1. ログインセキュリティの強化

1-1. ユーザー名とパスワードを見直す

WordPressのログイン画面は攻撃者にとって最も狙われやすい入口です。簡単なパスワードはブルートフォース攻撃のリスクを高めます。8文字以上、できれば12文字以上の英大文字・小文字、数字、記号を組み合わせた強固なパスワードを設定し、定期的に変更することが必須です。LastPassや1Passwordなどのパスワード管理ツールを利用することで、セキュリティを強化しましょう。

1-2. 二要素認証（2FA）の導入

パスワードだけでは万全とは言えないため、Google AuthenticatorやAuthyなどの二要素認証プラグインを導入し、スマホ認証を追加することで、ログインのセキュリティを飛躍的に向上させます。これにより、仮にパスワードが漏洩しても、不正ログインを防ぐことができます。

1-3. ログインURLを変更して攻撃を防ぐ

WordPressの標準ログインURL（/wp-login.phpや/wp-admin）は攻撃者にとって容易に予測可能です。カスタムURLに変更することで、ブルートフォース攻撃などのリスクを大幅に低減できます。

1-4. ログイン試行回数の制限を設定する

ログイン試行回数を制限する設定を行うことで、自動化された不正ログイン試行をブロックします。専用のセキュリティプラグインを利用して、ログイン試行回数の上限を設定することをおすすめします。

2. プラグインとテーマの安全管理

2-1. 不要なプラグイン・テーマの削除

使用していないプラグインやテーマは、セキュリティリスクの原因となります。不要なものはすぐに削除し、サイトの負荷や攻撃リスクを最小限に抑えましょう。

2-2. 公式リポジトリのプラグイン・テーマのみ使用

WordPress.orgの公式リポジトリから提供されているプラグインやテーマは、審査が行われているため、セキュリティ面でも安心です。レビューや評価、更新状況もチェックしましょう。

2-3. 定期的なアップデートの実施

WordPress本体、プラグイン、テーマは最新の状態に保つことが重要です。自動更新の設定を利用し、セキュリティパッチを速やかに適用することで、既知の脆弱性を回避できます。

2-4. 脆弱性チェックツールの活用

定期的にセキュリティスキャンツールを使用し、プラグインやテーマの脆弱性を確認しましょう。外部ツールや専用プラグインでのチェックが効果的です。

3. WordPress本体とデータベースの保護

3-1. 自動更新の有効化

WordPress本体やプラグインの自動更新を有効にして、常に最新のセキュリティパッチが適用される状態を保ちましょう。これにより、新たな脅威にも迅速に対応できます。

3-2. データベースのプレフィックス変更

デフォルトの「wp_」というプレフィックスは、SQLインジェクション攻撃の対象になりやすいです。初期設定時にプレフィックスを変更し、セキュリティ強化を図りましょう。

3-3. 管理画面のアクセス制限

IPアドレスで管理画面へのアクセスを制限する設定を導入し、不正なアクセスからサイトを守ります。

3-4. 定期バックアップの実施

UpdraftPlusやVaultPressなどの自動バックアップツールを活用し、定期的にバックアップを取得することで、万が一の際にも迅速にサイトを復元できる体制を整えます。

4. サーバーとファイルのセキュリティ対策

4-1. .htaccessの設定

重要な管理画面やファイル（wp-config.phpなど）へのアクセスを制限するために、.htaccessファイルの設定を最適化します。これにより、不正アクセスや情報漏洩を防ぐことができます。

4-2. ファイル編集の禁止

WordPressの管理画面からの直接ファイル編集を無効にする設定を導入し、万が一の改ざんリスクを低減します。

4-3. ディレクトリリスト表示の無効化

ディレクトリの内容が外部に見えないように設定し、攻撃者に情報が漏れるリスクを防ぎます。

4-4. SSL（HTTPS）の導入

サイト全体の通信を暗号化するために、SSL証明書を導入し、データの盗聴や改ざんリスクを大幅に軽減します。

5. 不正アクセスの監視・防止

5-1. セキュリティプラグインの活用

WordfenceやiThemes Security、Sucuri Securityなどの信頼性の高いプラグインを導入し、リアルタイムでサイトを監視します。

5-2. ログイン履歴の監視

定期的にログイン履歴を確認し、不審なアクセスがないかチェック。異常があれば直ちに対応します。

5-3. WAF（Web Application Firewall）の設定

CloudflareやSucuriなどのWAFを導入し、不正なリクエストやDDoS攻撃をリアルタイムでブロックします。

5-4. Google Search Consoleのセキュリティ通知

Google Search Consoleでセキュリティ上の問題が検出された際に、迅速に対応できるよう通知設定を行います。

6. WordPressサイトの定期的なチェック項目

6-1. 定期的なセキュリティ診断

セキュリティスキャンツールを使い、サイトの脆弱性を定期的にチェックします。これにより、問題を早期に発見し対処できます。

6-2. 不要なユーザーアカウントの整理

使用されていないユーザーアカウントを削除し、内部からのリスクを低減します。

6-3. バックアップデータの確認と復元テスト

定期的にバックアップのデータ整合性を確認し、実際に復元テストを実施することで、万一の際の復旧が確実に行えるようにします。

6-4. ログイン履歴やエラーログの定期チェック

サーバーログやエラーログを定期的に確認し、異常がないかをチェックすることで、潜在的な問題を早期に発見します。

7. Q&A

8. まとめ

本チェックリストでは、WordPressサイトを安全に運用するための基本的なセキュリティ対策から、より高度な設定まで、具体的な手法を網羅しました。ログインセキュリティの強化、プラグイン・テーマの安全管理、WordPress本体とデータベースの保護、サーバーおよびファイルのセキュリティ対策、不正アクセスの監視と防止、そして定期的なサイトチェックを徹底することで、サイトの安全性は大きく向上します。

これらの対策を日々見直し、最新の脅威に備えることで、安心してサイト運営を行える環境が整います。まずは基本的な対策から始め、徐々に高度な設定を取り入れていくことが大切です。

あなたのサイトを守るための第一歩として、本チェックリストをぜひご活用ください。