「セキュリティ対策はしている」と思っているWordPress運用者ほど危ない盲点について５つ解説いたします

投稿:2026年1月26日

「セキュリティ対策はしている」と思っているWordPress運用者ほど危ない盲点について５つ解説いたします。

この記事の目次

ログイン画面のセキュリティーに偏った対策をしている
脆弱性を気にしているのは有効になっているプラグインのみ
テストサイトや、サーバー上のほかのサイトのセキュリティー対策をしていない
バックアップがあれば安心！？
wp-config.phpのキー設定が初期値あるいは同一になっている

ログイン画面のセキュリティーに偏った対策をしている

ワードプレスがハッキングされる原因の２割前後が管理者権限のパスワードが弱いことによって管理者権限がハッカーによって奪われてしまう事になります。

ハッカーはブルートフォースアタックというよく使われる管理者のパスワードを次から次にログインできるか試す攻撃をしてきます

実は、この攻撃に対して最も有効なのはログイン画面のセキュリティーを高めるより管理者権限のパスワードを強くすることになります。論理的に１２文字以上のランダムな文字列である強いパスワードを総当たりで合致させるには千年以上かかるため、強いパスワードを破ることは不可能となります。

強いパスワードとは、無意味な文字列で大文字小文字記号を一文字以上含むランダムな文字列になります

また、ログイン画面のURLを変えたり、キャプチャをつけたりするのは、ブルートフォースアタックを防ぐには有効ですが、それだけでは後述のワードプレスがハッキングされる最大の原因である脆弱性攻撃は防げませんので、ご注意いただけましたら幸いです。

脆弱性を気にしているのは有効になっているプラグインのみ

ワードプレスがハッキングされてしまう原因の６割は、古いプラグインの脆弱性と言われています。この為、お使いのプラグインの脆弱性を常に気にして、アップデートを常日頃から行っておくのは極めて有効なセキュリティー対策となります。

しかし、ワードプレスにはプラグインを有効化したり非有効化したりできますが、脆弱性は非有効化されていても攻撃に利用できるものも多数ございます。

この為、可能であれば非有効化されているプラグインを削除いただくか、非有効化されているプラグインもアップデートを行っておかれることをお勧めいたします。

プラグインの脆弱性調査は当社脆弱性データベースをご利用ください

テストサイトや、サーバー上のほかのサイトのセキュリティー対策をしていない

メインで使用しているサイトをしっかりセキュリティー対策を行っているのに、そのテストサイトや、サーバー上にある別のワードプレスサイトのセキュリティー対策がおざなりになっている事例が良くございます。

ただ、昨今のマルウェアはサーバー上のフォルダを上からたどって読み取り、別のワードプレスサイトに自身の感染を広げるタイプのものが多数ございます。
この為、放置している別のサイト経由でセキュリティー対策をしっかりやっているワードプレスにマルウェア感染が広がってしまう事があります。

放置サイトはサーバー上から削除いただいたり、サーバーにある全ワードプレスサイトにセキュリティー対策を行われることをお勧めいたします。

無料でできるワードプレスのセキュリティー対策5選

バックアップがあれば安心！？

ワードプレスサイトを常にバックアップをお取りいただくと、マルウェア感染してもその時点に戻せると考えられている場合がございますが、実際にはバックアップしている時点でマルウェアが既に含まれていたり、バックアップ時点の脆弱性が侵入口になっている為、ハッカーがすぐにその脆弱性を使って再感染が繰り返されてしまう事があります。

この為、バックアップがあるからセキュリティー上は安心とは必ずしも言えず、やはり公開されているサイトのセキュリティー対策を常に気にかけていただくことをお勧めいたします。

wp-config.phpのキー設定が初期値あるいは同一になっている

ハッキングが成功してしまうサイト様の多くが、wp-config.phpのAUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEYが初期値のままだったり、同一の文字列になっている場合がございます。

このキー設定は、コメント部分にある@linkにアクセスいただくと自動で生成してくれますので、必ずこの値を使用していただくことをお勧めいたします。

* Change these to different unique phrases! You can generate these using
 * the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}.

このキーがセキュリティー上重要な理由については下記の記事を参照いただけましたら幸いです。
参考　
ワードプレスのwp-config.php にある証用ユニークキーは何に何のために使われる？

ーー
ワードプレスサイトのセキュリティー対策、マルウェア検査、脆弱性検査はWPドクター開発のプラグインで可能です。よろしければご利用ください。

【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください

著者 WPドクターセキュリティチーム (リーダー吉田僚太)

ハッキングされたワードプレスサイトのマルウェア駆除、セキュリティ対策を年間数百件請け負う。ワードプレスサイトのマルウェア感染により、被害を受けるサイトを多数見てきた経験から、ワードプレスサイトのハッキング被害をなんとか減らしたいとの思いから日本で初めてワードプレスのマルウェア検出プログラムを開発。好評を経て数千回ダウンロードされたことから、その後WPドクターマルウェア検出プラグインにプログラム進化させ、リリース。プラグインは現在数万サイトで利用されている。１００万件を超えるマルウェアファイルの収集分析、その検出パターンの生成、脆弱性データベースの構築など、プラグインの機能や検出力強化を担当している。また個別マルウェア駆除の依頼をより高精度に行うための作業フローの開発・洗練や再感染を防ぐ為のセキュリティー対策方法を日々研究している。

著者の記事一覧(カテゴリーセキュリティ・脆弱性・マルウェア駆除)
Wordpress.org公式アカウント