をする権限グループを設定します。
その後、画面上部の有効/無効のボタンを「有効」にして、「変更を保存」を実行します。
③セットアップキーを生成する
2段階認証を正しく設定できると、左メニューに「2段階認証」というメニューが表示されます。
[2段階認証]をクリックしてデバイス登録画面を表示させ、「セットアップキーを生成」ボタンをクリックします。
表示されたQRコードをGoogle Authenticatorで読み取り、
Google Authenticatorに表示された認証コードをWordpressのデバイス登録画面に設定して、
画面下の「変更を保存」をクリックすれば完了です。
セキュリティプラグインを導入
WordPressのセキュリティを補強するには、専用プラグインの導入が効果的です。
「Wordfence Security」や「All in One WP Security & Firewall」など有名なプラグインはいくつかありますが、エックスサーバーを利用している場合は初期インストールされている「CloudSecure WP Security」をそのまま利用しておけば、まずは問題なさそうです。
CloudSecure WP Security の主な機能
- ログイン試行回数制限:不正アクセスの試みを自動ブロック
- XML-RPC制御:外部からの不正通信を防止
- ファイル改ざん検知:テーマやプラグインの変更を監視
- reCAPTCHA対応:ログイン画面にボット対策を導入
- 管理者通知機能:不審なアクセスや動作をメールで通知
SSL(HTTPS)化を忘れずに
URLが「http://」のままだと、ブラウザに「安全ではありません」と表示されてしまいます。これはセキュリティ面でもSEO面でもマイナスです。
エックスサーバー、では無料SSLを簡単に有効化できるので、設定後にWordPress管理画面の「設定」→「一般」でサイトURLをhttps://に変更します。SSL化によって通信内容が暗号化され、訪問者の情報も安全に守られます。
不要なテーマ・プラグインは削除
エックスサーバーでWordPressを合わせてインストールした場合、余計なテーマやプラグインはほとんど入っていないと思いますが、使っていないものを「停止」状態で残しておくと、更新されずに脆弱性の温床になります。
セキュリティの基本は“必要なものだけを使う”ことですので、使っていないテーマやプラグインは削除してスッキリさせておくとよいです。
安全なサイトほど長く続けられる
セキュリティ対策というと難しく感じるかもしれませんが、実際は「設定しておく」だけのことが多いです。これらを最初に済ませておけば、日々の記事更新やテーマカスタマイズに集中できます。
一度トラブルが起こると、復旧には時間もコストもかかります。だからこそ、最初に“安全な状態”を作っておくことが、結果的に一番の時短になります。
まとめ
ブログを始めたばかりだと、早く記事を書きたくなる気持ちになってしまいがちです。ですが、どんなに良いサイトを作っても、攻撃を受けて壊されてしまっては意味がありません。
まずは焦らず、しっかりと“守り”の準備を整えましょう。
| 内容 | 目的 | |
| 管理者設定 | 管理者名変更・二段階認証 | 不正ログイン防止 |
| セキュリティプラグイン | セキュリティプラグインを導入する | 攻撃検知・防御 |
| SSL(https)化 | HTTPSに変更 | 通信暗号化・SEO強化 |
| 不要アドイン削除 | 使わないテーマ・プラグイン削除 | 脆弱性リスク削減 |
とGSC(Googleサーチコンソール)の設定方法-300x168.jpg)
