WordPressのセキュリティで最低限やってほしい4つのこと

WordPressで自社ホームページを管理されている方、総務部や情シスの担当者の方に、最低限、確認しておいてほしいことをまとめます。

（この記事は、2023年8月時点の情報です。2025年3月に一部時点修正しています。この記事の最後にも書いてありますが、その時々の情報収集を必ずしてください）

1.まず、何よりもパスワード

WordPressのセキュリティ設定で、いちばん大事なのは、パスワードです。

WordPressの公式ドキュメントでは、以下の内容が推奨されています。

• パスワードの文字数は、少なくとも20文字以上（多いほど良い）
• 大文字と、小文字を使う
• 数字を含める
• 特殊記号を含める（ !"#$%&'()*+,-./:;<=>?@[]^_{}|~` ）

WordPressで、自動生成してくれるパスワードを使っていれば、24文字のランダムな文字列になっているはずです。

なお、24文字ものパスワードを覚える必要はありません。
最近は、パスワードマネージャーなどのアプリケーションが利用できます。

もし現状、会社名など、分かりやすい言葉になっている場合は、そのWordPressを制作した会社にパスワードを変更してもらってください。

パスワード変更は、簡単にできます。

2.バージョンを最新にする

レンタルサーバーを利用している場合、PHPのバージョンを変更できる場合があります。
AWSやVPSの場合も、当然バージョンアップできます。
わたしの使っているレンタルサーバーの場合、PHP8.4を利用できます。(2025年3月時点)

PHPのバージョンは、できるだけ新しい（数字の大きい）方が良いです。
7よりも8が良く、8.1よりも8.2の方が良いです。
（レンタルサーバーのコントロールパネルのアクセス権限が無い場合は、権限のある方にPHPのバージョンを聞いてみてください）

また、WordPressにもバージョンがあります。
最新は、バージョン6.7.2です(2025年3月時点)。
可能な限り、バージョンを新しくしてください。

さらに、WordPress使われているテーマやプラグインにも、それぞれバージョンがあります。
これもすべて、常に、最新にアップデートされていることが望ましいです。

WordPressのダッシュボード画面で、更新 ボタンを押すと、バージョンアップできるかどうか分かるはずです。

ただし、バージョンアップ作業は、ときどき不具合を起こすこともあります。
web制作会社に、頼んでやってもらう方が安全です。

プラグインの不具合でバージョンアップできない場合、そのサイトの寿命がきているのかもしれません。
そのときは、リニューアルなどをご検討ください。

3.XML-RPCを無効化する

バージョンアップできたら、次に、外部からのアクセスについて確認していきます。

まず、お使いのWordPressサイトで、URLの末尾に xmlrpc.php と入力してみてください。
（例： サイトURLが https://domain.com/ の場合、https://domain.com/xmlrpc.php にアクセス）

このとき、XML-RPC server accepts POST requests only. と表示された場合、XML-RPCが有効になっており、セキュリティ上のリスクがあるかもしれません。

逆に、404エラーや403エラー、このページは存在しません。 などが表示されたり、トップページにリダイレクトする場合は、この項を読む必要はありません。
次の「4.ログインを制限する」へ進んでください。

XML-RPCとは？

XML-RPCは、WordPressと外部ツールを連携させる機能です。
記事の投稿・更新・削除ができるので、とても便利ですが、不正ログインの手口として悪用されることが多く、近年ではこれを無効化するのが推奨されています。

わたしの管理する別サイトのアクセスログでは、XML-RPCを標的として、1日に50回近い不正ログイン試行が記録されていました。
（なお、そのサイトは、WordPressで作っていなかったので、すべての不正なアクセスに、404エラーを返却しました。）
利用しないXML-RPCは、無効化をおすすめします。

無効化する際の注意点

ただし、一部のアプリやプラグインでは、今もXML-RPCを利用しています。
このため、いきなり無効化してしまうと、不具合を起こす可能性もあります。

現在のWordPressでは、XML-RPCと同じようなことができて、しかもセキュリティが強化されているwp-json（REST API）という機能があり、ほとんどの場面で、XML-RPCの無効化は可能なはずです。
XML-RPCを使っているアプリやプラグインの断捨離も含めて、web制作会社に相談されると良いかもしれません。

4.ログインを制限する

パスワードが十分に複雑で安全な場合でも、何度も試行されると、いずれ不正ログインされる可能性が残ります。
（「ブルートフォース攻撃」などと呼ばれます）
（とはいえ、十分に複雑なパスワードは、その割り出しに何年もかかりますから、まず何よりもパスワードが大事なことには、かわりありません）

ログイン自体を制限することで、さらにセキュリティが向上します。

1. ログイン画面へのアクセス制限
2. パスワードを一定回数間違えたらロック
3. 2要素認証の設定

これら、いずれかの対応をされているか、web制作会社に確認をしてみてください。
以下、順番に説明します。

4-1. ログイン画面へのアクセス制限

WordPressの標準設定では、/wp-adminや、/login にアクセスすると、ログイン画面が表示されます。
サイバー攻撃者がここにアクセスし、ログインIDやパスワードを不正に試す恐れがあります（不正なログインは犯罪です）。

そのため、ログイン画面へのアクセスを制限することが有効です。
たとえば、管理者のIPアドレスからのみアクセスできるようにする設定や、SSL通信上でBasic認証をかけるという設定があります。

IPアドレス制限されているか確認するには、いつも使っている会社のパソコン以外のパソコンから、ログイン画面にアクセスしてみてください。
アクセスが拒否されれば、適切に設定されています。

Basic認証されているかを確認するには、これもいつもとは違うパソコンからアクセスし、ログインIDとパスワードを2種類入力することになれば、設定されていることが分かります。

ただし、IPアドレスは変わることがありますし、Basic認証も管理者が多数いる場合はできない（セキュリティ的にあまり意味が無い）場合もありえます。
その場合は、以下に示す他の設定をしていただいたうえで、ログインURLを変更することも、保険的な対策になりえます。

4-2. パスワードを一定回数間違えたらロック

ログイン画面にアクセスできたとしても、パスワードの不正入力が繰り返されなければ、セキュリティは向上します。
そこで、パスワードを一定回数間違えたときに、そのアカウントをロックしてくれる設定があります。

多くのセキュリティプラグインには、このロック機能が搭載されているので、導入も比較的簡単です。
この機能が搭載されている場合は、実際にわざと間違えてみて、ロックされるかを試してみてください。

4-3. 2要素認証の設定

2要素認証というのは、パスワードに加えて、別の方法で本人確認を行う仕組みです。

一般的には、以下のようなものがあります。

• スマホアプリに認証コードが送られ、それを入力する
• SMSやメールでワンタイムパスワードが送られ、それを入力する
• 指紋認証や顔認証

最近のネット銀行サイトや、クレジットカードサイト、マイナンバーログインなどにも、広く使われているの仕組みなので、利用経験があるかもしれません。

いずれの方法でも良いのですが、不正なログインを何度も試させないための設定は、あった方が良いです。
web制作会社などに確認してもらってください。

その他

とりあえず、上記4つを確認してもらえれば、そのサイトのセキュリティ状況は何となく分かると思います。

その他の設定として、以下のようなこともチェックできたらしてみてください。

• 適切なテーマやプラグインが使われているか
• REST APIの公開設定やアクセス制限が適切か
• コメントやお問い合わせにスパム対策がされているか
• バックアップは適切に取られているか
• ログインIDが隠蔽されているか
• ログイン時にひらがな画像認証などが入っているか

特に、一番上の「適切なテーマやプラグイン」の選定は大事です。

ところが、「何が適切か」は、経験的な知識であるため、web制作会社のような日常的にWordPressを扱う会社でないと、なかなか分からないものです。

最低限、

• WordPress公式サイト（wordpress.org）に申請し、掲載されている
• ダウンロード数がそれなりにある
• 適切にアップデートされている

というテーマやプラグインがベターだとは思いますが、そのようなものの中にも、脆弱性が発見されることはあります。
このことからも、随時バージョンアップをすることは、とても大事です。

当事務所は、webサイト運営を含め、ITに関するさまざまなご相談を受けていますが、制作自体は請け負いませんので、テーマやプラグイン選定の経験知やノウハウはありません。
明らかに駄目なものはわかりますが、それが最適かどうかの判断は、ケースバイケースです。
ご相談を受けた場合は、その都度、制作会社さんの説明を一緒に聞きながら、メリットとデメリットを総合的に判断しています。

信頼できる制作会社を見つけることは、とても大事なことです。

2023年6月に、お料理系YouTuberとして有名なリュウジさんのWordPressサイトが、乗っ取り被害を受けて話題になりました。
その後、リュウジさんはBASEというシステムに乗り換えました。
無難な判断だと思います。

WordPressは、導入が簡単なシステムですが、きちんと管理していくのは、実は難しいです。
管理者の方は、信頼できる制作会社を見つけるか、インハウスでやる場合は、担当部署でのセキュリティ情報の収集をお願いします。