企業サイトでWordPressを使うなら必須!最低限やっておきたいセキュリティ対策
こんにちは、Seculeafです。
「会社のホームページはWordPressで作った」
「制作会社に任せたけど、その後は更新していない」
こんな企業は多いのではないでしょうか?
WordPressはとても便利なツールですが、何も対策をしないと“狙われやすい”サイトになってしまいます。
この記事では、IT担当者がいなくてもできる、WordPressの最低限のセキュリティ対策をご紹介します。
✅ なぜWordPressは狙われやすいの?
- 世界中で使われていて、攻撃対象が多い
- 無料プラグインやテーマに脆弱性(ぜいじゃくせい:弱点)が見つかることがある
- 更新を放置していると、古いままの状態が狙われやすい
つまり、人気だからこそ、守りも必要というわけです。
✅ 今すぐやっておきたい、最低限のセキュリティ対策5つ
① WordPress・テーマ・プラグインを最新に保つ
📌 なぜ?
古いバージョンには既知の弱点(脆弱性)があることが多く、そこを狙われます。
✅ 対策:
- 月に1回はログインして「更新通知」を確認
- 不要なプラグインは削除(使ってない=放置されやすい)
② ログインURLを変更する(推奨)
📌 なぜ?
WordPressの初期ログイン画面は example.com/wp-login.php
攻撃者にとっても「ここを攻めればいい」とわかりやすい状態です。
✅ 対策:
- 「WPS Hide Login」などのプラグインでURLを変更
→ 例:example.com/login-1234
③ ログインに2段階認証をつける
📌 なぜ?
パスワードがバレても、もう一段階で防げます。
✅ 対策:
- 「Two Factor」などのプラグインを使って、スマホで確認コードを設定
④ 管理者アカウント名を「admin」にしない
📌 なぜ?
「admin」は攻撃者が最初に試すアカウント名です。
✅ 対策:
- 新しく「管理者権限の別ユーザー」を作っておく
- 旧「admin」は削除 or 権限を下げる
⑤ セキュリティ系プラグインを導入する
✅ おすすめの軽量プラグイン(どれか1つでOK):
- All in One Security & Firewall(多機能・初心者OK)
- Wordfence Security(世界的に有名)
どれも日本語対応・無料で始められます。
✅ おまけ:意外と見落としがちな対策
- お問い合わせフォームのスパム防止
→ reCAPTCHA連携(Googleアカウントで無料) - バックアップの自動取得
→ 「UpdraftPlus」などで、万が一に備える
✅ まとめ:最低限の対策でも、被害の多くは防げます
- WordPressはとても便利だけど、そのままだと危ない
- 難しい対策を全部しなくても、基本の5つでリスクは大きく減らせます
- Seculeafでは、こうした基本対策の月次チェック代行・相談窓口を提供しています
🟩 ご自身のサイト、見直してみませんか?
「これ、うちちゃんとできてるかな?」
「自分でやるのは不安…」という方は、お気軽にご相談ください!
