WordPress 立ち上げ後の最低限のセキュリティ設定

WordPress

WordPressは「立ち上げた直後」が一番危険

WordPressでブログを立ち上げると、
公開したその日から wp-login.phpxmlrpc.php へのアクセスが発生します。

私自身、ConoHa VPS + Ubuntu + WordPress という構成で
ブログを立ち上げて数日後、
特に何もしていないのにログが増え始めたのを見て驚きました。

またスパムのようなコメントやお問い合わせが増えてきます。

WordPressは便利な反面、
初期状態のままでは狙われやすい のが現実です。

この記事では、

  • 難しい設定はしない
  • プラグインを入れすぎない
  • でも最低限はしっかり守る

という方針で、
WordPress初期構築後にやるべきセキュリティ設定と、不要な初期プラグイン整理 をまとめます。

なぜ初期状態のWordPressは狙われるのか?

理由はシンプルです。

  • 世界中に自動攻撃ボットが存在する
  • 管理画面のURLが共通(/wp-admin
  • 新規ドメインは特にチェックされやすい

このため、
「個人ブログだから大丈夫」という考えは通用しません。

ただし、
WordPressだから特別に危険 というわけではありません。

むしろ WordPress は、
情報が豊富で対策方法も確立されており、
正しく設定すれば、比較的簡単にセキュリティを高められるCMS です。

一方で、
その「簡単さ」を理由に初期設定をおろそかにすると、
結果として 狙われやすくなってしまう ——
それが WordPress の特徴でもあります。

最低限やるべきセキュリティ対策【WordPress編】

ということで最低限のセキュリティ対策を進めていきましょう。

管理ユーザー名を admin にしない

推奨は以下ですが、ユーザー名はそこまで重要視しなくても良いかと思います。

  • 推測されやすいユーザー名は避ける
  • ランダム性のあるIDを使う

※ すでに作ってしまった場合は
新しい管理ユーザーを作成 → 古いユーザーを削除 すればOKです。

強力なパスワードを使う

  • 12文字以上
  • 英大文字・小文字・数字・記号を混在
  • 他サービスと使い回さない

無理に自分で覚えようとせず、パスワード管理ツールの利用がおすすめ!

使っていないテーマ・プラグインは削除

無効化だけでは不十分 です。

  • 初期テーマ(Twenty系)
  • 試しに入れたプラグイン

使わないものは削除 することで、攻撃対象を減らせます。

初期で入っていたプラグインの整理

WordPress環境やセットアップ手順によって、
最初から以下のようなプラグインが入っていることがあります。

Akismet Anti-spam

役割

  • コメントやフォーム投稿のスパム対策

判断

  • コメント欄を使わない場合 → 不要
  • コメント運用する場合 → 有効化を検討

※ 商用利用ではAPIキーが必要なため、個人ブログ初期段階では無効で問題ありません。

他にも対策できるプラグインはあるので、
コメントのスパムが増えてきてから検討を始めても十分です。

Hello Dolly

役割

  • 管理画面に歌詞を表示するだけのサンプルプラグイン

結論

  • 実用性なし → 即削除でOK
  • 好きな人は残してください

Yoast Duplicate Post

役割

  • 投稿や固定ページをワンクリックで複製

判断

  • 定型記事を書く人には便利
  • 初期段階では なくても困らない

WPForms Lite

役割

  • お問い合わせフォーム作成プラグイン

WP Mail SMTP のセットアップ時に、
おすすめプラグインとして自動インストール されることがあります。

本サイトでは Contact Form 7 を使用しているため、
WPForms Lite は 不要と判断して削除 しました。

フォームは1種類に統一した方が、管理・セキュリティの面でも安心!

セキュリティプラグインは1つで十分

私が選んだのは Wordfence です。

Wordfenceを選んだ理由

  • 無料版でも十分強力
  • ファイアウォール設定が分かりやすい
  • 不審アクセスを可視化できる

最低限やった設定

  • ファイアウォール有効化
  • ログイン試行回数制限
  • 管理画面への不審アクセス検知

※ 「最適化」ボタンを押して設定ファイルを保存するだけなので、
難しい作業はありません。

サーバー側で最低限やっておきたいこと

WordPressだけ守っても、
サーバーが無防備では意味がありません。

最低限これだけ

  • SSHは鍵認証
  • rootログイン禁止
  • ファイアウォールで 22 / 80 / 443 のみ許可

やりすぎなくていいセキュリティ対策

初期から完璧を目指す必要はありません。

  • CAPTCHAを多重に入れる
  • セキュリティプラグインを複数導入
  • 過剰なアクセス制限

サイトが育ってから強化すれば十分 です。

セキュリティで一番大切なこと

実はこれです。

記事を書き続けること

  • 更新されているサイトは健全
  • 放置されたサイトほど狙われやすい

最初は 80点の防御でOK
継続が最大のセキュリティになります。

まとめ|初期設定は「シンプル」が正解

  • WordPressの初期状態は危険
  • でも、やるべきことは多くない
  • プラグインは厳選する
  • 不要なものは削除する

今回は、
本当に最小限のセキュリティ設定だけ を行いました。

他にも、

  • ログインURLの変更
  • 二要素認証の導入
  • 有料プランのセキュリティプラグインの利用 など

やろうと思えば、対策はいくらでもあります。

ただし、
やりすぎると管理が複雑になり、
初期設定だけで疲れてしまうことも少なくありません。

大切なのは、
ブログの成長に合わせて、必要なセキュリティを少しずつ追加していくこと です。

この記事が、
これから WordPress を始める方にとって
最初の防波堤 になれば嬉しいです。

それでは良い WordPress ライフを!

スポンサーリンク

コメント

タイトルとURLをコピーしました