WordPressのセキュリティで最低限やってほしい4つのこと
2023年08月13日作成2025年03月24日更新
WordPressで自社ホームページを管理されている方、総務部や情シスの担当者の方に、最低限、確認しておいてほしいことをまとめます。
(この記事は、2023年8月時点の情報です。2025年3月に一部時点修正しています。この記事の最後にも書いてありますが、その時々の情報収集を必ずしてください)
1.まず、何よりもパスワード
WordPressのセキュリティ設定で、いちばん大事なのは、パスワードです。
WordPressの公式ドキュメントでは、以下の内容が推奨されています。
- パスワードの文字数は、少なくとも20文字以上(多いほど良い)
- 大文字と、小文字を使う
- 数字を含める
- 特殊記号を含める(
!"#$%&'()*+,-./:;<=>?@[]^_{}|~`
)
WordPressで、自動生成してくれるパスワードを使っていれば、24文字のランダムな文字列になっているはずです。
なお、24文字ものパスワードを覚える必要はありません。
最近は、パスワードマネージャーなどのアプリケーションが利用できます。
もし現状、会社名など、分かりやすい言葉になっている場合は、そのWordPressを制作した会社にパスワードを変更してもらってください。
パスワード変更は、簡単にできます。
2.バージョンを最新にする
レンタルサーバーを利用している場合、PHPのバージョンを変更できる場合があります。
AWSやVPSの場合も、当然バージョンアップできます。
わたしの使っているレンタルサーバーの場合、PHP8.4を利用できます。(2025年3月時点)
PHPのバージョンは、できるだけ新しい(数字の大きい)方が良いです。
7よりも8が良く、8.1よりも8.2の方が良いです。
(レンタルサーバーのコントロールパネルのアクセス権限が無い場合は、権限のある方にPHPのバージョンを聞いてみてください)
また、WordPressにもバージョンがあります。
最新は、バージョン6.7.2です(2025年3月時点)。
可能な限り、バージョンを新しくしてください。
さらに、WordPress使われているテーマやプラグインにも、それぞれバージョンがあります。
これもすべて、常に、最新にアップデートされていることが望ましいです。
WordPressのダッシュボード画面で、更新
ボタンを押すと、バージョンアップできるかどうか分かるはずです。
ただし、バージョンアップ作業は、ときどき不具合を起こすこともあります。
web制作会社に、頼んでやってもらう方が安全です。
プラグインの不具合でバージョンアップできない場合、そのサイトの寿命がきているのかもしれません。
そのときは、リニューアルなどをご検討ください。
3.XML-RPCを無効化する
バージョンアップできたら、次に、外部からのアクセスについて確認していきます。
まず、お使いのWordPressサイトで、URLの末尾に xmlrpc.php
と入力してみてください。
(例: サイトURLが https://domain.com/
の場合、https://domain.com/xmlrpc.php
にアクセス)
このとき、XML-RPC server accepts POST requests only.
と表示された場合、XML-RPCが有効になっており、セキュリティ上のリスクがあるかもしれません。
逆に、404エラー
や403エラー
、このページは存在しません。
などが表示されたり、トップページにリダイレクトする場合は、この項を読む必要はありません。
次の「4.ログインを制限する」へ進んでください。
XML-RPCとは?
XML-RPCは、WordPressと外部ツールを連携させる機能です。
記事の投稿・更新・削除ができるので、とても便利ですが、不正ログインの手口として悪用されることが多く、近年ではこれを無効化するのが推奨されています。
わたしの管理する別サイトのアクセスログでは、XML-RPCを標的として、1日に50回近い不正ログイン試行が記録されていました。
(なお、そのサイトは、WordPressで作っていなかったので、すべての不正なアクセスに、404エラーを返却しました。)
利用しないXML-RPCは、無効化をおすすめします。
無効化する際の注意点
ただし、一部のアプリやプラグインでは、今もXML-RPCを利用しています。
このため、いきなり無効化してしまうと、不具合を起こす可能性もあります。
現在のWordPressでは、XML-RPCと同じようなことができて、しかもセキュリティが強化されているwp-json(REST API)という機能があり、ほとんどの場面で、XML-RPCの無効化は可能なはずです。
XML-RPCを使っているアプリやプラグインの断捨離も含めて、web制作会社に相談されると良いかもしれません。
4.ログインを制限する
パスワードが十分に複雑で安全な場合でも、何度も試行されると、いずれ不正ログインされる可能性が残ります。
(「ブルートフォース攻撃」などと呼ばれます)
(とはいえ、十分に複雑なパスワードは、その割り出しに何年もかかりますから、まず何よりもパスワードが大事なことには、かわりありません)
ログイン自体を制限することで、さらにセキュリティが向上します。
- ログイン画面へのアクセス制限
- パスワードを一定回数間違えたらロック
- 2要素認証の設定
これら、いずれかの対応をされているか、web制作会社に確認をしてみてください。
以下、順番に説明します。
4-1. ログイン画面へのアクセス制限
WordPressの標準設定では、/wp-admin
や、/login
にアクセスすると、ログイン画面が表示されます。
サイバー攻撃者がここにアクセスし、ログインIDやパスワードを不正に試す恐れがあります(不正なログインは犯罪です)。
そのため、ログイン画面へのアクセスを制限することが有効です。
たとえば、管理者のIPアドレスからのみアクセスできるようにする設定や、SSL通信上でBasic認証をかけるという設定があります。
IPアドレス制限されているか確認するには、いつも使っている会社のパソコン以外のパソコンから、ログイン画面にアクセスしてみてください。
アクセスが拒否されれば、適切に設定されています。
Basic認証されているかを確認するには、これもいつもとは違うパソコンからアクセスし、ログインIDとパスワードを2種類入力することになれば、設定されていることが分かります。
ただし、IPアドレスは変わることがありますし、Basic認証も管理者が多数いる場合はできない(セキュリティ的にあまり意味が無い)場合もありえます。
その場合は、以下に示す他の設定をしていただいたうえで、ログインURLを変更することも、保険的な対策になりえます。
4-2. パスワードを一定回数間違えたらロック
ログイン画面にアクセスできたとしても、パスワードの不正入力が繰り返されなければ、セキュリティは向上します。
そこで、パスワードを一定回数間違えたときに、そのアカウントをロックしてくれる設定があります。
多くのセキュリティプラグインには、このロック機能が搭載されているので、導入も比較的簡単です。
この機能が搭載されている場合は、実際にわざと間違えてみて、ロックされるかを試してみてください。
4-3. 2要素認証の設定
2要素認証というのは、パスワードに加えて、別の方法で本人確認を行う仕組みです。
一般的には、以下のようなものがあります。
- スマホアプリに認証コードが送られ、それを入力する
- SMSやメールでワンタイムパスワードが送られ、それを入力する
- 指紋認証や顔認証
最近のネット銀行サイトや、クレジットカードサイト、マイナンバーログインなどにも、広く使われているの仕組みなので、利用経験があるかもしれません。
いずれの方法でも良いのですが、不正なログインを何度も試させないための設定は、あった方が良いです。
web制作会社などに確認してもらってください。
その他
とりあえず、上記4つを確認してもらえれば、そのサイトのセキュリティ状況は何となく分かると思います。
その他の設定として、以下のようなこともチェックできたらしてみてください。
- 適切なテーマやプラグインが使われているか
- REST APIの公開設定やアクセス制限が適切か
- コメントやお問い合わせにスパム対策がされているか
- バックアップは適切に取られているか
- ログインIDが隠蔽されているか
- ログイン時にひらがな画像認証などが入っているか
特に、一番上の「適切なテーマやプラグイン」の選定は大事です。
ところが、「何が適切か」は、経験的な知識であるため、web制作会社のような日常的にWordPressを扱う会社でないと、なかなか分からないものです。
最低限、
- WordPress公式サイト(wordpress.org)に申請し、掲載されている
- ダウンロード数がそれなりにある
- 適切にアップデートされている
というテーマやプラグインがベターだとは思いますが、そのようなものの中にも、脆弱性が発見されることはあります。
このことからも、随時バージョンアップをすることは、とても大事です。
当事務所は、webサイト運営を含め、ITに関するさまざまなご相談を受けていますが、制作自体は請け負いませんので、テーマやプラグイン選定の経験知やノウハウはありません。
明らかに駄目なものはわかりますが、それが最適かどうかの判断は、ケースバイケースです。
ご相談を受けた場合は、その都度、制作会社さんの説明を一緒に聞きながら、メリットとデメリットを総合的に判断しています。
信頼できる制作会社を見つけることは、とても大事なことです。
2023年6月に、お料理系YouTuberとして有名なリュウジさんのWordPressサイトが、乗っ取り被害を受けて話題になりました。
その後、リュウジさんはBASEというシステムに乗り換えました。
無難な判断だと思います。
WordPressは、導入が簡単なシステムですが、きちんと管理していくのは、実は難しいです。
管理者の方は、信頼できる制作会社を見つけるか、インハウスでやる場合は、担当部署でのセキュリティ情報の収集をお願いします。
つつじ行政書士事務所
応用情報技術者の行政書士です。
ご依頼等はお問い合わせからお願いします。