岐阜県のぎふメディアコスモス外観
代替
岐阜県のぎふメディアコスモス外観

WordPressのセキュリティで最低限やってほしい4つのこと

2023年08月13日作成2025年03月24日更新

WordPressで自社ホームページを管理されている方、総務部や情シスの担当者の方に、最低限、確認しておいてほしいことをまとめます。

(この記事は、2023年8月時点の情報です。2025年3月に一部時点修正しています。この記事の最後にも書いてありますが、その時々の情報収集を必ずしてください)

1.まず、何よりもパスワード

WordPressのセキュリティ設定で、いちばん大事なのは、パスワードです。

WordPressの公式ドキュメントでは、以下の内容が推奨されています。

  • パスワードの文字数は、少なくとも20文字以上(多いほど良い)
  • 大文字と、小文字を使う
  • 数字を含める
  • 特殊記号を含める( !"#$%&'()*+,-./:;<=>?@[]^_{}|~`

WordPressで、自動生成してくれるパスワードを使っていれば、24文字のランダムな文字列になっているはずです。

なお、24文字ものパスワードを覚える必要はありません。
最近は、パスワードマネージャーなどのアプリケーションが利用できます。

もし現状、会社名など、分かりやすい言葉になっている場合は、そのWordPressを制作した会社にパスワードを変更してもらってください。

パスワード変更は、簡単にできます。

2.バージョンを最新にする

レンタルサーバーを利用している場合、PHPのバージョンを変更できる場合があります。
AWSやVPSの場合も、当然バージョンアップできます。
わたしの使っているレンタルサーバーの場合、PHP8.4を利用できます。(2025年3月時点)

PHPのバージョンは、できるだけ新しい(数字の大きい)方が良いです。
7よりも8が良く、8.1よりも8.2の方が良いです。
(レンタルサーバーのコントロールパネルのアクセス権限が無い場合は、権限のある方にPHPのバージョンを聞いてみてください)

また、WordPressにもバージョンがあります。
最新は、バージョン6.7.2です(2025年3月時点)。
可能な限り、バージョンを新しくしてください。

さらに、WordPress使われているテーマやプラグインにも、それぞれバージョンがあります。
これもすべて、常に、最新にアップデートされていることが望ましいです。

WordPressのダッシュボード画面で、更新 ボタンを押すと、バージョンアップできるかどうか分かるはずです。

ただし、バージョンアップ作業は、ときどき不具合を起こすこともあります。
web制作会社に、頼んでやってもらう方が安全です。

プラグインの不具合でバージョンアップできない場合、そのサイトの寿命がきているのかもしれません。
そのときは、リニューアルなどをご検討ください。

3.XML-RPCを無効化する

バージョンアップできたら、次に、外部からのアクセスについて確認していきます。

まず、お使いのWordPressサイトで、URLの末尾に xmlrpc.php と入力してみてください。
(例: サイトURLが https://domain.com/ の場合、https://domain.com/xmlrpc.php にアクセス)

このとき、XML-RPC server accepts POST requests only. と表示された場合、XML-RPCが有効になっており、セキュリティ上のリスクがあるかもしれません。

逆に、404エラー403エラーこのページは存在しません。 などが表示されたり、トップページにリダイレクトする場合は、この項を読む必要はありません。
次の「4.ログインを制限する」へ進んでください。

XML-RPCとは?

XML-RPCは、WordPressと外部ツールを連携させる機能です。
記事の投稿・更新・削除ができるので、とても便利ですが、不正ログインの手口として悪用されることが多く、近年ではこれを無効化するのが推奨されています。

わたしの管理する別サイトのアクセスログでは、XML-RPCを標的として、1日に50回近い不正ログイン試行が記録されていました。
(なお、そのサイトは、WordPressで作っていなかったので、すべての不正なアクセスに、404エラーを返却しました。)
利用しないXML-RPCは、無効化をおすすめします。

無効化する際の注意点

ただし、一部のアプリやプラグインでは、今もXML-RPCを利用しています。
このため、いきなり無効化してしまうと、不具合を起こす可能性もあります。

現在のWordPressでは、XML-RPCと同じようなことができて、しかもセキュリティが強化されているwp-json(REST API)という機能があり、ほとんどの場面で、XML-RPCの無効化は可能なはずです。
XML-RPCを使っているアプリやプラグインの断捨離も含めて、web制作会社に相談されると良いかもしれません。

4.ログインを制限する

パスワードが十分に複雑で安全な場合でも、何度も試行されると、いずれ不正ログインされる可能性が残ります。
(「ブルートフォース攻撃」などと呼ばれます)
(とはいえ、十分に複雑なパスワードは、その割り出しに何年もかかりますから、まず何よりもパスワードが大事なことには、かわりありません)

ログイン自体を制限することで、さらにセキュリティが向上します。

  1. ログイン画面へのアクセス制限
  2. パスワードを一定回数間違えたらロック
  3. 2要素認証の設定

これら、いずれかの対応をされているか、web制作会社に確認をしてみてください。
以下、順番に説明します。

4-1. ログイン画面へのアクセス制限

WordPressの標準設定では、/wp-adminや、/login にアクセスすると、ログイン画面が表示されます。
サイバー攻撃者がここにアクセスし、ログインIDやパスワードを不正に試す恐れがあります(不正なログインは犯罪です)。

そのため、ログイン画面へのアクセスを制限することが有効です。
たとえば、管理者のIPアドレスからのみアクセスできるようにする設定や、SSL通信上でBasic認証をかけるという設定があります。

IPアドレス制限されているか確認するには、いつも使っている会社のパソコン以外のパソコンから、ログイン画面にアクセスしてみてください。
アクセスが拒否されれば、適切に設定されています。

Basic認証されているかを確認するには、これもいつもとは違うパソコンからアクセスし、ログインIDとパスワードを2種類入力することになれば、設定されていることが分かります。

ただし、IPアドレスは変わることがありますし、Basic認証も管理者が多数いる場合はできない(セキュリティ的にあまり意味が無い)場合もありえます。
その場合は、以下に示す他の設定をしていただいたうえで、ログインURLを変更することも、保険的な対策になりえます。

4-2. パスワードを一定回数間違えたらロック

ログイン画面にアクセスできたとしても、パスワードの不正入力が繰り返されなければ、セキュリティは向上します。
そこで、パスワードを一定回数間違えたときに、そのアカウントをロックしてくれる設定があります。

多くのセキュリティプラグインには、このロック機能が搭載されているので、導入も比較的簡単です。
この機能が搭載されている場合は、実際にわざと間違えてみて、ロックされるかを試してみてください。

4-3. 2要素認証の設定

2要素認証というのは、パスワードに加えて、別の方法で本人確認を行う仕組みです。

一般的には、以下のようなものがあります。

  • スマホアプリに認証コードが送られ、それを入力する
  • SMSやメールでワンタイムパスワードが送られ、それを入力する
  • 指紋認証や顔認証

最近のネット銀行サイトや、クレジットカードサイト、マイナンバーログインなどにも、広く使われているの仕組みなので、利用経験があるかもしれません。

いずれの方法でも良いのですが、不正なログインを何度も試させないための設定は、あった方が良いです。
web制作会社などに確認してもらってください。

その他

とりあえず、上記4つを確認してもらえれば、そのサイトのセキュリティ状況は何となく分かると思います。

その他の設定として、以下のようなこともチェックできたらしてみてください。

  • 適切なテーマやプラグインが使われているか
  • REST APIの公開設定やアクセス制限が適切か
  • コメントやお問い合わせにスパム対策がされているか
  • バックアップは適切に取られているか
  • ログインIDが隠蔽されているか
  • ログイン時にひらがな画像認証などが入っているか

特に、一番上の「適切なテーマやプラグイン」の選定は大事です。

ところが、「何が適切か」は、経験的な知識であるため、web制作会社のような日常的にWordPressを扱う会社でないと、なかなか分からないものです。

最低限、

  • WordPress公式サイト(wordpress.org)に申請し、掲載されている
  • ダウンロード数がそれなりにある
  • 適切にアップデートされている

というテーマやプラグインがベターだとは思いますが、そのようなものの中にも、脆弱性が発見されることはあります。
このことからも、随時バージョンアップをすることは、とても大事です。

当事務所は、webサイト運営を含め、ITに関するさまざまなご相談を受けていますが、制作自体は請け負いませんので、テーマやプラグイン選定の経験知やノウハウはありません。
明らかに駄目なものはわかりますが、それが最適かどうかの判断は、ケースバイケースです。
ご相談を受けた場合は、その都度、制作会社さんの説明を一緒に聞きながら、メリットとデメリットを総合的に判断しています。

信頼できる制作会社を見つけることは、とても大事なことです。

2023年6月に、お料理系YouTuberとして有名なリュウジさんのWordPressサイトが、乗っ取り被害を受けて話題になりました。
その後、リュウジさんはBASEというシステムに乗り換えました。
無難な判断だと思います。

WordPressは、導入が簡単なシステムですが、きちんと管理していくのは、実は難しいです。
管理者の方は、信頼できる制作会社を見つけるか、インハウスでやる場合は、担当部署でのセキュリティ情報の収集をお願いします。

最後までお読みいただきありがとうございました。
なにかお気づきの点がありましたら、お問い合わせください。

日行連公式キャラクター「ユキマサくん」

(日行連公式キャラクター「ユキマサくん」)

つつじ行政書士事務所アイコン

つつじ行政書士事務所

応用情報技術者の行政書士です。
ご依頼等はお問い合わせからお願いします。

SNS等