ワードプレスのCSP設定でwp-admin(ワードプレスの管理画面)を除外するには？

投稿:2026年1月6日

ワードプレスのCSP設定でwp-adminを除外する方法について解説いたします。

CSPコンテンツセキュリティーポリシー設定でワードプレスの管理画面に様々な不具合が出る

CSPはブラウザーに様々な外部JAVASCRIPTやスタイルの読み込み許可設定をするものですが、ワードプレスの管理画面ではインラインスクリプトや、スタイルが多用されており、CSP設定をHTACCESSなどで普通に設定しているだけで、管理画面の機能が使えなくなったり、レイアウト崩れが起こることがございます。
ただ、ワードプレスの管理画面用に、CSP設定を緩くすると今度はセキュリティー上あまり意味をなさない設定になってしまいます。

wp-adminフォルダに.htaccessファイルを設置し、ワードプレスの管理画面アクセス時のみCSP設定を無効にする

ワードプレスの管理画面はログインしていないとアクセスできない為、CSP設定は除外しても問題ないかと考えられます。
ワードプレスの管理画面だけCSP設定を除外するには、wp-adminフォルダに.htaccessファイルを創り、下記の１行を記載します。

Header unset Content-Security-Policy

この記載は、unsetでCSP設定をwp-adminフォルダだけ除外するという意味になります。

ご参考になりましたら幸いです。

【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスサイトのセキュリティ向上・マルウェア駆除等のご相談・ご依頼はWPドクターまでお気軽にお送りください

著者 WPドクターセキュリティチーム (リーダー吉田僚太)

ハッキングされたワードプレスサイトのマルウェア駆除、セキュリティ対策を年間数百件請け負う。ワードプレスサイトのマルウェア感染により、被害を受けるサイトを多数見てきた経験から、ワードプレスサイトのハッキング被害をなんとか減らしたいとの思いから日本で初めてワードプレスのマルウェア検出プログラムを開発。好評を経て数千回ダウンロードされたことから、その後WPドクターマルウェア検出プラグインにプログラム進化させ、リリース。プラグインは現在数万サイトで利用されている。１００万件を超えるマルウェアファイルの収集分析、その検出パターンの生成、脆弱性データベースの構築など、プラグインの機能や検出力強化を担当している。また個別マルウェア駆除の依頼をより高精度に行うための作業フローの開発・洗練や再感染を防ぐ為のセキュリティー対策方法を日々研究している。

著者の記事一覧(カテゴリーセキュリティ・脆弱性・マルウェア駆除)
Wordpress.org公式アカウント