今の状態ではサイトが危険！？WordPressのセキュリティ対策について解説

2025年8月20日2025年8月22日

WordPressを使用したWebサイトを持っている方は法人・個人含め多いですが、一体どれくらいの方がセキュリティ対策を実施しているでしょうか？日本では約7割のWebサイトがWordPressを使用して構築されていると言われています。
ですが、正しい方法で正しいセキュリティ対策をしているWebサイトはほんの一部です。

業者に依頼できる法人と違い、個人で調べながら実装した方は危険な状態で放置されているケースが散見されます。
実際、会員サイトなど個人情報を保持しているWebサイトはもちろん対策をする必要がありますが、個人でブログをされている方などは十分な対策をしている方は決して多くないと思います。

厳重なサイトであれば、サーバーの設定からあらゆる観点で対策を講じる必要がありますが、WordPressで今すぐにできるセキュリティ対策を行うことで、未然にウイルス感染などのリスクを低減することができます。

1 WordPressはセキュリティが弱いの？
- 1.1 圧倒的にシェアが高く、無料で使えるオープンソース型である
- 1.2 とにかくすぐ対策したい事業者様へ
2 今すぐできる、WordPressのセキュリティ対策
3 専門家に依頼した方が良い対策
4 まとめ

WordPressはセキュリティが弱いの？

よく「WordPressはセキュリティ的に良くないの？」という意見を耳にします。
なぜそういった憶測が立っているのでしょうか？
あくまで予想ですが、以下のようなWordPressの特性は少なからず影響していると予想しています。

圧倒的にシェアが高く、無料で使えるオープンソース型である

インターネット上のWebサイトにおいて、世界中のWebサイトのうち約4割がWordPressで作られていると言われています。さらに、日本では約7割近いシェアを誇るなどサイト制作において1番有名かつ使われているCMSです。
また、無料で使える上に「オープンソース」と呼ばれるサイトを構成するコードが公開されている形式になっています。

自由にカスタマイズして様々なWebサイトを作れる反面、サイト内部の構造などが知られているという側面もあります。かつ、シェアが高いことにより狙われやすいと推測されます。
そうすると、ハッキングの事例や不正アクセス被害の件数は必然的に多くなるため、そうした話や実例を目にする機会が多いことから来ているのではないかと予想しています。
※個人的な予測です。ただ、自身も過去に不正アクセス被害の対応や復旧依頼を受けたサイトのほとんどがWordPressでした。

とにかくすぐ対策したい事業者様へ

対策をしたからと言って完全に防げる訳ではないので本来であれば保守契約などで正しく対策してくれる・復旧知識のある業者に依頼するのがベターです。
特にある程度の規模のサイトであれば万が一のために、データの定期的なバックアップや死活監視（攻撃を受けてサイトが落ちたり、サーバー内に不正なファイルが設置された際に検知して通知してくれる仕組み）を導入しておくことでリスクヘッジをしておくことも検討する必要があります。

1万円からバックアップや対策を含めた保守プランを提供しておりますので、お気軽にご相談ください。

保守の相談はこちら

今すぐできる、WordPressのセキュリティ対策

WordPressで今すぐできるセキュリティ対策はいくつかありますが、その中でもすぐに対応でき、一定の効果を発揮する対策を3点紹介します。

①パスワードを複雑にする・使い回さない

1点目はシンプルかつ効果が大きいものですが、「パスワードを複雑にする・使い回さない」ことです。
よくある不正攻撃のパターンとして、パスワードが簡易であったり、色々なサイトやサービスのパスワードに同じものを使い回しているのが原因になることが多いです。

特に1つのサイトに複数の管理者やアカウントがある場合、それだけリスクがあるということにもなりますので、できる限りパスワードを英数字や大文字小文字、記号を交えた複雑なパスワードにしておく必要があります。

WordPressにはアカウント作成時に複雑なパスワードを自動で生成してくれますので、そちらを活用しても良いでしょう。
もしくは以下のようなパスワード生成ツールなどもありますので、WordPressに限らずあらゆるサービスのパスワードは使い回さず、固有のものかつ複雑にしておきましょう。

おすすめのパスワード生成ツール

パスワード生成ツール：https://www.luft.co.jp/cgi/randam.php

ラッコツールズ：https://rakko.tools/tools/6

不要なデータの削除

WordPressにはサイトの枠組みや基本機能を導入する「テーマ」や特定の機能を追加する「プラグイン」というものが存在し、それらを組み合わせたりカスタマイズすることでサイトを構成しています。
テーマを組み替えることで様々なデザインにサイトを着せ替えることができますし、「プラグイン」を導入することで様々な機能を追加することができます。
ただ、事実としてWordPressの不正アクセスやウイルス感染の多くはテーマファイルやプラグインの脆弱性を突かれていることが原因で起こっています。

有効にしているテーマ以外の不要なテーマや、使用していない・長期間運営元がアップデートしていないプラグインなどは基本的には削除しておきましょう。

1つのサーバーに複数のWordPressを置かない

こちらは複数のサイトを運営しているケースですが、基本的に複数のWordPressサイトを1つのサーバーに設置しているとそれだけ侵入経路が増えるということにもなります。
全てのサイトがきっちり対策されていたとしても、1つのサイトで感染すればサーバー内のフォルダに悪意のあるファイルを設置される可能性が高いため、すぐにサーバー内の全サイトに増殖する可能性が高いです。

よくあるケースとしてホームページを制作会社のサーバーに様々なクライアントのWebサイトを設置しているケースがありますが、本来良しとされるサイトの設置方法とは異なり、セキュリティリスクが高いためできる限りそうした状態での運用は避けるべきです。

サイトのドメインの管理やサーバーの契約を制作会社に一任している企業は少なくないですが、制作会社が廃業したり、担当者が退職してしまって管理ができなくなったりするケースも散見されますので基本的に事情がない限りは自社で管理しておくようにしましょう。

専門家に依頼した方が良い対策

先述のセキュリティ対策以外にも、様々な対策方法はあります。
その中でも設定が複雑な対策や不具合の起こる可能性があるものなど、すぐに何かが起こった場合でも復旧できる専門家に依頼した方が良いものもあります。
やっておいた方が良い対策の中でも、専門家に依頼すべき対策についてもいくつか紹介します。

サーバーの設定の見直し

WordPressのサイトを設置しているサーバーの設定を見直すことで、セキュリティを強化することができます。
古いサーバーやマイナーなサーバーを使用している場合、そうした設定がそもそもできないケースがありますので、エックスサーバーやさくらレンタルサーバーなど有名なサーバーを使用することをお勧めします。
また、GMOグループのサーバーやドメインサービス（お名前.com）は契約時の管理画面で必要以上に無駄なサービスを契約させられたり、あえて見づらい契約手続きの画面で見覚えのない請求が数万も…という相談が相次いでおり、機能的にもエックスサーバーやさくらインターネットより劣る部分も多いため個人的にはおすすめしません。

弊社はエックスサーバーのパートナー契約を結んでおり、取次店としてエックスサーバーをメインにご紹介させていただいております。
さくらレンタルサーバーなどへの移行のご依頼も受け付けておりますので、サーバー周りでお困りの方はお気軽にご相談ください。

サーバー移転の無料相談はこちら

サイトのSSL化（httpsの導入）

Webサイトにアクセスする際、URLは先頭が（https://〜）からスタートしますが、
SSL化されていないサイトでは（http://〜）とsがない状態になります。

httpsではなくhttpから始まっている場合、第三者から通信内容を傍受される可能性があります。
具体的にはお問い合わせフォームなどの送信内容が、外から見れてしまうなどというリスクがあります。こちらはエックスサーバーなどのメジャーなサービスを使用していると無料で設定できるのですが、マナーなサーバーの場合有料で設定する必要があったり、設定が煩雑で専門家に依頼しないとできないケースもあります。

また、httpのURLにアクセスした場合にhttpsに転送して表示する処理を通常は導入することが多いですが、httpのままアクセスできてしまうサイトもあります。
そうしたケースの場合も同様に情報漏洩のリスクがありますので、転送設定をする必要があります。

テーマやプラグインを最新版にアップデートする

WordPressのセキュリティを維持しておくために、テーマやプラグインは最新版にアップデートしておいた方が良いとされています。
ただ、使用しているテーマやPHPのバージョンが低すぎたり、長い間アップデートをしていないプラグインなどを使用している場合、エラーが発生しサイトが表示されなくなったり壊れてしまう可能性があります。
そのような状況に遭遇した場合、原因の特定や復旧方法に詳しい担当がいない場合、長期間表示されない状態が続いてしまい、SEOや検索順位低下の原因にもなってしまい、その間にサイトを訪問したユーザーに対して不安や不信感を抱かせてしまう恐れがあります。

そうした最悪の事態にならないためにも、こまめなアップデートを行い、長くサイトを運用できるようにしておく必要があります。

まとめ

WordPressは正しくセキュリティ対策をしなければ、不正アクセスやウイルス感染のリスクが高い状態でWebサイトを放置し続けることになります。一度不正アクセスやウイルス感染してしまうと、復旧に大きな費用が発生したり再発のリスクも高まります。
会社の顔・看板であるWebサイトを正しく守って長く運用し続けるためにも、しっかり「守り」を固めて万が一に備えましょう。

弊社ではセキュリティ設定の見直しやセキュリティ対策、アップデートから月額の保守契約で定期的なバックアップなども含めフォローアップできるプランをご用意しております。
サイトの管理体制が社内で取れない、詳しい人がいない、といったお客様は是非一度お気軽に以下のフォームからお問い合わせください。

無料相談してみる