WordPressのハッキング対策で最初にやるべきことは、セキュリティプラグインを増やすことではありません。

更新、不要プラグイン削除、2FA、権限整理、外部バックアップを先に固めます。

ここが弱いままだと、ログインURLを変えたり、バージョン番号を隠したりしても効果は限定的です。

この記事では、WordPressサイトを運営している人向けに、今日から順番に潰すべき対策をまとめます。

この記事でわかることは次の通りです。

  • WordPressのハッキング対策で最初にやること
  • 不要なプラグインやテーマを消す判断基準
  • セキュリティプラグインを入れる前に見る場所
  • ハッキングされたかもしれない時の確認手順
  • 最低限の対策チェックリスト

WordPressのハッキング対策は不要プラグイン削除から始める

WordPressで一番狙われやすいのは、WordPress本体よりもプラグインやテーマです。

2024年に見つかったWordPress関連の脆弱性は、WordPress本体よりもプラグインとテーマに集中していました。

特にプラグイン由来の脆弱性が多いため、入れっぱなしのプラグインを減らすだけでも攻撃される入口を減らせます。

つまり、WordPressのハッキング対策は「何を入れるか」「何を消すか」「どれを更新するか」で大きく変わります。

まずは管理画面の「プラグイン」と「外観 → テーマ」を開いてください。

そこで見るのは、便利そうな追加機能ではなく、使っていないものと更新が止まっているものです。

WordPressのハッキング対策で今日やるべき5つの作業

WordPressのハッキング対策は、次の順番で入口を減らしてから、監視と復旧手段を足していきます。

WordPressのハッキング対策で優先する6つの作業

1. WordPress本体・プラグイン・テーマを更新する

管理画面の「ダッシュボード → 更新」を開きます。

WordPress本体、プラグイン、テーマに更新が出ていれば、バックアップを取ってから順番に更新します。

小さなサイトなら、まず本体、次にテーマ、最後にプラグインの順で問題ありません。

WooCommerceなど売上に直結するプラグインがある場合は、本番でいきなり更新せず、テスト環境かアクセスの少ない時間帯で確認します。

更新を後回しにするほど、公開済みの脆弱性を狙われる時間が伸びます。

古いバージョンを放置しないこと、使っていないプラグインを削除することは、WordPress運用の基本です。

2. 使っていないプラグインとテーマを削除する

「停止中だから安全」と考えないほうがいいです。

使っていないプラグインやテーマは、残っているだけで管理対象になります。

次のものは削除候補です。

  • 何のために入れたか説明できないプラグイン
  • 同じ機能を持つプラグインが複数あるもの
  • 最終更新が長く止まっているもの
  • 現在のテーマ以外の古いテーマ
  • 一度だけ使った移行、検索置換、バックアップ系プラグイン

削除前に不安なものは、プラグイン名で検索して用途を確認します。

それでも使い道が分からないなら、バックアップを取ったうえで停止し、サイト表示や問い合わせフォームに問題がないか見てから削除します。

3. 管理者アカウントに2FAを入れる

管理者ログインを取られると、テーマ編集、プラグイン追加、ユーザー追加まで一気に触られます。

パスワードを強くするだけでは足りません。

管理者、サーバーパネル、FTPまたはSFTP、データベース、メールのパスワードはすべて別にします。

そのうえで、管理者アカウントには2FAを入れます。

最低限やることは次の通りです。

  • 20文字以上のランダムなパスワードに変える
  • admin やサイト名そのままのユーザー名を避ける
  • 管理者全員に2FAを設定する
  • 退職者、外注先、過去の制作者アカウントを削除する
  • 投稿だけの人を管理者にしない

投稿作業だけなら、管理者ではなく編集者や投稿者で足ります。

WordPressには管理者、編集者、投稿者、寄稿者、購読者などのロールがあり、作業範囲を分けられます。

4. 管理画面からのファイル編集を止める

WordPressには、管理画面からテーマやプラグインのPHPファイルを編集できる機能があります。

便利ですが、管理者アカウントを取られた時には危険です。

wp-config.php に次の1行を追加します。

define( 'DISALLOW_FILE_EDIT', true );

これで管理画面からのファイル編集を無効化できます。

テーマを直す時は、管理画面ではなくSFTPやGitで作業する運用に寄せます。

5. バックアップを外部に置く

ハッキング対策は、防ぐことだけで終わりません。

改ざんされた時に戻せないサイトは、復旧に時間がかかります。

バックアップで見るべき条件は次の6つです。

  • データベースとファイルの両方が取れている
  • サーバー内だけでなく外部にも保存している
  • 毎日、または週数回は取れている
  • 30日以上の履歴がある
  • 復元手順を一度は試している
  • バックアップファイルを公開ディレクトリに置いていない

同じサーバー内にしかバックアップがないと、サーバーごと侵害された時に一緒に消される可能性があります。

Dropbox、Google Drive、S3、レンタルサーバーの外部バックアップ機能など、保存先を分けてください。

WordPressのセキュリティプラグインは必要?

セキュリティプラグインは、入れれば終わりではありません。

2FA、ログイン試行制限、ファイル改ざん検知、マルウェアスキャンなどをまとめて扱える点では便利です。

ただし、古いプラグインを放置したままセキュリティプラグインだけ足しても、根本的な入口は残ります。

先に更新、削除、権限整理、外部バックアップを済ませます。

そのうえで、足りない機能を補う目的でセキュリティプラグインを選びます。

見るべき機能は次の通りです。

  • 2FA
  • ログイン試行制限
  • ファイル改ざん検知
  • マルウェアスキャン
  • 管理者ログイン通知
  • WAFまたはファイアウォール機能

複数のセキュリティプラグインを重ねると、ログイン制限やキャッシュ周りで不具合が出ることがあります。

基本は1つに絞り、サーバー側WAFと組み合わせるほうが管理しやすいです。

WAF・ログ監視・SFTPでWordPressの防御を厚くする

WAFで不審なアクセスをWordPressの前で止める

WAFは、怪しいアクセスをWordPressに届く前に止める仕組みです。

まず候補になるのは、CloudflareのようなDNS/CDN型WAFか、レンタルサーバーが提供しているWAFです。

WordPress側にWordfenceなどのセキュリティプラグインを入れる方法もありますが、プラグインだけで完結させないほうが運用しやすくなります。

理想は、サーバー前段のWAFで入口を絞り、WordPress側ではログやファイル変更を見張る形です。

ログ監視と改ざん検知で侵入に早く気づく

完全に防ぐ前提で考えると、発見が遅れます。

次の変化は定期的に見ます。

  • 見覚えのない管理者ユーザーが増えていないか
  • 深夜に管理者ログインが発生していないか
  • プラグインやテーマが勝手に増えていないか
  • /wp-content/uploads/ にPHPファイルが置かれていないか
  • .htaccess が書き換わっていないか
  • 検索結果に怪しい日本語ページが出ていないか

日本語サイトでは、検索結果に不自然な日本語ページを大量生成される被害もあります。

不自然なページを見つけたら、該当URL、作成日時、ファイル変更日時を見て、どこから増えたのかを追います。

FTPをやめてSFTPでサーバー接続を守る

通常のFTPは通信内容が暗号化されません。

サーバーへ接続する時はSFTPを使います。

制作会社や外注先に作業を依頼している場合も、FTP情報を共有しっぱなしにしないでください。

作業が終わったらアカウントを削除するか、パスワードを変えます。

ハッキングされたかもしれない時に最初に確認すること

すでに怪しい表示やリダイレクトが出ている場合は、対策追加より先に被害範囲を確認します。

慌ててプラグインを大量に入れると、原因の切り分けが難しくなります。

まず確認するのは次の項目です。

  • 見覚えのない管理者ユーザーがいないか
  • 最近追加されたプラグインやテーマがないか
  • /wp-content/uploads/ にPHPファイルがないか
  • .htaccess が不自然に書き換わっていないか
  • 検索結果に知らないページが出ていないか
  • バックアップがハッキング前の状態で残っているか

管理画面に入れるなら、まず全管理者のパスワードを変えます。

次に不要な管理者を削除し、外部バックアップの有無を確認します。

バックアップから戻す場合も、侵入経路を残したまま復元すると再発します。

復元後に本体、プラグイン、テーマを更新し、不要なものを削除してください。

ログインURL変更やバージョン非表示は後回しでいい

次の対策は、やっても無意味ではありません。

ただし、最初にやるものではありません。

  • ログインURL変更
  • WordPressバージョン非表示
  • テーブル接頭辞 wp_ の変更
  • admin ユーザー名の変更だけで満足すること

ログインURLを変えても、古いプラグインに脆弱性があればそこから侵入されます。

バージョン番号を隠しても、攻撃者はプラグインのファイルや既知のパスを見に来ます。

先にやるべきなのは、更新、削除、2FA、権限整理、バックアップです。

WordPressのハッキング対策チェックリスト

今日やるなら、この順番で進めます。

  1. バックアップを取る
  2. WordPress本体、プラグイン、テーマを更新する
  3. 不要なプラグインとテーマを削除する
  4. 管理者パスワードを変更する
  5. 管理者全員に2FAを入れる
  6. 不要なユーザーを削除し、権限を下げる
  7. 外部バックアップを設定する

次の週末にやるなら、このあたりです。

  1. DISALLOW_FILE_EDIT を設定する
  2. WAFを有効化する
  3. SFTP接続に統一する
  4. ログイン履歴とファイル改ざん検知を入れる
  5. 復元テストを1回やる

月1回は、ユーザー一覧、更新状況、バックアップの復元可否を見ます。

半年に1回は、使っているプラグインを棚卸しします。

WordPressのハッキング対策でよくある質問

セキュリティプラグインだけでWordPressは守れる?

セキュリティプラグインだけでは足りません。

古いプラグイン、弱いパスワード、管理者権限の付けすぎ、戻せないバックアップが残っていると、そこが弱点になります。

プラグインは補助として使い、更新、削除、2FA、権限管理、外部バックアップを先に整えます。

ログインURLを変えればハッキング対策になる?

ログインURL変更は補助策です。

総当たりログインのノイズを減らす効果はありますが、プラグインやテーマの脆弱性対策にはなりません。

最初にやるなら、ログインURL変更より2FAと管理者権限の見直しを優先します。

バックアップはサーバー内だけでもいい?

サーバー内だけでは不十分です。

サーバーごと侵害された時に、バックアップも一緒に消されたり改ざんされたりする可能性があります。

外部ストレージや別サーバーにも保存し、復元できるか一度試しておきます。

まとめ:WordPressのハッキング対策は更新・2FA・バックアップを優先する

WordPressのハッキング対策は、特別な設定を増やすより、弱い入口を減らすほうが効きます。

最初に見るのは、古いプラグイン、不要なテーマ、管理者アカウント、バックアップです。

更新して、使わないものを消して、管理者に2FAを入れて、権限を絞ります。

そのうえでWAFとログ監視を足し、改ざんされても外部バックアップから戻せる状態にしておきます。

ここまでできれば、WordPressのハッキング対策として最低限の土台はかなり固まります。