WordPressセキュリティ
チェックリスト60項目
WordPressのセキュリティ対策を漏れなく実施するための60項目チェックリストです。クリックしてチェックしながら進められるインタラクティブ形式です。初心者向けの基本項目から上級者向けの高度な対策まで網羅しています。
0
/ 60 項目
チェックを始めましょう
進捗状況
0%
基本 初心者が最初に対応すべき基本対策
中級 一般的なWordPressサイトで推奨される対策
上級 重要なサイト・ECサイト等で実施すべき高度な対策
基本設定・初期セットアップ
10項目
WordPressを最新バージョンに更新している管理画面「ダッシュボード→更新」で定期的に確認する
基本
全プラグインを最新バージョンに更新している未更新のプラグインが最大のセキュリティリスクになる
基本
使用テーマを最新バージョンに更新している子テーマを使用している場合は親テーマも更新する
基本
使用していないプラグインを削除している無効化だけではなく削除することで脆弱性リスクを除去する
基本
使用していないテーマを削除している(デフォルトテーマを除く)Twenty系テーマ1つを残して不要テーマを削除する
基本
SSLが有効(httpsでアクセスできる)httpでアクセスした場合もhttpsにリダイレクトされているか確認→ SSL設定ガイド
基本
PHPを最新の安定版(8.1以上)に更新しているサーバーコントロールパネルでPHPバージョンを確認・変更する
基本
「設定→一般」のWordPressアドレスがhttpsになっているサイトアドレスも同様にhttpsになっているか確認する
基本
WordPressのデバッグモードが無効(本番環境)wp-config.phpの
中級
WP_DEBUGがfalseになっているか確認する不要なデフォルトコンテンツを削除している「Hello World」サンプル投稿・サンプルページ・サンプルコメントを削除する
基本
ログインセキュリティ
12項目
管理者ユーザー名が「admin」ではないadmin以外の推測されにくいユーザー名を使用する→ ログインセキュリティ
基本
管理者パスワードが強力(12文字以上、英数字記号混合)パスワードマネージャーでランダムな強力パスワードを使用する
基本
全ユーザーが強力なパスワードを使用している管理者以外のユーザーも含めてパスワードポリシーを適用する
中級
ログイン試行回数の制限を設定しているWordfenceまたは「Limit Login Attempts Reloaded」プラグインを使用する
基本
2要素認証(2FA)を導入している管理者アカウントに最低限2FAを設定する。Google Authenticator推奨
中級
ログインページURLを変更しているSiteGuard WP Pluginで/wp-login.phpを別URLに変更する
中級
xmlrpc.phpを無効化またはアクセス制限しているxmlrpc.phpは旧APIで攻撃の標的になりやすい。使用していなければ無効化する
中級
ユーザー列挙を防いでいる(/?author=1 へのアクセス制御).htaccessまたはWordfenceでユーザー列挙を防ぐ設定をする
中級
管理画面のIPアドレス制限を設定している特定のIPからのみ/wp-admin/にアクセス可能に制限する(固定IP環境のみ)
上級
ログインページのBASIC認証を設定しているログインページに追加の認証レイヤーを設ける(二重認証)
上級
不要なユーザーアカウントを削除している退職者・使用停止のアカウントは速やかに削除する
基本
ユーザー権限を最小限に設定しているコンテンツ作成者には「投稿者」権限のみ付与し、管理者権限は最小人数に限定する
中級
ファイル・サーバー設定
12項目
wp-config.phpのパーミッションが400または440最も重要な設定ファイルへのアクセスを制限する
中級
.htaccessのパーミッションが644サーバー設定ファイルへの書き込みを制限する
中級
wp-contentディレクトリのパーミッションが755ディレクトリは755、ファイルは644が基本
中級
wp-config.phpをWordPressルートの1階層上に移動している公開ディレクトリの外に移動することでアクセスリスクを低減できる
上級
.htaccessでwp-config.phpへのアクセスをブロックしている
中級
<Files wp-config.php> deny from all </Files>を.htaccessに追加するディレクトリリスティングを無効化している.htaccessに
中級
Options -Indexesを追加してディレクトリ内容の閲覧を防ぐuploads/ディレクトリのPHPファイル実行を禁止している.htaccessでuploadsディレクトリ内のPHPファイルを実行させない設定を追加する
中級
WordPressのバージョン情報を非表示にしているヘッダーからWPバージョンを削除してターゲットになりにくくする
中級
readme.htmlとlicense.txtを削除しているWordPressのバージョン情報を含む不要ファイルを削除する
中級
プラグイン・テーマのファイル編集を無効化しているwp-config.phpに
中級
define('DISALLOW_FILE_EDIT', true);を追加するセキュリティヘッダーを設定している(X-Frame-Options等)X-Frame-Options・X-Content-Type-Options・Content-Security-Policyを設定する
上級
FTPの代わりにSFTP/SSHを使用している平文通信のFTPは使用せず、暗号化されたSFTPまたはSSCPを使用する
中級
プラグイン・テーマ管理
8項目
プラグインはWordPress公式ディレクトリまたは信頼できる出所からのみ取得非公式サイトやクラック版テーマ・プラグインは絶対に使用しない
基本
2年以上更新されていないプラグインを使用していないWPScan DBで脆弱性がないか確認し、必要に応じて代替プラグインを探す→ 脆弱性対策
中級
プラグイン数を必要最小限に抑えているインストール数が多いほど攻撃面が広がる。使わないプラグインは削除する
中級
セキュリティスキャンプラグインを導入している(Wordfence等)Wordfenceの無料版でも基本的なファイルスキャン・ログイン保護が可能→ プラグイン比較
基本
プラグインの自動更新を設定しているかポリシーを決めている自動更新の設定かまたは週次での手動更新ルーティンを確立する
中級
コンタクトフォームにスパム対策(CAPTCHA等)を設定しているContact Form 7+reCAPTCHA v3等でスパム送信を防止する
基本
WordPressコアの自動マイナー更新が有効になっているwp-config.phpの
中級
WP_AUTO_UPDATE_COREがtrueまたは設定されていないことを確認するプラグインのAPIキー・秘密情報を安全に管理しているwp-config.phpで定数として定義し、テーマ・プラグインのコードにハードコードしない
上級
バックアップ体制
6項目
自動バックアップが設定されている(最低でも週次)UpdraftPlus等で自動バックアップを設定する→ バックアップガイド
基本
バックアップをサーバー外部に保存しているGoogle Drive・Dropbox・S3等に保存し、サーバー障害でも失わない体制を構築する
基本
バックアップからの復元テストを実施している定期的にバックアップから実際に復元できることを確認する(年1回以上)
中級
データベースのバックアップも含まれているファイルだけでなくMySQLデータベースも必ずバックアップ対象に含める
基本
複数世代(少なくとも30日分)のバックアップを保持している感染が気づかれない場合に備え、古いバックアップも保持しておく
中級
サーバー会社の自動バックアップも確認・活用しているエックスサーバー等は自動バックアップを提供しているが復元に費用がかかる場合がある
中級
WAF・ファイアウォール・通信保護
6項目
WAFが導入されている(Cloudflare・サーバーWAF等)SQLインジェクション・XSS等の攻撃をエッジでブロックする→ WAFガイド
中級
DDoS攻撃対策が設定されている(Cloudflareのレート制限等)Cloudflareの「Under Attack Mode」の使い方を把握しておく
中級
HSTS(Strict-Transport-Security)ヘッダーを設定しているHTTPSの使用を強制するセキュリティヘッダーを追加する
上級
コメント欄のスパム対策(Akismet・reCAPTCHA)を設定しているコメントスパムはサイトの信頼性とSEOに悪影響を与える
基本
REST APIへのアクセスを適切に制限している不要なエンドポイントへの匿名アクセスを制限する
上級
悪意のあるボットをブロックしている(Wordfence・Cloudflare)既知の悪意のあるボット・IPレンジをブロックする
中級
監視・インシデント対応準備
6項目
稼働監視(Uptime Robot等)を設定しているサイトがダウンした際に5分以内に通知を受け取れる体制を構築する→ 監視ガイド
中級
Google Search Consoleにサイトを登録しセキュリティ通知を有効にしているGoogleがマルウェアを検出した際にメール通知を受け取れるようにする
基本
Wordfenceのアラートメールを設定しているファイル変更・ログインロックアウト・攻撃増加の通知を有効にする
基本
管理操作ログ(WP Activity Log等)を記録している複数の管理者がいる場合は誰が何をしたかを記録する
中級
ハッキング発生時の対応手順を把握している緊急時に何をすべきかを事前に把握しておく→ 復旧手順
中級
セキュリティチェックリストを四半期ごとに見直している新しい脅威に対応するため定期的に対策を見直す
中級
❓ よくある質問
60項目すべて実施しないといけませんか?▼
「基本」ラベルの項目は全サイトで実施することを推奨します。「中級」は一般的なWordPressサイトで推奨、「上級」は重要な個人情報を扱うサイトやECサイトで実施してください。まず「基本」20項目前後を完成させ、その後段階的に「中級」「上級」に取り組むと無理なく進められます。
最も重要な対策はどれですか?▼
最も重要なのは①WordPressとプラグインを常に最新版に保つ(最大のリスク要因)、②強力なパスワードと管理者ユーザー名のadmin以外への変更、③ログイン試行回数の制限、④定期的なバックアップ、⑤SSLの有効化、の5点です。これらだけで大多数の攻撃から守ることができます。
チェックリストは保存できますか?▼
「印刷する」ボタンからPDFとして保存できます。また、このページを開いている間はブラウザのlocalStorageにチェック状態が保存されます(ブラウザのキャッシュをクリアすると初期化されます)。