ワードプレスのセキュリティをプラグインで強化

ワードプレスのセキュリティをプラグインで強化 日記

WordPressセキュリティ強化

まずはおさらい的に、基本のこの3つは確認しておきましょう。

  • ログインIDを、admin以外にする。
  • パスワードは強固なものにする。
  • プラグインやテーマなどは最新の状態にする。

 

 

今回のセキュリティ設定の目的

比較的かんたんな作業と設定で、高度なセキュリティを行います。
セキュリティに100%はありませんが、100サイト以上を運営している私の環境でも、防げています。

 

乗っとり改ざんの上位への対策

セキュリティを突破される原因の上位5つはこれらが原因です。

  • 古いWordPressコア/プラグイン/テーマ (プログラムの侵入)
  • 弱い管理者パスワード (管理者としてログインされてしまう)
  • ファイルアップロードの悪用 (プラグイン経由)
  • XML-RPC / REST APIの悪用 (無限にログインチャレンジ)
  • サーバーの脆弱性 (サーバーの問題)

※Sucuri 2024レポート(全攻撃の86%が上位3経路)、Wordfence 2025統計。実際の事例: 2024年に10万件以上のWPサイトがプラグイン脆弱性で乗っ取られています。

 

対策は大きく3つ

  • 古いシステムを使わないこと ← 自動更新で対策
  • ログインされないこと ← 今回の設定
  • 自動攻撃への対策 ← 今回の設定

 

 

具体的なセキュリティ設定の作業

ログインされないことと、自動攻撃への対策はプラグインで行います。
利用するプラグインは、SiteGuard と Wordfence です。

 

【1】functions.phpへの追加

まずはプラグインで重複する機能があるため、衝突を避ける記述を行います。

ワードプレスのテーマ内の「functions.php」へ、下記を追加して保存してください。

// Wordfence + SiteGuard 併用最適化
add_action(‘init’, function() {
if (class_exists(‘WordfenceLS’)) {
remove_action(‘wp_login_failed’, ‘wf_login_attempt_failed’, 10);
}
});
add_filter(‘wordfence_daily_scan_email’, ‘__return_false’);

↓サンプル

 

【2】SiteGuardでログイン画面をガード

脅威の1つがワードプレスにログインされてしまうこと。
初期の状態では、ドメイン名/wp-admin/ やドメイン名/wp-login.php などでログイン画面が表示されてしまいます。

プログラムでIDとパスワードを組み合わせで、自動ログインにチャレンジされてしまいます。
そこでログイン画面を隠し、ログインに失敗したらアクセス不能にします。

まずはプラグインの新規追加から、SiteGuardを追加し有効化してください。

 

SiteGuardの設定

左メニューのSiteGuardをクリックすると、メニューが表示されます。

【ログインページ変更】をクリック

変更後のログインページ名URLを控える。 ※変更も可能
※今後のログインページになります。

「管理画面からログイン画面にリダイレクトしない。」にチェックして、変更をクリック。

 

次はSiteGuardメニューに戻り、この3つの設定を無効にします。

  • ログインアラート
  • XMLRPC防御
  • 更新通知

最終的にこうなっていればOK!

変更後のログインページ名のURLを、再度確認してくださいね。

 

SiteGuard設定後のログインチェック

ワードプレスの右上メニューからログアウト。
ここで、変更後のログインページ名のURL にアクセス。

IDとパスワードの下に画像認証が出ていればOK。

 

そして、ドメイン名/wp-admin/ と ドメイン名/wp-login.php にアクセス。
トップページや「404 NOT FOUND」が表示されればOK。

この設定で、ページを隠して自動攻撃の対策ができました。

  • ログインページの秘密化
  • ログイン時に画像認証

 

siteguardの部分はここまでです。

 

【3】Wordfenceでファイアウォールとマルウェア対策

次にプラグインの新規追加から、Wordfenceを追加し有効化してください。
※表示は Wordfence Security ? Firewall, Malware Scan, and Login Security

有効化すると、ライセンスの入力が求められます。
初めての場合は「ライセンスを入手」
 

freeの「無料ライセンスを取得」をクリック。

「新たな脅威から ~ 問題ありません」をクリック。

メールアドレス入力、メール希望はどちらでも

登録すると、メールでライセンスが届きます。

メール内の「Install My License Automatically」をクリック。
※または記載のライセンスをWordfenceのメニューからインストール

ダッシュボードが表示されればインストール完了!

 

ファイアウォールの設定

左メニューの「ファイアウォール」をクリック

画面上部に「サイトをできるだけ安全にするために、Wordfence Web アプリケーションファイアウォールを最適化する時間を取ってください: 」と表示されているので、設定をクリック。

htaccess_Backupのバックアップをとり、設定。
正常であればこのhtaccess_Backupはもう不要。

これでファイアウォールの初期設定はOKです。

 

スキャン

次は左メニューの「スキャン」をクリック。

「新しいスキャンを開始」からスキャンを開始。
問題があれば修復して完了。

 

 

ほか

自動更新設定

プラグインページを開き、念のためすべてのプラグインの「自動更新の有効化」。
同じく、テーマの自動更新も設定しておくとよいでしょう。

 

バックアップ

必要に応じてバックアップ設定も行っておきましょう。
私の場合は、プラグインの「UpdraftPlus」を利用。

更新頻度に合わせて、Googleドライブへ自動バックアップを設定しています。

 

おわり。