お金をかけずにできるWordPressのセキュリティ対策8選!
WEBサイトやブログを簡単に作成できる、便利なシステムである「WordPress」。WordPressは、世界中の企業・個人がホームページやWebサイト作成、ブログ運営などで活用していますが、セキュリティ面で課題があるといわれています。
企業のWebサイト管理者は、WordPressのセキュリティ対策が重要であることを理解しているものの、セキュリティ対策にそこまでお金を掛けられないと考えている方もいるのではないでしょうか?
そこで本記事では、お金をかけずに行えるWordpressのセキュリティ対策を8個厳選して紹介します。
無料でできるWordpressのセキュリティ対策8選
はじめに、無料で行えるWordPressのセキュリティ対策を8つ紹介します。
①2段階認証の設定
まずは、プラグインを用いたセキュリティ対策から紹介していきます。WordPressへのログインでは、2段階認証を設定しておくのがおすすめです。
2段階認証は無料で利用できるプラグインの「Two Factor」で行えます。バックアップの保存先は、簡単に設定できる自社のオンラインストレージなどが良いでしょう。
②バックアップの取得
WordPressには「UpdraftPlus」というプラグインがあります。このUpdraftPlusを使ってバックアップを取るようにしましょう。UpdraftPlusもTwo Factorと同様に無料で利用できます。
③ログを記録できる「WP Activity Log」の導入
WordPressには、ユーザーのログを記録できる「WP Activity Log」というプラグインがあります。WP Activity Logでは、ユーザーがどのような操作を行ったのか、どの記事を改ざんしたのかといった記録を取ることが可能です。WP Activity Logもインストールしておきましょう。
WP Activity Logの詳細については、以下の記事で詳しく解説しています。
④wp-config.phpのパーミッションを変更する
wp-config.phpファイルには、WordPressの中で最も重要なファイルが書かれています。このwp-config.phpのパーミッションを600へ変更することで、変更権限を所有者だけに限定することが可能です。パーミッションの変更はFTPソフトで行えます。
⑤reCAPTCHAを導入する
Googleが提供している「reCAPTCHA」を導入することで、入力フォームの内容を判定して、スパムかどうかを判断できます。スパムと判定された場合、フォームの送信をブロックする仕組みです。
reCAPTCHAもぜひ導入しておきましょう。
⑥ユーザー名とパスワードを複雑に設定する
WordPressで使うユーザー名とパスワードは、予測されにくい複雑なものにすることでセキュリティを高めることができます。
WordPressのダッシュボードへのログインする際に必要なユーザー名やパスワードは、あまり深く考えずに設定するケースが多いです。たとえば、ユーザー名を自身の名前にしたり、パスワードを誕生日にしたりした場合、これらの情報が盗まれたときに簡単に不正ログインされてしまいます
できるだけ英字や数字、記号を混ぜて、複雑な設定にすることを心がけましょう。
⑦ソフトウェアとテーマ、プラグインを常に最新の状態に保つ
WordPressは、セキュリティ強化のために定期的にアップデートされています。常に最新のバージョンでWordPressを利用することで、根本的なセキュリティ対策に繋がります。
また、テーマやプラグインも同様に最新状態に更新しておくことが大切です。WordPressのダッシュボードへログインした際に、テーマやプラグインアップデートされていれば必ず最新バージョンへ更新するようにしましょう。
⑧不要なテーマやプラグインを削除する
不要なテーマやプラグインがあれば、削除しましょう。仮にテーマやプラグインに脆弱性があった場合、WordPressを使用していなかったとしてもサイバー攻撃を受ける可能性があるからです。
ただし、無効化するだけではテーマやプラグインの存在がWordPress内に残ることになります。仮に無効化したテーマやプラグインで脆弱性がある場合、それがセキュリティリスクになり得ます。不要なテーマやプラグインは無効化ではなく削除するようにし、使用するものを最小限に留めることでセキュリティリスクを軽減できるでしょう。
WordPressのセキュリティ対策が重要な理由
ここでは、WordPressのセキュリティ対策が重要な理由について改めて解説します。
➀利用者が多いためハッキングの対象になりやすい
WordPressは、世界で一番ユーザーが多いCMSです。しかし、利用者が多いこともあって、悪意のある攻撃者から狙われやすくなっています。サイバー攻撃のターゲットになりやすいWordPressを利用している以上、セキュリティ対策は必須となります。
②管理画面がインターネット上に存在している
WordPressには、ダッシュボードという管理画面が存在します。このダッシュボードがインターネット上にあることで、ユーザーは場所を選ばず管理画面にアクセスしてWEBサイトを更新できますが、セキュリティ面ではリスクがあるといえます。
仮にダッシュボードのログインURLや、ユーザー名・パスワードを入手できれば、外部から簡単にログインできてしまうのです。不正アクセスを許すと様々なセキュリティ事故に発展する恐れがあるため、前述したセキュリティ対策を講じて外部からの侵入を防ぎましょう。
無料でもなぜ守れるのか?
WP攻撃の多くは『未対策の隙』が原因のため、基本対策を継続するだけで大半は防げます。観点は次のとおりです。
| 項目 | 内容 |
|---|---|
| 標的の広さ | 機械的に未更新サイトを探索される |
| 拡張リスク | プラグイン/テーマの脆弱性が侵入口になる |
| 認証不備 | 弱い認証/管理画面の露出が攻撃を容易にする |
| 復旧備え | バックアップが事業継続の前提 |
ポイントは、攻撃は規模でなく『隙のあるサイト』を狙う点です。無料で出来る基本対策を継続できる運用に変えることが安全確保の前提です。基本対策の継続を起点に整えることが出発点になります。なお最終的には、評判や機能数でなく自社の現状と業務に優先順位を付け、
無理なく続けられる体制に落とし込むことが、投資を成果へ結びつける近道になります。加えて運用開始後も定期的に見直しを行い、現場の声をもとに小さく改善していく姿勢が、効果を持続させ無理のない定着を実現する鍵となります。
中小企業はどう運用すべきか?
運用は、無料で出来る対策を仕組みで担保することが重要です。押さえる進め方は次のとおりです。
| 項目 | 内容 |
|---|---|
| 更新 | 本体・プラグイン・テーマの自動更新と検証 |
| 棚卸し | 不要なプラグイン/テーマを定期的に削除 |
| 認証 | 強固で使い回さない認証+多要素認証、管理画面アクセス制限 |
| 復旧 | 定期バックアップと復元手順、改ざん検知 |
最大のつまずきは、構築後に更新・点検が止まり既知脆弱性を突かれることです。当社は中小企業のサイト保守・セキュリティを伴走支援しています。基本対策を継続できる運用に組み込むことが、失敗しない要点になります。なお最終的には、
評判や機能数でなく自社の現状と業務に優先順位を付け、無理なく続けられる体制に落とし込むことが、投資を成果へ結びつける近道になります。加えて運用開始後も定期的に見直しを行い、現場の声をもとに小さく改善していく姿勢が、
効果を持続させ無理のない定着を実現する鍵となります。
WP無料対策チェック
WP無料セキュリティ対策とは、お金をかけずにできるWordPressのセキュリティ対策のことで、WP攻撃の多くは未対策の隙が原因のため基本対策を継続するだけで大半は防げます。
機械的に未更新サイトを探索される、プラグイン/テーマの脆弱性が侵入口になる、弱い認証/管理画面の露出が攻撃を容易にする、バックアップが事業継続の前提が観点で、
攻撃は規模でなく隙のあるサイトを狙うため無料で出来る基本対策を継続できる運用に変えることが安全確保の前提です。
本体・プラグイン・テーマの自動更新と検証、不要なプラグイン/テーマの定期的な削除、強固で使い回さない認証+多要素認証と管理画面アクセス制限、定期バックアップと復元手順・改ざん検知が要点で、構築後に更新・点検が止まり既知脆弱性を突かれる失敗を避け、
基本対策を継続できる運用に組み込むことが要点となります。
以下に、押さえるべき要点とその内容を整理します。
| 項目 | ポイント | 解説 |
|---|---|---|
| 更新 | 継続 | 本体/プラグイン/テーマ |
| 構成 | 最小化 | 不要拡張を削除 |
| 認証 | 強化 | 多要素+アクセス制限 |
| 復旧 | BU+手順 | 改ざん検知も併用 |
| 運用 | 継続 | 構築後も点検 |
この記事のよくある質問(FAQ)
本記事に関して、よく寄せられる質問をまとめました。
Q. 無料でできる対策は?
A. 本体・プラグイン・テーマの更新、不要拡張の削除、強固な認証+多要素認証、管理画面アクセス制限、無料セキュリティプラグインの活用が基本です。
Q. 最優先で行うべき対策は?
A. 更新の徹底と弱い認証の廃止、不要プラグイン/テーマの削除、定期バックアップが最優先です。脆弱性情報の確認も継続します。
Q. 中小企業でも実施できますか?
A. できます。基本対策を継続できる運用に組み込めば、限られた体制でも侵入・改ざんのリスクを大きく下げられます。
Q. 最新の脆弱性はどう確認しますか?
A. プラグイン/テーマの脆弱性情報は更新されるため、必ず公式・脆弱性情報サイトの最新情報で定期的に確認することが重要です。
関連情報・お問い合わせ
まとめ
今回は、お金をかけずに行えるWordpressのセキュリティ対策を8個厳選して紹介しました。今回紹介したセキュリティ対策は以下の通りです。
①2段階認証の設定
②バックアップの取得
③ログを記録できる「WP Activity Log」の導入
④wp-config.phpのパーミッションを変更する
⑤reCAPTCHAを導入する
⑥ユーザー名とパスワードを複雑に設定する
⑦ソフトウェアとテーマ、プラグインを常に最新の状態に保つ
⑧不要なテーマやプラグインを削除する
WordPressは非常に便利なCMSですが、WordPressに不正アクセスされて重大なセキュリティ事故に繋がったケースは実際に起きています。セキュリティ事故を未然に防ぐためにも、本記事で紹介したセキュリティ対策は必ず実践しておきましょう。
最後に:ホームページ制作・SEO対策でお悩みの方は
HPをWordPressで作ったものの集客に悩んでいる方はこちらのサイトもおすすめです。
ご参考になさってください↓
マーケティング情報局
法人向けセキュリティソフトの
料金自動一括比較サイトを新しくオープンしました!
c-compe.com⇒
株式会社アーデントは、デジタル化・AI導入補助金の支援事業者を行っております!
アーデントからデジタル化・AI導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。
メリット①対象ツールを2年間、半額、もしくは1/4で利用可!
メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額!
メリット③補助期間終了後は、公式価格よりお値引き!
メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します!
【弊社取り扱いクラウドツール】
🔹オフィスソフト・グループウェア: Google Workspace※、Microsoft365、desk'nets NEO※
🔹ノーコード業務改善:kintone、Zoho※、楽楽販売、JUST.DB※、サスケworks
🔹コミュニケーション: サイボウズオフィス、Chatwork、LINE WORKS、zoom
🔹会計・経費管理: マネーフォワード、freee、楽楽精算、楽楽明細、楽楽請求、invox
🔹電子契約・文書管理: freeeサイン、クラウドサイン、GMOサイン、Adobe Acrobat
🔹セキュリティ対策: sophos、SentinelOne、ESET、ウイルスバスタークラウド
🔹バックアップ: syscloud、Avepoint
🔹RPA・自動化: RoboTANGO、DX-Suite、Yoom※、バクラクシリーズ
🔹勤怠・労務管理: 勤革時、楽楽勤怠、マネーフォワード
🔹物流・在庫管理: ロジザードZERO
🔹教育・マニュアル作成管理: iTutor、NotePM、leaf
🔹PBX・電話システム: INNOVERAPBX※、MOTTEL※
🔹端末管理:LANSCOPE、clomo
🔹リモートデスクトップ:RemoteOperator在宅
🔹受付ipad:ラクネコ※
🔹タスク管理、その他:Adobe creative cloud、Noota、JOSYS、backlog※
など
※こちらのツールは補助期間終了後の値引不可
また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。
デジタル化・AI導入補助金2026の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓
デジタル化・AI導入補助金お問合せ:03-5468-6097
以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください!
