フレームワーク別
WordPressのセキュリティ対策 — 狙われる理由と最低限の守り方
WordPressは世界最大シェアゆえに最も狙われます。本体より『プラグイン/テーマの脆弱性・放置された更新・弱い管理者・露出した管理画面(wp-admin/xmlrpc)』が主な入口です。更新の自動化・最小プラグイン・強い認証(2FA)・管理画面の露出制限・バックアップという最低限の守り方を、攻撃手順を伏せて解説します。
対象:WordPressでサイトを運営している人。ここでは攻撃手順は扱わず、狙われる理由と、最低限やるべき守り方を解説します。フレームワーク全体の考え方は フレームワーク別セキュリティの入口 も参照。
なぜ狙われるのか:入口はほぼ決まっている
WordPressへの攻撃は魔法ではなく、自動化された総当たりで決まった弱点を探します。入口を知れば、塞ぐ場所も決まります。
① プラグイン/テーマの脆弱性
第三者製コードの既知の穴。最大の入口。放置・作者放棄で穴が残る。
② 放置された更新
本体/プラグインの未適用。公開済みCVEを自動化ツールが突く。
③ 弱い/使い回しの管理者
admin+弱いPW+2FA無し。ログイン総当たり・漏洩PW流用で乗っ取り。
④ 露出した管理面
wp-admin/xmlrpc/REST APIのユーザー列挙。総当たりや増幅の踏み台に。
最低限の守り方(5ステップ)
「WordPress特有の落とし穴」を、順に塞ぎます。どれも管理画面か設定で完結します。
更新を自動化する(最優先)
プラグイン/テーマを最小にする
管理者に強い認証(2FA)
admin を避け、権限は必要最小限に。(→ 二要素認証とは)管理画面の露出とログイン試行を絞る
xmlrpc.php の無効化、REST APIのユーザー列挙を抑制。管理画面へのアクセス元を絞れればなお良い。バックアップと改ざん検知
やりがち(危険)
- 本体もプラグインも手動更新でつい放置
- 使わないプラグイン/テーマを無効化しただけで放置
- 管理者
admin+弱いPW+2FA無し - ログイン試行・xmlrpc・ユーザー列挙が開けっ放し
正しい
- 本体/プラグイン/テーマを自動更新
- 使わない拡張は削除して最小化
- 管理者は強PW+2FA・最小権限
- ログイン試行制限・不要機能の無効化・戻せるバックアップ
当サイトの視点:本体より“拡張と放置”を管理する
WordPressの守りで効くのは、派手な設定ではなく「拡張を増やしすぎない・放置しない」という運用規律です。プラグインは便利ですが、1つ増えるごとに“更新し続ける責任”も増えます。当サイトの原則は他の技術と同じ——依存(プラグイン)を最小にし、更新を自動化し、強い認証と戻せるバックアップで守る。WordPress特有の話に見えて、実は普遍的な基礎の適用です。プラグインのCVEは CVE/KEVルックアップ でも確認できます。
次に読む
- 入口:フレームワーク別セキュリティ(入口) / Laravelのセキュリティ対策
- 土台:脆弱性(CVE)対応の実務 / バックアップの基本
- 認証:二要素認証(2FA)とは / 用語:フィッシングとは(管理者を狙う最大の経路)
よくある質問
QWordPressは危険なのですか?
WordPress本体は活発に保守されており、それ自体が特別に脆弱なわけではありません。危険なのは“使い方”です。世界最大シェアゆえに攻撃者の自動化された標的になりやすく、実際の侵入の多くは本体ではなく、第三者製のプラグイン/テーマの脆弱性、放置された更新、弱い管理者アカウント、露出した管理画面から起きます。裏を返せば、これらを塞げば大半のリスクは下げられます。
Qプラグインはどこまで入れていいですか?
『必要最小限だけ』が原則です。プラグインはそれぞれが攻撃対象領域を増やし、1つでも放置・更新停止・作者放棄されると穴になります。導入前に更新頻度・利用実績・最終更新日を確認し、使っていないもの・停止中のものは“無効化”ではなく削除してください(無効でもファイルが残れば脆弱性の対象になり得ます)。テーマも同様です。
Q最低限、何をすればいいですか?
(1) 本体・プラグイン・テーマの自動更新を有効化、(2) 使わないプラグイン/テーマを削除して数を絞る、(3) 管理者アカウントに強いパスワードと二要素認証(2FA)、(4) 管理画面(wp-admin/ログイン)の露出とログイン試行回数を絞る、(5) オフラインで戻せるバックアップと改ざん検知。この5つで、自動化された攻撃の大半は止まります。