WordPressは世界中のWebサイトで利用されているオープンソースCMSですが、その普及率の高さゆえにサイバー攻撃の標的になりやすいという側面もあります。2026年4月時点でWordPressはCMS市場シェアの約59.8%、日本国内では約83.1%を占めており（W3Techs調べ）、攻撃者にとって「一つの手法で大量のサイトを狙える」最も効率の良いターゲットです。

「WordPressを使っているが、セキュリティ対策をきちんとできているか不安」「以前、不正ログインの形跡があった」――そのような悩みをお持ちの担当者の方は少なくありません。実際、Wordfenceが週次で公開している脆弱性レポートを見ると、2026年4月第2週（4月6日〜4月13日）だけで80件以上のプラグインに脆弱性が報告されており、そのうち32件はアクティブインストール数5万件以上の広く利用されているプラグインに関するものでした。

また、独立行政法人情報処理推進機構（IPA）が2026年1月に発表した「情報セキュリティ10大脅威 2026」では、「システムの脆弱性を突いた攻撃」が組織向け上位に引き続きランクインするとともに、「AIの利用をめぐるサイバーリスク」が新たにランクインしました。AIを活用した攻撃の自動化・高度化という新しい脅威にも、WordPressサイト運営者は目を向ける必要があります。

本記事では、WordPress セキュリティ対策として実施すべき具体的な手順を、管理画面URLの変更から二段階認証・WAF導入・ログイン制限・ファイルパーミッション設定・定期バックアップまで体系的に解説します。WordPressの不正アクセス防止とマルウェア対策を一度に学べる完全ガイドとして、ぜひ日々の運用にお役立てください。

なお、WordPressの導入メリット・デメリットや運用全般については、WordPress導入前に必ず知っておきたいメリット・デメリットと運用のポイントで詳しく解説していますので、あわせてご参照ください。

1. なぜWordPressはセキュリティリスクが高いのか

1-1. シェアの高さが攻撃者を引き寄せる

WordPressはCMS利用サイト全体の約60%以上で採用されているとされており、2026年現在も世界で最も使われているCMSです。日本国内では実に8割以上のCMSサイトがWordPressを採用しているというデータもあります。

攻撃者の立場から見ると、一つの攻撃手法を開発すれば膨大な数のサイトに対して試行できることを意味します。自動化されたボットが常時インターネット上をスキャンし、古いバージョンのWordPressや脆弱なプラグインを抱えるサイトを探し続けています。2026年になっても、この構造的なリスクは変わっていません。

1-2. プラグイン・テーマが最大のリスク要因

2026年の最新動向として特に注目すべきは、WordPressへの攻撃の主戦場がWordPress本体ではなくプラグインとテーマに移ってきていることです。2026年4月1日付けの脆弱性レポートでは、1週間で225件もの脆弱性が開示され、そのほとんどがプラグインやテーマに関するものでした（Wordfence調べ）。さらに、開示時点でパッチが未提供のものも91件含まれていたと報告されています。

WordPressには公式ディレクトリだけで60,000種類以上のプラグインが公開されており、それぞれの品質・セキュリティ管理水準はまちまちです。インストールしていても更新を怠ったまま放置されているプラグインや、長期間メンテナンスが行われていないテーマは、攻撃者にとって格好の侵入口となります。

1-3. AI攻撃の自動化・高度化という2026年の新潮流

2026年に入り、WordPressを取り巻くセキュリティ環境はさらに変化しています。IPAの「情報セキュリティ10大脅威 2026」に初ランクインした「AIの利用をめぐるサイバーリスク」が示すように、攻撃側でのAI活用が急速に進んでいます。

具体的には、AIを活用した自然言語処理によるフィッシングメールの精度向上、脆弱性を突く攻撃コードの自動生成、AIによるスキャンの高速化などが挙げられます。「脆弱性が公開されてから修正プログラムを適用するまでの猶予時間が4時間程度しかない」という指摘もあるほど（KUSANAGI Tech Column, 2026年2月）、攻撃のスピードが格段に上がっています。こうした状況では、従来の「週次でアップデートを確認する」という対応では間に合わないケースも出てきており、自動アップデートや常時監視の仕組みを取り入れることの重要性が増しています。

1-4. 代表的な攻撃手法

WordPressサイトに対する主な攻撃手法には以下のようなものがあります。

• ブルートフォース攻撃（総当たり）：管理画面のログインフォームに対して、IDとパスワードの組み合わせを大量に試みる攻撃。2026年現在も最も多く観測される攻撃手法の一つ。
• SQLインジェクション：フォームやURLパラメータを通じてデータベースに不正なクエリを送り込む攻撃。
• クロスサイトスクリプティング（XSS）：悪意のあるスクリプトをWebページに埋め込み、閲覧者のブラウザ上で実行させる攻撃。2026年も報告件数が多い。
• マルウェア感染：脆弱なプラグインやテーマを経由して、サイトのファイルに悪意のあるコードを埋め込む攻撃。
• ファイルインクルード攻撃：サーバー上の任意のファイルを読み込ませたり、外部のファイルを実行させたりする攻撃。
• AIフィッシング：AIが生成した自然な日本語のフィッシングメールで管理者の認証情報を詐取する新手法。2026年から急増。

これらの攻撃を防ぐためには、後述する複数の対策を組み合わせて実施することが重要です。

2. WordPress セキュリティ対策の全体像と優先順位

2-1. セキュリティ対策の考え方：多層防御

セキュリティ対策において重要なのは「多層防御」という考え方です。単一の対策だけに頼るのではなく、複数の対策を組み合わせることで、一つの防御が突破されても次の層で食い止められる状態を作ります。

WordPressのセキュリティ対策も同様で、管理画面の保護・ログイン制限・通信の暗号化・ファイルの保護・定期的なバックアップなど、異なるレイヤーで対策を講じることが求められます。2026年の攻撃高度化を踏まえると、「人間が手動で守る」セキュリティから「仕組みとして自動化された防御」への移行が強く求められています。

2-2. 優先度の高い対策一覧

数多くある対策の中で、特に優先度が高いものを以下に整理します。実施の手順は第3章以降で詳しく解説します。

• WordPress本体・プラグイン・テーマを常に最新バージョンに保つ（2026年現在の安定版はWordPress 6.9.4）
• 管理画面（wp-admin）のURLを変更し、デフォルトパスを隠す
• 強力なパスワードポリシーを設定し、二段階認証を導入する
• ログイン試行回数を制限してブルートフォース攻撃を防ぐ
• WAF（Webアプリケーションファイアウォール）を導入する
• ファイルパーミッションを適切に設定する
• 定期的なバックアップを自動化する
• SSL/TLS（HTTPS）を必ず有効化する

これらを順番に実施していくことで、WordPress不正アクセス防止とマルウェア対策の基盤が整います。

3. 管理画面URLの変更と保護

3-1. デフォルトのURLが危険な理由

WordPressの管理画面のURLは、インストール直後の状態では「https://ドメイン名/wp-admin/」または「https://ドメイン名/wp-login.php」となっています。これは世界共通の仕様であり、攻撃者もこのURLを知っているため、自動化されたボットが常時アクセスを試みています。

アクセスログを確認するとwp-login.phpへの不審なアクセスが頻繁に記録されているケースは珍しくありません。管理画面URLを変更することで、まずこの「入口」を隠すことができます。

3-2. プラグインを使ったURL変更手順

管理画面URLの変更には、「WPS Hide Login」プラグインが広く利用されています。以下の手順で設定できます。

手順

• WordPress管理画面にログインし、「プラグイン」→「新規追加」へ進む
• 「WPS Hide Login」を検索してインストール・有効化する
• 「設定」→「WPS Hide Login」を開く
• 「ログインURL」フィールドに任意の文字列（例：manage-portal）を入力する
• 「保存」をクリックして設定を完了する

変更後は必ず新しいURLをメモし、アクセスできることを確認してください。旧URLにアクセスすると404エラーが返るようになります。URLに使用する文字列は推測されにくいものを選ぶことが重要で、社名や「admin」「login」「cms」といった単語は避けてください。

3-3. .htaccessによるwp-adminへのアクセス制限

管理画面URLを変更するだけでなく、サーバー側でwp-adminディレクトリへのアクセスを特定のIPアドレスのみに限定することも有効な対策です。レンタルサーバーやVPSを利用している場合、.htaccessファイルに以下のような記述を追加することで実現できます。

【.htaccessの記述例】

　　Order deny,allow

　　Deny from all

　　Allow from 許可するIPアドレス

ただし、社外から更新作業をする場合やIPアドレスが固定されていない環境では運用が難しくなる点に注意が必要です。VPN経由でのアクセスと組み合わせるなど、運用方法に合わせた設計が求められます。

4. 二段階認証の導入

4-1. パスワードだけでは不十分な理由

2026年現在、AIを活用した高精度なフィッシング攻撃が増加しており、どれほど複雑なパスワードを設定していても認証情報が漏洩するリスクはゼロにはなりません。フィッシングメール・使い回しによる流出・ブルートフォース攻撃など、パスワードが第三者に知られてしまう経路は多岐にわたります。

二段階認証（2FA）はパスワードに加えてスマートフォンなどの認証コードを組み合わせることで、パスワードが漏れても不正ログインを防げる追加の防御層です。WordPressのセキュリティ強化において、二段階認証は「実施コストが低い割に効果が高い」対策の一つとして強く推奨されています。

4-2. 二段階認証の導入手順（WP 2FA利用）

WordPressに二段階認証を導入する代表的な方法が、「WP 2FA」プラグインを使う方法です。以下の手順で設定できます。

手順

• 管理画面「プラグイン」→「新規追加」で「WP 2FA」をインストール・有効化する
• 有効化後に表示されるセットアップウィザードに従い、2FAの対象ユーザーを設定する（全ユーザーを対象に設定することを推奨）
• ユーザーごとに初回ログイン時にQRコードが表示されるため、スマートフォンの「Google Authenticator」アプリでスキャンする
• アプリが生成する6桁のワンタイムコードを入力して設定を完了する
• バックアップコードを必ずダウンロードして安全な場所に保管する

設定後は、スマートフォンを持っていない状態ではログインできなくなります。複数のデバイスで認証できるよう設定しておく、または信頼できる管理者用のバックアップコードを管理しておくことが運用上の注意点です。

4-3. パスキー（パスワードレス認証）への展望

2026年のセキュリティトレンドとして、AIによる高度なフィッシングに対抗する手段として「パスキー（生体認証）」への移行が注目されています。パスキーはパスワードそのものを使わない認証方式であり、フィッシング攻撃に根本的に強い構造を持ちます。

WordPressに関しては2026年現在まだパスキーに対応するプラグインが少ない状況ですが、今後の対応が期待されています。当面は二段階認証で認証の強度を高めつつ、パスキー対応状況を継続的に注視していくことを推奨します。

4-4. ユーザー権限の適切な管理

二段階認証の導入と合わせて、ユーザー権限の見直しも重要です。WordPressには「管理者」「編集者」「投稿者」「寄稿者」「購読者」の5つの権限レベルがあります。不必要に管理者権限を付与すると、そのアカウントが乗っ取られた際の被害が大きくなります。

• 管理者権限は最小限の人数にとどめる
• 担当業務に必要な権限のみを付与する（最小権限の原則）
• 退職者や協力会社のアカウントは速やかに削除または無効化する
• デフォルトの「admin」というユーザー名は使用しない（攻撃者が最初に試みるIDのため）

5. ログイン試行回数の制限

5-1. ブルートフォース攻撃への対策

ブルートフォース攻撃とは、IDとパスワードの組み合わせを機械的に大量試行して、正しい認証情報を探し出そうとする攻撃手法です。WordPressのデフォルト状態ではログイン試行回数に制限がないため、攻撃者は何度でもログインを試み続けることができます。

2026年はAIが攻撃を効率化・高速化しており、ログイン試行制限の重要性はこれまで以上に増しています。一定回数のログイン失敗後にそのIPアドレスからのアクセスをブロックすることで、総当たり攻撃を実質的に無効化できます。

5-2. Limit Login Attempts Reloadedの設定手順

ログイン試行制限には「Limit Login Attempts Reloaded」プラグインが定番です。以下の手順で導入できます。

手順

• 管理画面「プラグイン」→「新規追加」で「Limit Login Attempts Reloaded」をインストール・有効化する
• 「設定」→「Limit Login Attempts」を開く
• 「許可するログイン試行回数」を3〜5回程度に設定する
• 「ロックアウト時間」を30〜60分程度に設定する
• 「長時間ロックアウト」を24時間に設定する（短時間ロックアウトが一定回数に達した場合）
• 「ログイン失敗をメールで通知する」設定を有効にする
• 設定を保存して完了

自分自身のIPアドレスを誤ってロックアウトしてしまった場合は、FTPやファイルマネージャーからプラグインのフォルダ名をリネームして無効化するか、WordPressが保存しているロックアウト情報をデータベースから削除することで解除できます。

5-3. XMLRPCの無効化

WordPressにはXML-RPC（xmlrpc.php）という機能が標準で有効になっています。これはWordPressを外部アプリから操作するためのAPIですが、ブルートフォース攻撃の経路としても悪用されます。特に、1回のXML-RPCリクエストで複数の認証情報を試行できる「multicall攻撃」はログイン制限プラグインをすり抜けることがあるため、利用しない場合は無効化しておくことを推奨します。

XML-RPCの無効化は、前述のセキュリティプラグインから設定できる場合が多いですが、.htaccessへの記述追加でも対応可能です。

6. WAF（Webアプリケーションファイアウォール）の導入

6-1. WAFとは何か

WAF（Web Application Firewall）は、Webアプリケーションへの通信を監視・フィルタリングし、SQLインジェクションやXSSなどの攻撃パターンを検知してブロックするセキュリティシステムです。通常のファイアウォールがIPアドレスやポート単位でのアクセス制御を行うのに対し、WAFはHTTPリクエストの内容を解析してアプリケーション層の攻撃を遮断します。

2026年はプラグイン脆弱性の件数が急増しており（週次で数十〜百件規模の報告が続いている）、WAFによる既知の攻撃パターンのブロックがより重要な役割を担っています。特に、ゼロデイ脆弱性が公開されてからパッチが適用されるまでの間も、WAFが攻撃の侵入を防ぐ最後の砦となります。

6-2. WordPressで利用できるWAFの種類

WordPressサイトにWAFを導入する方法は、大きく3つに分類されます。

① プラグイン型WAF

WordPress内にインストールして使うタイプです。「Wordfence Security」や「Sucuri Security」が代表的です。設定が比較的容易で、マルウェアスキャン機能も内蔵している製品が多く、中小規模のサイトに向いています。2026年現在、Wordfence Securityのアクティブインストール数は500万件を超え、セキュリティ分野の業界標準となっています。

② クラウド型WAF（CDN経由）

「Cloudflare」や「Sucuri」のようにDNS設定を変更してすべてのトラフィックをWAFサービス経由にするタイプです。サーバー側の処理負荷を軽減しながら高精度なフィルタリングが可能で、DDoS攻撃への耐性も高まります。2026年は30Tbpsを超えるような大規模DDoS攻撃も観測されており、クラウド型WAFの重要性が増しています。

③ サーバー型WAF

Webサーバー（ApacheやNginxなど）のモジュールとして組み込むタイプで、VPSや専用サーバーを利用している場合に選択肢となります。細かいルールのカスタマイズが可能ですが、設定に専門知識が必要です。

6-3. Wordfence Securityの基本設定

プラグイン型WAFの代表格である「Wordfence Security」の基本的な設定手順を紹介します。

手順

• 管理画面「プラグイン」→「新規追加」で「Wordfence Security」をインストール・有効化する
• 有効化後、Wordfenceのダッシュボードが表示されるのでメールアドレスを登録する
• 「Firewall」タブで保護レベルを「Extended Protection」に変更する（.htaccessへの追加設定が行われ、より高い防御効果が得られる）
• 「Scan」タブから定期スキャンを有効にし、スキャン頻度を設定する（週1回以上を推奨）
• 「Login Security」でログインページのブルートフォース保護設定を確認・強化する
• メール通知設定を行い、攻撃検知時やマルウェア発見時にアラートが届くようにする

無料版でも基本的なWAF機能とマルウェアスキャンが利用できますが、有料版（Wordfence Premium）ではリアルタイムのルール更新やより詳細な機能が利用可能です。2026年のように攻撃が高速化している環境では、リアルタイムルール更新に対応した有料版の導入も検討に値します。

7. ファイルパーミッションの設定

7-1. ファイルパーミッションとは

ファイルパーミッションとは、サーバー上のファイルやディレクトリに対する「読み取り（r）」「書き込み（w）」「実行（x）」の権限設定です。この設定が不適切な場合、本来は書き換えられるべきでないWordPressのコアファイルが攻撃者によって改ざんされたり、機密情報を含む設定ファイルが不正に読み出されたりするリスクが生じます。

7-2. 推奨されるパーミッション設定

WordPressの公式ドキュメントおよびセキュリティのベストプラクティスとして、以下のパーミッション設定が推奨されています。

• WordPressのルートディレクトリ（/）：755
• wp-config.php：400または440（所有者のみ読み取り可）
• wp-admin/ディレクトリ：755
• wp-content/ディレクトリ：755
• wp-content/uploads/ディレクトリ：755（ファイルアップロードが必要な場合）
• 一般のPHPファイル（*.php）：644
• 一般の画像ファイル（*.jpg、*.pngなど）：644

特に重要なのはwp-config.phpのパーミッションです。このファイルにはデータベース接続情報が含まれており、第三者に読み取られると致命的な被害につながります。

7-3. パーミッションの確認・変更方法

ファイルパーミッションはFTPクライアント（FileZillaなど）またはレンタルサーバーのファイルマネージャー機能で確認・変更できます。コマンドラインが使える環境であれば、SSH接続後に以下のようなコマンドで一括変更も可能です。

【コマンド例（ディレクトリを755に変更）】

　　find /WordPressのパス -type d -exec chmod 755 {} \;

【コマンド例（ファイルを644に変更）】

　　find /WordPressのパス -type f -exec chmod 644 {} \;

変更後はWordPressが正常に動作しているかを必ず確認してください。制限しすぎると画像のアップロードや自動更新が機能しなくなる場合があります。

8. 定期バックアップの設定

8-1. バックアップが重要な理由

どれだけ堅固なセキュリティ対策を施しても、ゼロリスクを実現することは困難です。万が一マルウェアに感染した場合や、ランサムウェアによってサイトが暗号化された場合でも、直前のバックアップがあれば迅速にサイトを復旧できます。

バックアップは「攻撃を防ぐ」対策ではなく「被害を最小化する」対策ですが、WordPress運用においてセキュリティ対策と同様に欠かせないものです。特に更新頻度の高いサイト（ニュースサイト、採用情報を頻繁に更新する企業サイト、製品情報を随時更新する製造業・商社のサイトなど）では、毎日自動バックアップを取ることを強く推奨します。

8-2. バックアップの対象と種類

WordPressサイトのバックアップには、以下の2種類のデータが必要です。

① データベースのバックアップ

投稿記事・固定ページ・コメント・ユーザー情報・プラグイン設定など、WordPressの動的コンテンツはすべてMySQLデータベースに格納されています。データベースのバックアップなしにはコンテンツを復元できません。

② ファイル（サーバー上のデータ）のバックアップ

テーマファイル・プラグインファイル・wp-config.php・メディアライブラリ（画像・動画など）といったサーバー上のファイル群も同様にバックアップが必要です。

理想的には、データベースとファイルを両方バックアップし、かつサーバーとは別の場所（外部ストレージやクラウドストレージ）に保管することです。

8-3. UpdraftPlusによる自動バックアップ設定

WordPress向けバックアッププラグインとして最も普及しているのが「UpdraftPlus」です。2026年現在も高いシェアを誇り、最新バージョンへの継続的なアップデートが行われています。以下の手順で自動バックアップを設定できます。

手順

• 管理画面「プラグイン」→「新規追加」で「UpdraftPlus」をインストール・有効化する
• 「設定」→「UpdraftPlus バックアップ」を開く
• 「設定」タブで「ファイルバックアップのスケジュール」と「データベースバックアップのスケジュール」をそれぞれ設定する（毎日または毎週を推奨）
• 「バックアップの保持数」を設定する（直近2〜4回分を保持するのが一般的）
• リモートストレージを設定する（Google Drive、Dropbox、Amazon S3、FTPなど外部へのバックアップを推奨）
• 設定を保存後、「今すぐバックアップ」ボタンで手動バックアップを実施し、正常に動作することを確認する

バックアップデータはWordPressがインストールされているサーバーのみに保存するのではなく、必ず外部の別ストレージにも保管してください。サーバーごと障害が発生した場合や、攻撃によってバックアップファイルも削除・暗号化されるリスクに備えるためです。

9. その他の重要なWordPressセキュリティ設定

9-1. WordPressのバージョン管理と自動更新

WordPress本体・テーマ・プラグインを常に最新バージョンに保つことは、セキュリティ対策の根幹です。2026年現在の安定版はWordPress 6.9.4です（なお、次期メジャーバージョンのWordPress 7.0は、リアルタイム共同編集機能のアーキテクチャ検討のため2026年4月のリリースが延期され、正式リリース日は現時点で調整中です）。

WordPress本体はマイナーアップデート（セキュリティ・バグ修正）については自動更新が標準で有効になっています。プラグインやテーマの自動更新については、管理画面の「プラグイン」「外観 → テーマ」画面から個別に有効化できます。ただし、自動更新によって予期しない動作不具合が発生する場合もあるため、本番環境への適用前にステージング環境でテストする体制が理想的です。

また、WordPressはPHPで動作していますが、PHPのバージョンもセキュリティに直結します。WordPress 7.0（リリース後）ではPHP 7.2/7.3のサポートが終了し、最低でもPHP 7.4、推奨はPHP 8.3以上となる予定です。使用しているサーバー環境のPHPバージョンも合わせて確認・更新しておくことを推奨します。

9-2. SSL/TLSの有効化とHTTPS通信の強制

現在のWordPress運用においてHTTPS（SSL/TLS）は必須の設定です。通信が暗号化されていない場合、ログイン情報や投稿内容が盗聴されるリスクがあります。また、GoogleはHTTPSをランキング要因として考慮しており、SEO観点からもHTTPS化は欠かせません。

多くのレンタルサーバーでは無料のSSL証明書（Let’s Encrypt等）が提供されており、サーバーの管理画面から簡単に有効化できます。SSL設定後はWordPressの設定からサイトアドレスをhttpsに変更し、「.htaccess」にHTTPからHTTPSへのリダイレクト設定を追加してHTTPS通信を強制します。

9-3. 不要なファイル・機能の削除

WordPress環境を整理し、攻撃面（アタックサーフェス）を減らすことも重要な対策です。2026年の脆弱性レポートでも「使用していないプラグインの削除」が繰り返し推奨されています。

• 使用していないプラグインは有効化のみならずアンインストールして削除する（無効化だけではファイルが残るため脆弱性の対象になる）
• 使用していないテーマも削除する（WordPressのデフォルトテーマは1つだけ残し、それ以外は削除する）
• readme.htmlや license.txtなどWordPressのバージョン情報が記載されたファイルは削除またはアクセス制限する
• wp-config.phpの「DB_PREFIX」をデフォルトの「wp_」から変更する（SQLインジェクション対策）
• 長期間更新されていないプラグイン・テーマは、代替品への乗り換えを検討する

9-4. セキュリティヘッダーの設定

Webサーバーのレスポンスヘッダーにセキュリティ関連の設定を追加することで、クロスサイトスクリプティングやクリックジャッキングなどの攻撃を防ぐ効果があります。

• X-Frame-Options: SAMEORIGIN（クリックジャッキング防止）
• X-Content-Type-Options: nosniff（MIMEタイプスニッフィング防止）
• Content-Security-Policy（CSP）（XSS攻撃の緩和）
• Referrer-Policy（リファラー情報の制御）

これらは.htaccessへの記述追加や、「Headers and Methods Plugin」などのWordPressプラグインで設定できます。

10. マルウェア感染を検知した場合の対応手順

10-1. 感染の兆候

WordPressサイトがマルウェアに感染した場合、以下のような兆候が現れることがあります。速やかに対応するためにも、これらのサインに気づいた際は即座に調査を開始してください。

• 見覚えのないコンテンツ（スパムリンク、広告、外国語テキスト）がページに表示される
• 管理画面にログインできなくなった
• Googleサーチコンソールに「このサイトはマルウェアを含む可能性があります」という警告が表示される
• Google検索の結果にサイトが表示されなくなった、または警告付きで表示される
• サーバーのCPU使用率が異常に高い
• ホスティング会社からサイトが停止または警告の連絡が届いた

10-2. 感染時の初期対応

マルウェア感染が疑われる場合は、以下の手順で初期対応を進めます。

• サイトを一時的にメンテナンスモードにし、外部からのアクセスを遮断する
• FTPやSSH経由でファイルをダウンロードし、バックアップを取得する
• Wordfence等のセキュリティプラグインでフルスキャンを実施し、感染ファイルを特定する
• 感染ファイルを削除または正常なバックアップから復元する
• すべてのユーザーのパスワードを変更する
• WordPress本体・プラグイン・テーマをすべて最新版に更新する
• 感染経路を特定して、同じ手口で再感染しないよう対策を講じる

対応後は、GoogleサーチコンソールやGoogleセーフブラウジングに対してサイトの再審査を申請し、警告が解除されるまで監視を続けます。

10-3. 自社対応が難しい場合の選択肢

マルウェア感染の対応は、感染経路の特定や汚染ファイルの洗い出しに専門知識が必要なケースが多く、自社だけでの完全な対応が難しい場面も少なくありません。また、「対処したつもりが残存していた」という状態では、再感染のリスクが残り続けます。

このような場合は、WordPressの保守・運用代行サービスに相談することをご検討ください。専門チームによるセキュリティ診断・クリーンアップ・再発防止策の実装まで、一貫してサポートを受けることができます。

11. セキュリティ対策の維持と継続的な運用

11-1. 定期的な点検・監視の重要性

セキュリティ対策は「一度やれば終わり」ではありません。2026年の最新動向を踏まえると、週次で数十件〜百件規模の脆弱性情報が新たに公開される状況であり、継続的な監視と迅速な対応体制の構築が不可欠です。

• 月1回以上：WordPress本体・プラグイン・テーマのアップデート確認と適用
• 週1回以上：セキュリティプラグインによるマルウェアスキャンの実施と脆弱性情報の確認
• 月1回以上：バックアップデータの取得確認と復元テスト
• 随時：アクセスログの確認と不審なアクセスの調査
• 年1回以上：パスワードポリシーの見直しと全ユーザーのパスワード変更推奨

11-2. ログ監視と不審アクセスの検知

WordPressのアクセスログとエラーログを定期的に確認することで、不審なアクセスを早期に発見できます。特に注目すべき点は以下のとおりです。

• wp-login.phpまたは変更後のログインURLへの大量アクセス
• xmlrpc.phpへのアクセス
• 存在しないURL（wp-config.php.bakなど）への探索的なアクセス
• 同一IPアドレスからの短時間での大量リクエスト

これらのアクセスが確認された場合は、そのIPアドレスをWAFやサーバーの設定でブロックするとともに、被害が発生していないかをより詳しく調査します。

11-3. 保守代行サービスへの移行を検討するタイミング

WordPressのセキュリティ対策は範囲が広く、担当者の負担が大きくなりがちです。2026年のように攻撃が自動化・高速化している状況下では、人手によるアップデート確認だけでは追いつかない場面も増えています。以下のような状況になった場合は、保守代行サービスへの移行を真剣に検討することをおすすめします。

• セキュリティ対策に割ける社内リソース（人員・時間）が不足している
• 過去にマルウェア感染や不正ログインの被害を受けたことがある
• WordPress本体・プラグインのアップデートが滞りがちになっている
• バックアップの取得や確認が属人化・形骸化している
• 新しいセキュリティ脅威（AIを活用した攻撃など）への対応方法が分からない

フォー・クオリアでは、製造・金融・不動産・大学・官公庁など幅広い業界のWebサイト制作・運用実績をもとに、WordPressサイトの保守代行から定期的なセキュリティ診断・緊急対応まで、貴社のWordPress運用を包括的に支援します。「今の運用体制で本当に大丈夫か確認したい」という段階からでも、お気軽にご相談ください。

 まずはお気軽に
ご相談ください

まとめ

本記事では、WordPress セキュリティ対策として実施すべき具体的な手順を解説しました。2026年は日本国内でWordPressのシェアが8割超に達する一方、毎週数十〜百件以上のプラグイン脆弱性が報告される状況が続いており、セキュリティ対策の重要性はかつてないほど高まっています。最後に要点を整理します。

• WordPressは世界・国内シェア1位のCMSだからこそ、攻撃の標的になりやすい（国内シェア約83.1%）
• 2026年はプラグイン脆弱性の急増とAIを活用した攻撃の高度化が顕著なトレンド
• 管理画面URLの変更と.htaccessによるアクセス制限で「入口」を守る
• 二段階認証とログイン試行制限でブルートフォース攻撃・AIフィッシングによる不正ログインを防ぐ
• WAF（Wordfenceなど）を導入してSQLインジェクション・XSS等をブロックする
• ファイルパーミッションを適切に設定してファイルの不正改ざんを防ぐ
• 定期的なバックアップで万が一の被害を最小化する
• 現在の安定版WordPress 6.9.4への更新、PHPバージョンの確認も必須
• セキュリティ対策は一度で終わりでなく、継続的な監視・更新・自動化が不可欠

これらの対策は一つひとつは難しくありませんが、すべてを適切に維持し続けるには一定の専門知識と運用コストがかかります。社内リソースに限りがある場合や、より高いセキュリティ水準を求める場合は、WordPress保守代行サービスの活用が効果的な選択肢となります。WordPressサイトの運用・セキュリティ強化についてお悩みの場合は、ぜひフォー・クオリアにご相談ください。

 まずはお気軽に
ご相談ください