【2026年最新版】WordPressのセキュリティ対策とは？脆弱性への対処法

2022-06-30 02:53（更新：2026-04-07 03:00）ferret（One Tip編集部）

WordPressは世界シェアNo.1のCMS（コンテンツ管理システム）ですが、その普及率ゆえにサイバー攻撃の最大の標的でもあります。「うちは大丈夫」という油断が、ある日突然サイトの消失や個人情報の流出を招くかもしれません。

本記事では、2026年現在の最新の脅威に基づき、WordPressの脆弱性の要因から企業の担当者が最低限実施すべき「鉄壁のセキュリティ対策」までを網羅して解説します。

■合わせて読みたい資料：リニューアルを検討している方必見！
→BtoBマーケティングのためのサイトリニューアルガイド

BtoBマーケティングのためのサイトリニューアルガイドBtoB企業のリニューアルで成果を出すには「見た目」を変える以上に、「何を伝える」Webサイトに作り変えるが重要なため、マーケティングの見直しも併せて行うことが成功の秘訣です。BtoBのサイトリニューアルを成功に導くための重要なステップを時系列順に解説します。Webマーケティングツール『ferret One』

目次[非表示]

1.なぜWordPressは狙われるのか？脆弱性の主な要因
2.脆弱性を放置することで起こる3つの致命的なデメリット
3.【2026年最新】国内で多発しているトラブル事例と傾向
4.【2026年版】WordPressのセキュリティ対策10選
5.【技術者向け】手動で行う高度なセキュリティ対策
6.WordPressに不正アクセスされてしまったときのセキュリティ対処手順
7.自社で対策し続ける「運用コスト」の壁
8.セキュリティ対策なら有料CMSという選択肢も
9.WordPressのセキュリティ対策を万全に

なぜWordPressは狙われるのか？脆弱性の主な要因

「WordPressはセキュリティが弱い」と言われることがありますが、正確には「利用者が多いため、攻撃のコスパが良い」のが本質です。主な要因は以下の3点です。

圧倒的なシェア
全世界のサイトの約4割がWordPressです。1つの脆弱性を見つければ数百万のサイトを攻撃できるため、攻撃者にとって効率が良いのです。
【2026年の新常識】AIによる自動攻撃
今や攻撃は人間ではなく「AI」が24時間体制で行っています。AIはネット上のサイトを秒単位で巡回し、脆弱性を検知すると即座に高速ログイン試行（ブルートフォースアタック）を仕掛けてきます。
プラグイン・テーマの依存
本体が安全でも、更新が止まった古いプラグインが「裏口」になります。

脆弱性を放置することで起こる3つの致命的なデメリット

「攻撃されても直せばいい」という考えは禁物です。一度の被害で以下の損失を被る可能性があります。

検索順位（SEO）の完全消失
Googleは安全でないサイトを検索結果から除外します。数年かけて育てたサイトが、一晩で検索結果から消える可能性があります。
社会的信用の失墜
顧客情報の流出や、サイトが「詐欺サイトへの踏み台」にされた場合、取引先からの信頼を失い、法的な賠償責任を問われることもあります。
復旧コストの増大
専門業者によるウイルス駆除や復旧には数十万円以上の費用がかかるだけでなく、その間の営業機会も損失します。

【2026年最新】国内で多発しているトラブル事例と傾向

2026年に入り、日本国内の中小企業を狙った攻撃はより「狡猾」かつ「自動化」されています。かつての「愉快犯」による嫌がらせではなく、実利（金銭やデータ）を目的とした組織的な攻撃が目立っています。

事例①特定デバイス・地域を狙った「ステルス・リダイレクト」

2026年前半、国内の製造業やBtoB企業のサイトで多発した事例です。

現象
サイトにアクセスすると、不審な詐欺サイトや偽の警告画面へ飛ばされます。
巧妙な手口
管理者がPCで確認しても異常はなく、「スマホからのアクセスのみ」や「深夜帯のみ」、あるいは「検索エンジン経由での訪問者のみ」といった条件付きで発動する設定が仕込まれていました。
被害
発覚が遅れることで「Googleから安全でないサイト」と認定され、長年積み上げたSEO評価が数日で消滅する企業が相次ぎました。

事例②休眠プラグインを悪用した「永続的バックドア」

数年間更新を止めていた「かつては定番だったプラグイン」が買収され、悪意あるコードが配布された事例です。

現象
パスワードを最強の文字列に変更しても、翌日には再び改ざんされる事態が発生しました。
巧妙な手口
攻撃者は侵入後、WordPressのシステムファイルの深い階層に、正常なコードに擬態した「隠し扉（バックドア）」を設置。パスワードを変えても、その扉からいつでも再侵入できる状態を作られていました。
被害
「停止中のプラグインなら安全」という神話が崩れ、不要なプラグインをサーバーに残していること自体がリスクであると再認識されました。

事例③AIによる超高速「辞書・総当たり攻撃」

2026年現在、攻撃の9割以上はAIによって自動化されています。

現象
地方自治体の関連サイトや中小企業のコーポレートサイトが、短時間で一斉に乗っ取られる被害が続出しました。
巧妙な手口
AIがSNSや過去の流出データから、その企業の「パスワードの癖（社名や創業年、担当者名など）」を学習。1秒間に数万通りの試行を行うことで、二要素認証のないサイトを数分で突破しました。
被害
ログインを許した結果、顧客名簿のダウンロードや、サイトを「踏み台」にしたさらなる他社への攻撃に悪用されるケースが目立っています。

関連記事：WordPressの脆弱性によるリスクとは？チェック方法と対策

WordPressの脆弱性によるリスクとは？チェック方法と対策WordPressはオープンソース型のCMSで、構成システムが公開されているため、悪意のあるハッカーに狙われやすいというデメリットがあります。本記事では、WordPressの脆弱性について詳しく解説し、Webマーケティングの担当者でも始められるセキュリティ対策方法を解説します。Webマーケティングツール『ferret One』

【2026年版】WordPressのセキュリティ対策10選

「WordPressのセキュリティ対策が難しそう」と感じる方向けに、以下のやり方を紹介します。

WordPress本体・プラグイン・テーマを常に最新にする
PHP 8.2 / 8.3 へのアップデート
ログインURLの変更と「二要素認証（2FA）」の必須化
WAF（Web Application Firewall）の有効化
xmlrpc.php の停止
常時SSL化（HTTPS）の徹底
データベースのプレフィックス（接頭辞）変更
不要なリソース（プラグイン・テーマ）の完全削除
ファイルパーミッションの最適化
3世代以上の「自動バックアップ」と復元テスト

これらの対策はすべて行っておくべきですが、Webサイトによってはすでに対策されているものもあるでしょう。現在行うべきセキュリティ対策が何かを調べる際は、WordPressのデフォルト機能で確認可能です。ダッシュボードの「ツール」から「サイトヘルス」を選択すると、現在行うべきセキュリティ対策を提案してくれます。

以降では、サイトヘルスで提案される代表的な対策に加えて、初心者でもできる必要なセキュリティ対策を解説します。

WordPress本体・プラグイン・テーマを常に最新にする

セキュリティの基本中の基本です。脆弱性の多くは「既知のバグ」を突かれます。

本体だけでなくテーマやプラグインも「自動更新」を有効化することを推奨します。
ただし、メジャーアップデート（例：WordPress 7.0等）時はサイト表示が崩れるリスクがあるため、必ず事前にバックアップを取り、テスト環境で確認する運用フローを構築しましょう。

PHP 8.2 / 8.3 へのアップデート

WordPressを動かす言語「PHP」のバージョン管理です。

2026年現在、PHP 8.1以前は公式サポートが完全に終了しており、使い続けること自体がセキュリティホールとなります。サーバーの管理パネルから最新の安定版（8.3以降推奨）へ切り替えてください。これだけでサイトの動作速度も向上し、SEOにもプラスに働きます。

ログインURLの変更と「二要素認証（2FA）」の必須化

標準のログインURL（/wp-admin/）は攻撃者に知れ渡っています。

SiteGuard WP Plugin等でログインURLを推測困難なものに変更してください。その上で、パスワードだけでなくスマホアプリ等による二要素認証を導入します。2026年現在、AIによる高速なパスワード突破（総当たり攻撃）を防ぐには、二要素認証が最も有効な手段です。

WAF（Web Application Firewall）の有効化

サーバーに届く前の段階で「不正な通信」を検知・遮断する壁です。

エックスサーバーやConoHa WINGなど、多くのレンタルサーバーで標準提供されています。ただし、記事の更新時に「403エラー」が出て保存できない場合は、WAFのログを確認し、特定の通信だけを除外設定するなどの調整が必要です。

xmlrpc.php の停止

外部アプリからWordPressを操作するための機能ですが、現在は攻撃の踏み台にされるケースが非常に多い「穴」です。

スマホアプリから投稿しないのであれば、プラグインや .htaccess の書き換えによってこの機能を無効化してください。これだけで総当たり攻撃のリスクを大幅に減らせます。

常時SSL化（HTTPS）の徹底

SSL化とは、URL冒頭の「http」を「https」に変更する設定を行うことです。常時SSL化は、Webサイトと閲覧するユーザーとの通信を暗号化して、第三者からのデータ改ざんや盗聴、なりすましを防ぐ効果があります。

URL冒頭がhttpsの状態でないと、Webページ閲覧時に警告文が表示されてしまい、ユーザーの離脱にもつながる可能性があります。またSSL化は、セキュリティ対策できるだけではなく、SEOにも有効なので設定されていない場合はすぐに設定しておきましょう。

レンタルサーバーを利用しているのであれば、サーバー会社のアカウントから簡単に設定可能です。

データベースのプレフィックス（接頭辞）変更

データベースのテーブル名の先頭につく文字列（初期設定は wp_）を変更します。

攻撃者は wp_users（ユーザー情報テーブル）などを狙ってSQLインジェクションを仕掛けます。ここを xyz123_ のような独自の文字列に変えることで、攻撃の難易度を飛躍的に高められます。既存サイトで変更する場合は、専用のプラグインを使用するのが安全です。

不要なリソース（プラグイン・テーマ）の完全削除

不必要なテーマとプラグインは、無効化もしくは削除すればセキュリティ対策になります。

また、長期間アップデートされていないプラグインは、不正アクセスのリスクがあるため、無効化もしくは削除してください。開発者が定期的にアップデートを行っていないプラグインもあります。セキュリティリスクを考えると、開発者が定期的にバージョンを更新しているプラグインを選ぶといいでしょう。

セキュリティ対策もプラグインの導入で済ませる手段もありますが、アップデートを怠るとプラグイン自体の脆弱性を狙われる可能性もあります。常に最新の状態を保つなどして管理が煩雑にならないよう注意が必要です。

プラグインは必要な分だけインストールして管理しやすくしておく方がいいでしょう

ファイルパーミッションの最適化

サーバー上のファイルに対する「読み・書き・実行」の権限設定です。

特にサイトの心臓部である wp-config.php は、外部から書き換えられないようパーミッションを「400」や「444（読み取り専用）」に設定するのが鉄則です。これにより、万が一侵入されても被害を最小限に抑えられます。

3世代以上の「自動バックアップ」と復元テスト

どれだけ対策をしても、新種の攻撃（ゼロデイ攻撃）を100%防ぐことは不可能です。

毎日自動でバックアップを取る設定（UpdraftPlus等）に加え、攻撃に気づくまでのタイムラグを考慮し、3日〜1週間分程度の「世代管理」を行ってください。また、「いざという時に本当に元に戻せるか」を一度テストしておくことが、真のBCP（事業継続計画）対策となります。

【技術者向け】手動で行う高度なセキュリティ対策

WordPressの内部を編集できる場合は、以下の2つの対策を行いましょう。これらはプラグインに頼らず、サーバーの根本で攻撃を遮断する非常に強力な手法です。

管理画面へのIP制限
「wp-config.php」の権限設定

どのような対策かを以下で解説します。

管理画面へのIP制限

WordPressの管理画面に特定のIPアドレスしかログインできない設定を行うのは、セキュリティ対策として効果的です。会社のIPアドレスでしか管理画面にログインできないよう設定すれば、外部からの不正アクセスのリスクを軽減できます。

レンタルサーバーを利用している場合は、サーバー会社ごとのアカウント内でIPアドレス制限の設定が可能です。代表的なレンタルサーバー3社の設定方法は、以下を参考にしてみてください。

エックスサーバー：https://www.xserver.ne.jp/manual/man_server_limit.php
ロリポップ：https://lolipop.jp/manual/user/acl/
さくらのレンタルサーバー：https://help.sakura.ad.jp/rs/2196/

.htaccessを直接編集する場合

サーバー内の.htaccessファイルを編集して制限をかけることも可能です。
【2026年版　最新の記述形式】
従来の「Order deny,allow」形式は古いサーバー向けです。現在の主流であるApache 2.4以降では以下の「Require」形式が推奨されます。

<Files wp-login.php>
<RequireAny>
Require ip 123.456.78.910 # ここに自社の固定IPアドレスを入力
# 複数の拠点がある場合は、行を追加して指定できます
</RequireAny>
</Files>

※注意：固定IPアドレス環境でない場合にこれを設定すると、自分もログインできなくなるため必ず事前に確認してください。

「wp-config.php」の権限設定

データベース情報を保有する「wp-config.php」というファイルが不正アクセスされると、WordPress全体を乗っ取られてしまう可能性があります。wp-config.phpファイルの権限設定を変更して、管理者以外のアクセスを禁止することでリスク軽減が可能です。

wp-config.phpファイルの権限設定手順は以下の通りです。

FTPソフトウェア（FFFTP or FileZilla）でWordPressにアクセス
「public_hrml」フォルダにある「wp-config.php」を選択
サーバー属性を「400」または「440」に変更

【さらに強固に】管理画面からのテーマ・プラグイン編集を禁止する

万が一、管理画面に侵入された場合に備え、wp-config.php 内に以下のコードを追記することで、管理画面上でのファイル改ざんを防ぐことができます。

// wp-config.php の「編集はここまでです」という行より上に追記
define( 'DISALLOW_FILE_EDIT', true );

これにより、攻撃者が管理画面からバックドア（ウイルス）を仕込むための「テーマ編集」機能が無効化されます。

WordPressに不正アクセスされてしまったときのセキュリティ対処手順

万が一、サイトの改ざんや身に覚えのないログイン通知など、不正アクセスの兆候に気づいたら、パニックにならず以下の4ステップで迅速に対応してください。

サイトの隔離と状況確認（被害を広げない）
サーバーデータの「世代」を見極めた復元
あらゆる「鍵」の全刷新
原因の特定と脆弱性の修正

以下で詳しく解説します。

1.サイトの隔離と状況確認（被害を広げない）

まずは、一般の閲覧者が被害に遭わないよう、また攻撃者による操作を遮断するためにサイトを隔離します。

メンテナンスモードへの切り替え
プラグインや .htaccess を使用し、サイト全体をメンテナンス画面に切り替えます。
管理画面へのIP制限
先述した .htaccess の設定で、自社のIPアドレス以外からのアクセスをすべて遮断します。
不審なユーザーの確認
WordPressの管理画面「ユーザー一覧」に、身に覚えのない管理者ユーザーが追加されていないか確認し、あれば即座に削除します。

2.サーバーデータの「世代」を見極めた復元

単にバックアップを戻すだけでは不十分です。攻撃者は数週間前から侵入し、「バックドア（裏口）」を仕込んでいる可能性があるからです。

データの全削除とクリーンインストール
現在サーバーにあるファイルはすべて汚染されている可能性があるため、一度全削除します。
「汚染されていない世代」の特定
1日前ではなく、3日前、1週間前など、異常が発生する前のバックアップデータを選択して復元します。
差分チェック
復元後、身に覚えのないPHPファイル（例：wp-include/ 内のランダムな英数字のファイルなど）が混入していないか、セキュリティスキャンツールで確認します。

3.あらゆる「鍵」の全刷新

パスワードの変更は、WordPressのログイン画面だけでは足りません。侵入経路をすべて塞ぐ必要があります。

管理者パスワード
すべてのユーザー（特に管理者権限）のパスワードを、16文字以上のランダムな文字列に変更。
FTP/SSHアカウント
サーバー接続用のパスワードを刷新。
データベース（MySQL）パスワード
wp-config.php に記載されているDB接続パスワードを変更（サーバー管理パネル側での操作も必要です）。
認証用ユニークキー
wp-config.php 内にある「認証用ユニークキー（SALT）」を再生成して貼り替えます。これにより、現在ログイン中のすべてのセッションが強制終了され、攻撃者をログアウトさせることができます。

4.原因の特定と脆弱性の修正

復元してパスワードを変えても、侵入された「穴（脆弱性）」を塞がない限り、AI攻撃によって数時間以内に再感染します。

ログの解析
サーバーのアクセスログを確認し、どのファイルに対して不正なアクセスがあったかを特定します。
脆弱な箇所の排除
侵入経路となった古いプラグインやテーマを削除し、PHPバージョンを最新に引き上げます。

自社での特定が困難な場合は、被害が拡大する前に専門のセキュリティ調査会社へ依頼することを強く推奨します。

自社で対策し続ける「運用コスト」の壁

ここまで紹介した対策は、一度やれば終わりではありません。最新の巧妙な攻撃に耐え続けるには、以下の負担が一生つきまといます。

頻繁なアップデート対応と表示崩れの確認
WAFの誤検知調整やPHPバージョンの管理
AI攻撃に備えたリアルタイムの監視

これらをWebマーケターや広報担当者が片手間で行うのは、本来の業務（成果を出すこと）を妨げる大きなリスクとなります。

セキュリティ対策なら有料CMSという選択肢も

セキュリティ対策を自社で継続的に、かつ完璧に行うのが難しい場合は、あらかじめ強固な防御体制が組み込まれているクラウド型CMSへ移行するのも賢い選択です。

サイト運用を外注する選択肢もありますが、月々の保守費用の発生や、ちょっとした修正のたびに発生するやり取りのタイムロスなど、デメリットも少なくありません。また、外注先のスキルセットにセキュリティレベルが依存してしまう懸念もあります。

Webサイト運用の理想は、「保守管理」にリソースを奪われず、自社でスピーディーにPDCAを回せる状態です。そのためには、セキュリティ対策が「標準装備」されており、かつマーケティング担当者が直感的に操作できるノーコード型CMSが最適です。

BtoB特化型CMS「ferret One」で攻めのマーケティングを

BtoBマーケティングに特化した「ferret One」なら、本記事で解説したような複雑なセキュリティ対策を、ユーザー側で意識する必要はありません。

自動アップデートとサーバー保守
脆弱性への対応やサーバーの脆弱性診断、PHPのバージョン管理などはすべてシステム側で完結。
強固なインフラ体制
WAFや常時SSL、不正アクセス監視などが標準実装されており、追加のプラグイン管理も不要です。
マーケティングに専念できる環境
専門知識がない担当者でも、セキュリティの不安に怯えることなく、施策の実行と改善に100%集中できます。

WordPressのセキュリティ対策を万全に

WordPressは世界で最も利用されている自由度の高いCMSですが、常に進化する巧妙なサイバー攻撃に立ち向かうには、相応の知識と継続的なメンテナンスが不可欠です。

改めて、以下の必須対策ができているかチェックしてみてください。

AI攻撃を防ぐ「二要素認証」と「ログインURL変更」
公式サポート期限内の「PHP 8.2/8.3」への更新
サーバー側「WAF」の有効化と誤検知の調整
「3世代以上の自動バックアップ」と復元体制

もし、これらの保守管理を自社で行うことに限界を感じているのであれば、セキュリティをプロに任せ、成果を出すための業務に集中するという決断も、立派なリスクマネジメントです。

ferret Oneは、セキュリティ対策はもちろん、BtoBマーケティングの生産性を最大化するためのパートナーとして、貴社のWebサイト運用を支えます。

あなたのサイトは今のままで大丈夫ですか？ セキュリティに不安がある方、保守コストを削減したい方は、ぜひ一度、ferret Oneの機能をご覧ください。

>ferret Oneサービス紹介資料のダウンロード【無料】はこちら

ferret（One Tip編集部）

One Tipは、BtoBマーケティングに特化した支援サービス「ferret」から生まれた、「リード獲得の打ち手が見つかるメディア」です。 BtoBマーケティングにかかわる人にとって、価値あるコンテンツをお届けしていきます。 Twitter：＠ferret_One_

【2026年最新版】WordPressのセキュリティ対策とは？ 脆弱性への対処法

なぜWordPressは狙われるのか？ 脆弱性の主な要因