セキュリティ

WordPressのセキュリティ対策|改ざん・乗っ取りを防ぐ設定

WordPressのセキュリティ対策|改ざん・乗っ取りを防ぐ設定

自社サイトはWordPress製なのに、セキュリティは制作会社任せで中身を知らない。そんな中小企業は少なくありません。放置されたWordPressは、自動化された攻撃の格好の標的になります。

この記事では、危険な状態の見分け方と基本対策8つ、改ざん時の復旧手順、保守外注の費用相場を解説します。最優先で固めるべきは「更新・ログイン強化・バックアップ」の3点です。

WordPressが狙われやすい理由と被害の実例

WordPressが狙われる最大の理由は、利用者が圧倒的に多いことです。攻撃の大半は自動化されており、会社の規模や知名度は関係ありません。

WordPressは2026年時点で、世界のWebサイトの約4割で使われています。利用者が多い分、脆弱性の情報や攻撃ツールも大量に出回っています。攻撃者はプログラムで無差別にサイトを巡回し、設定の甘い侵入口を探します。「うちは小さな会社だから狙われない」という前提は成り立ちません。

中小企業のサイトで実際に多い被害は、次の4パターンです。

  • 改ざん:トップページの書き換えや、身に覚えのないスパムページの大量生成
  • 不正リダイレクト:訪問者が偽ショップや詐欺サイトへ自動転送される
  • 乗っ取り:管理画面へ侵入され、管理者権限を奪われる
  • 踏み台化:迷惑メールの送信元や、他サイトへの攻撃に悪用される

被害はサイト内にとどまりません。Googleに危険なサイトと判定されると、検索結果やブラウザに警告が表示されます。検索順位の下落、問い合わせの停止、取引先からの信用低下へと波及します。

今すぐ確認すべき危険な状態(更新放置・admin・古いプラグイン)

次の4つは、攻撃者から見て「入りやすいサイト」の典型です。1つでも当てはまるなら、今週中に着手することをおすすめします。

危険な状態なぜ危険か確認方法
本体・プラグインの更新を半年以上放置公開済みの脆弱性をそのまま突かれる管理画面の更新通知の数
ログインIDが「admin」のままIDが割れており総当たり攻撃が容易ユーザー一覧
使っていない古いプラグインが残っている停止中でも侵入口になるプラグイン一覧の最終更新日
保守契約がなく管理者も不明異変に誰も気づけない契約書・社内の担当有無

経験上、最も危険なのは「作った会社と縁が切れて3年放置」というパターンです。サイトは表示され続けるため、不具合がなければ誰も管理画面を開きません。顧客や取引先からの指摘で、初めて改ざんに気づくケースも目立ちます。保守契約のないサイトは、まずログインして現状把握から始めてください。

基本対策8つ(更新・ログイン強化・バックアップ・WAF)

対策は優先度の高い順に8つあります。最初の3つを済ませるだけでも、被害に遭う確率は大きく下がります。

  1. 本体・プラグイン・テーマを最新に保つ 管理画面の「更新」からすべて適用します。作業前のバックアップとセットが基本です。マイナー更新は自動更新を有効にしておくと手間が減ります。
  2. ログインIDを「admin」から変える 新しい管理者ユーザーを作り、旧adminは削除します。表示名(ニックネーム)も変更し、投稿ページからIDが漏れないようにします。
  3. パスワードを強化する 12文字以上で英数字と記号を組み合わせるのが目安です。他のサービスとの使い回しはやめてください。
  4. 二要素認証を導入する ログイン時にスマホアプリの確認コードを追加で要求します。無料プラグインで導入でき、乗っ取り対策として効果が高い方法です。
  5. ログインページを保護する ログインURLの変更や画像認証で、総当たり攻撃を弾きます。国内では無料の「SiteGuard WP Plugin」が定番です。
  6. バックアップを自動化する 週1回以上、サーバーの外(クラウドストレージ等)にも保存します。取るだけでなく、一度は復元手順を試しておいてください。
  7. WAFを有効にする WAFは攻撃的な通信を入り口で遮断する仕組みです。多くのレンタルサーバーでは、管理画面から無料で有効化できます。
  8. 不要なプラグイン・テーマ・ユーザーを消す 停止中のプラグインも侵入口になります。「停止」ではなく「削除」まで行うのがポイントです。

プラグインの選び方と入れすぎ問題

プラグインは「必要最小限に絞る」こと自体が有効なセキュリティ対策です。合計15個以内を一つの目安にしてください。

WordPress関連で見つかる脆弱性の多くは、本体ではなくプラグインやテーマ由来です。数が増えるほど、危険な穴を抱える確率が上がります。相性問題による不具合や、表示速度の低下も起きやすくなります。

新しく入れる際は、次の4点で選別します。

  • 最終更新が1年以内である
  • 有効インストール数が多い(数万件以上が目安)
  • 利用中のWordPressバージョンで動作確認済みである
  • 公式ディレクトリか、実績のある開発元の製品である

半年に一度はプラグインの棚卸しを行い、使っていないものを削除します。「便利そうだから入れた」ものほど、使われずに残りがちです。

改ざんされたときの初動と復旧手順

改ざんに気づいたら、最初にサイトの公開を一時停止します。復旧は「侵入口をふさいでから戻す」が鉄則です。

  1. サイトを一時停止する サーバーパネルのメンテナンス表示や503設定で公開を止めます。公開を続けると、訪問者への二次被害が広がります。
  2. パスワードをすべて変える WordPress管理者、FTP、サーバーパネル、データベースの4種類です。
  3. 被害範囲を確認する 身に覚えのない管理者ユーザーや、更新日時が不自然なファイルを探します。サーバー会社からの警告メールも確認します。
  4. クリーンなバックアップから復元する 改ざん前の時点へ戻します。戻すだけでは同じ穴から再侵入されるため、次の手順まで一気に行います。
  5. 本体・プラグインを全更新し、不要物を削除する 古いプラグインの削除、パスワード変更、WAF有効化までがワンセットです。
  6. Googleへ再審査を申請する 警告が出た場合は、Search Consoleから「問題を修正済み」として審査をリクエストします。

自力での完全な駆除は難易度が高く、専門業者への依頼が現実的です。復旧費用は被害状況により10万〜50万円程度、期間は数日〜3週間が目安です(2026年時点)。バックアップがない、放置期間が長いといった場合は費用が膨らみます。数年放置したサイトでは、復旧より作り直しのほうが安く済むこともあります。

保守を外注する場合の費用と依頼範囲

WordPress保守の外注は、月額5,000円〜3万円程度が中心価格帯です。金額の比較より、「何をどこまでやるか」の確認が重要です。

プラン帯月額の目安主な内容
最低限5,000円〜1万円本体・プラグイン更新、バックアップ
標準1万円〜3万円左記+死活監視、軽微な修正、月次報告
手厚め3万円〜10万円左記+テキスト・画像の更新代行、改善提案

契約前に、次の4点を確認してください。

  • 更新作業の範囲(本体のみか、プラグイン・テーマまで含むか)
  • 改ざん・障害時の復旧対応が月額に含まれるか、別料金か
  • バックアップの頻度・保存先・保管世代数
  • 解約時にサーバーやWordPressのログイン情報一式を引き渡してもらえるか

特に最後の項目は重要です。引き渡しが保証されていれば、契約が終わっても自社で管理を続けられます。冒頭で触れた「縁が切れて放置」という最悪のパターンを避けられます。

自社運用のための月次チェックリスト

外注しない場合でも、月1回30分の点検で主要なリスクは抑えられます。実施日と担当者を決めて、習慣にしてください。

  1. 本体・プラグイン・テーマを更新する(作業前にバックアップ)
  2. バックアップが実際に保存されているか、保存先を開いて確かめる
  3. ユーザー一覧に見覚えのないアカウントがないか確認する
  4. お問い合わせフォームからテスト送信し、受信まで確かめる
  5. 主要ページを実際に開き、表示崩れや不審な転送がないか見る
  6. セキュリティプラグインでログイン試行やブロック数を確認する

加えて四半期に一度、バックアップからの復元テストを行うと安心です。SSL証明書とドメインは、有効期限と自動更新の設定を確認しておきます。期限切れはサイト停止に直結するためです。

よくある質問

無料のセキュリティプラグインだけで十分ですか?

基本対策8つと組み合わせれば、中小企業のサイトでは実用的な水準になります。ただしプラグインは、更新やバックアップの代わりにはなりません。土台の対策を済ませたうえで、補助として使ってください。

レンタルサーバーのWAFは有効にすべきですか?

有効にすべきです。追加費用なしで、自動化された攻撃の多くを入り口で遮断できます。まれにフォーム送信や保存操作がブロックされますが、該当ルールのみ除外して回避できます。

更新でサイトが崩れないか不安です。どうすればいいですか?

「バックアップを取ってから更新する」を徹底すれば、崩れても元に戻せます。不安が大きい場合は、ステージング環境(テスト用の複製)で事前に確認します。主要なレンタルサーバーの多くが、ステージング機能を提供しています。

何年も放置したサイトは、まず何をすべきですか?

いきなり更新ボタンを押すのは危険です。まずフルバックアップを取り、PHPバージョンやプラグインの互換性を確認しながら段階的に更新します。バージョン差が大きい場合は、リニューアルも含めて比較したほうが安全で安いこともあります。

まとめ

  • WordPressは世界シェアが大きく、自動化された攻撃に常にさらされている
  • 「更新放置・adminのまま・保守契約なし」は攻撃者から見て入りやすいサイト
  • 最優先は更新・ログイン強化・バックアップの3点。次にWAFと二要素認証
  • 改ざん時は公開停止→侵入口をふさぐ→復元の順。外注復旧は10万〜50万円が目安
  • 月1回30分の点検を習慣化すれば、自社運用でもリスクを大きく減らせる

次の一歩は、管理画面にログインして更新通知の数とユーザー一覧を確認することです。現状を知ることが、あらゆる対策の出発点になります。

保守やセキュリティに配慮したリニューアルでお困りの場合は、EMPLAYのホームページ制作サービスで支援しています。「どこから手をつけるべきか」という段階のご相談でも構いません。無料相談はお問い合わせからどうぞ。

関連記事

株式会社EMPLAY 編集部

中小企業のWeb集客・DX推進を支援するEMPLAYが、現場で得た実践知をもとに執筆・監修しています。運営会社について