本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

フレームワーク別

WordPressのセキュリティ対策 — 狙われる理由と最低限の守り方

WordPressは世界最大シェアゆえに最も狙われます。本体より『プラグイン/テーマの脆弱性・放置された更新・弱い管理者・露出した管理画面(wp-admin/xmlrpc)』が主な入口です。更新の自動化・最小プラグイン・強い認証(2FA)・管理画面の露出制限・バックアップという最低限の守り方を、攻撃手順を伏せて解説します。

公開日 2026-07-02 更新日 2026-07-02 7分で読める

対象:WordPressでサイトを運営している人。ここでは攻撃手順は扱わず、狙われる理由と、最低限やるべき守り方を解説します。フレームワーク全体の考え方は フレームワーク別セキュリティの入口 も参照。

なぜ狙われるのか:入口はほぼ決まっている

WordPressへの攻撃は魔法ではなく、自動化された総当たりで決まった弱点を探します。入口を知れば、塞ぐ場所も決まります。

① プラグイン/テーマの脆弱性

第三者製コードの既知の穴。最大の入口。放置・作者放棄で穴が残る。

② 放置された更新

本体/プラグインの未適用。公開済みCVEを自動化ツールが突く。

③ 弱い/使い回しの管理者

admin+弱いPW+2FA無し。ログイン総当たり・漏洩PW流用で乗っ取り。

④ 露出した管理面

wp-admin/xmlrpc/REST APIのユーザー列挙。総当たりや増幅の踏み台に。

WordPressの主な侵入経路。いずれも運用で塞げる。

最低限の守り方(5ステップ)

「WordPress特有の落とし穴」を、順に塞ぎます。どれも管理画面か設定で完結します。

1

更新を自動化する(最優先)

本体・プラグイン・テーマの自動更新を有効化。公開済みの既知脆弱性(CVE)を突かれる前に閉じるのが最大の防御。メジャー更新前はバックアップを取る。
2

プラグイン/テーマを最小にする

使っていないものは無効化でなく削除(ファイルが残れば脆弱性対象になり得る)。導入前に更新頻度・最終更新日・実績を確認。数を絞るほど攻撃対象領域が減る。
3

管理者に強い認証(2FA)

管理者は強いパスワード+二要素認証。ユーザー名 admin を避け、権限は必要最小限に。(→ 二要素認証とは
4

管理画面の露出とログイン試行を絞る

ログインの試行回数制限、不要なら xmlrpc.php の無効化、REST APIのユーザー列挙を抑制。管理画面へのアクセス元を絞れればなお良い。
5

バックアップと改ざん検知

オフライン/別保管の戻せるバックアップと、ファイル改ざんの検知。万一入られても“戻せる”状態を保つ。(→ バックアップの基本

やりがち(危険)

  • 本体もプラグインも手動更新でつい放置
  • 使わないプラグイン/テーマを無効化しただけで放置
  • 管理者 admin+弱いPW+2FA無し
  • ログイン試行・xmlrpc・ユーザー列挙が開けっ放し

正しい

  • 本体/プラグイン/テーマを自動更新
  • 使わない拡張は削除して最小化
  • 管理者は強PW+2FA・最小権限
  • ログイン試行制限・不要機能の無効化・戻せるバックアップ

当サイトの視点:本体より“拡張と放置”を管理する

WordPressの守りで効くのは、派手な設定ではなく「拡張を増やしすぎない・放置しない」という運用規律です。プラグインは便利ですが、1つ増えるごとに“更新し続ける責任”も増えます。当サイトの原則は他の技術と同じ——依存(プラグイン)を最小にし、更新を自動化し、強い認証と戻せるバックアップで守る。WordPress特有の話に見えて、実は普遍的な基礎の適用です。プラグインのCVEは CVE/KEVルックアップ でも確認できます。

次に読む

よくある質問

QWordPressは危険なのですか?
A

WordPress本体は活発に保守されており、それ自体が特別に脆弱なわけではありません。危険なのは“使い方”です。世界最大シェアゆえに攻撃者の自動化された標的になりやすく、実際の侵入の多くは本体ではなく、第三者製のプラグイン/テーマの脆弱性、放置された更新、弱い管理者アカウント、露出した管理画面から起きます。裏を返せば、これらを塞げば大半のリスクは下げられます。

Qプラグインはどこまで入れていいですか?
A

『必要最小限だけ』が原則です。プラグインはそれぞれが攻撃対象領域を増やし、1つでも放置・更新停止・作者放棄されると穴になります。導入前に更新頻度・利用実績・最終更新日を確認し、使っていないもの・停止中のものは“無効化”ではなく削除してください(無効でもファイルが残れば脆弱性の対象になり得ます)。テーマも同様です。

Q最低限、何をすればいいですか?
A

(1) 本体・プラグイン・テーマの自動更新を有効化、(2) 使わないプラグイン/テーマを削除して数を絞る、(3) 管理者アカウントに強いパスワードと二要素認証(2FA)、(4) 管理画面(wp-admin/ログイン)の露出とログイン試行回数を絞る、(5) オフラインで戻せるバックアップと改ざん検知。この5つで、自動化された攻撃の大半は止まります。