WordPress乗っ取りを防ぐ更新と二段階認証の最低限設定
この記事の要点
- 乗っ取りの最大の原因は更新放置。本体・テーマ・プラグインの更新が最優先
- 二段階認証はパスワード漏洩後の最後の砦。今日中に設定すべき必須対策
- 設定変更の前にバックアップ。順番を守れば自分でも安全に進められる
「WordPressって、作ったあと放っておいても大丈夫だよね」と思っていませんか。残念ながら、放置こそが乗っ取りの一番の入口です。
この記事では、専門のエンジニアがいない中小企業でも今日から手を動かせるように、乗っ取りを防ぐために最低限やるべき「更新管理」と「二段階認証の設定」を、具体的な手順と判断の基準までお伝えします。難しいところは難しいと正直にお伝えしつつ、どこまで自分でやってどこからプロに任せるべきかの線引きまで整理します。
Contents / 目次
結論。WordPress乗っ取りを防ぐために最低限やるべきこと
結論からお伝えします。WordPressの乗っ取りを防ぐために最低限やるべきことは、「更新」「二段階認証」「バックアップ」の3つです。この3つは、専門知識がなくても今日から始められる、守りの土台です。
WordPressの乗っ取りとは、第三者が管理画面に不正にログインしたり、古いプログラムの穴を突いたりして、サイトを勝手に書き換えたり情報を抜き取ったりすることです。難しく聞こえますが、入口は驚くほど単純です。
攻撃の入口は大きく2つしかありません。
- 古いまま放置されたプログラムの穴(脆弱性):更新を止めた本体・テーマ・プラグインに残る既知の穴
- 推測されやすいID・パスワード:総当たりや漏洩で突破されるログイン情報
だからこそ、穴をふさぐ「更新」と、ログインを守る「二段階認証」が効くのです。
狙われる理由。「うちは小さい会社だから狙われない」は最も危険な思い込みです。攻撃の多くは人が手作業で狙うのではなく、プログラムが自動で世界中のサイトを巡回し、穴のあるサイトを機械的に見つけて攻撃します。規模は関係なく、穴があるかどうかだけが判断材料です。
まず、3つの対策がそれぞれ何を守るのかを整理しておきましょう。下の表を見れば、どれを優先すべきかが一目で分かります。
| 対策 | 何を防ぐか | 手間 | 優先度 |
|---|---|---|---|
| 本体・テーマ・プラグインの更新 | 古いプログラムの穴を突く攻撃 | 月1回・各10〜30分 | ★★★ 最優先 |
| 二段階認証の設定 | パスワード漏洩後の不正ログイン | 初回30分・あとは不要 | ★★★ 最優先 |
| 定期バックアップ | 万一やられた後の復旧不能 | 初回設定後は自動 | ★★★ 最優先 |
| ログインURL変更・回数制限 | 総当たりでのパスワード突破 | 初回20分 | ★★ 余裕があれば |
| 不要プラグイン・テーマの削除 | 使っていない部品からの侵入 | 30分 | ★★ 余裕があれば |
ポイントは、最初の3つを「セットで」やることです。更新だけしても、パスワードが漏れれば乗っ取られます。二段階認証だけ設定しても、古い穴があれば突かれます。3つそろって初めて守りが成立する、と考えてください。
最低限やるべき設定の具体的な手順
ここからは、実際に手を動かす順番をお伝えします。大事なのは順番です。最初にバックアップ、次に更新、最後に二段階認証。この流れを守れば、途中で失敗してもサイトを元に戻せます。
セキュリティ設定をいきなり変更すると、自分自身が管理画面に入れなくなったり、サイトが真っ白になったりすることがあります。必ず先にバックアップを取ってから、1つずつ変更して動作を確認しながら進めてください。
手順1。まずバックアップを取る
最初にやるべきは、今のサイトをまるごと保存しておくことです。バックアップとは、サイトの「ファイル一式」と「データベース(記事や設定の中身)」のコピーを別の場所に保存しておくことです。万一の時、この一手があるかないかで復旧できるかどうかが決まります。
やり方は大きく2つあります。
- プラグインで自動化:バックアップ用のプラグインを入れて自動取得する方法
- サーバー機能を使う:契約しているレンタルサーバーの自動バックアップ機能を使う方法
レンタルサーバーによっては、一定期間分を自動で保存する機能を備えています(保存期間や提供範囲はサーバーにより異なるため、契約中のサーバーの最新仕様をご確認ください)。
初動としては、次の3つを決めるだけで十分です。
- 頻度:更新作業の前と、週1回の自動取得
- 保存先:サーバーと別の場所(クラウドや外部ストレージ)
- 復元テスト:取ったバックアップが本当に戻せるか、最初に一度だけ試す
「バックアップを取っていたのに、いざという時に壊れていて戻せなかった」という失敗は実際によくあります。取るだけで満足せず、最初に一度だけ復元を試しておくと安心です。
手順2。本体・テーマ・プラグインを更新する
乗っ取り対策で最も効果が高いのが、この更新です。WordPressは「本体」「テーマ(見た目の部品)」「プラグイン(機能の部品)」の3つの部品でできていて、それぞれに更新があります。古いバージョンには、すでに世界中に知られてしまった穴が残っているため、放置するほど危険になります。
更新の進め方は次のとおりです。
- 管理画面にログインし、更新が必要な項目(本体・テーマ・プラグイン)を確認する
- バックアップが取れていることを確認する
- プラグインは「一括」ではなく、できれば2〜3個ずつ更新して、その都度サイトの表示を確認する
- 更新後、トップページと問い合わせフォームなど主要なページが正常に動くか目視する
プラグインを一括で更新すると、まれに部品同士が相性問題を起こしてサイトが真っ白になることがあります。少しずつ更新して確認すれば、どれが原因かすぐ分かり、戻すのも簡単です。
自動更新の使いどころ。セキュリティ修正だけは自動更新をオンにし、機能が大きく変わるメジャー更新は手動で様子を見る、という使い分けが現場では安全です。自動更新の設定範囲は利用中のバージョンや管理画面・プラグインによって異なるため、ご自身の環境で確認してください。
なお、大型の新バージョン(メジャーアップデート)は、出た直後は不具合や新たな穴が見つかることがあります。すぐに飛びつかず、しばらく様子を見てから適用すると安全です。基本的な初期設定を見直したい方はWordPress初期設定の完全ガイドもあわせてどうぞ。
手順3。二段階認証を設定する
二段階認証とは、ID・パスワードに加えて「スマホのアプリに表示される6桁の数字」など、もう1つの本人確認を求める仕組みです。かんたんに言うと、玄関の鍵を1つから2つに増やすイメージです。パスワードが漏れても、スマホがなければ入れません。
WordPressで二段階認証を使うときは、専用のプラグインを追加する方法が一般的です。代表的なものに「Two Factor」「WP 2FA」「SiteGuard WP Plugin」などがあります。特徴や日本語対応の有無、最新の対応状況は変わるため、導入前に各プラグインの公式情報で確認してください。どれを選んでも、設定の流れは大きく変わりません。
設定の道筋は次のとおりです。画面上のボタン名はプラグインやバージョンで変わるため、ここでは「何をするか」の流れでお伝えします。
- スマホに認証アプリ(Google Authenticatorなど)を入れておく
- 二段階認証のプラグインを管理画面に追加して有効化する
- 認証方式として「認証アプリ(TOTP)」を選ぶ
- 画面に出るQRコードを、スマホの認証アプリで読み取る
- アプリに表示された6桁の数字を入力して、ひも付けを完了する
- バックアップコードを必ず保存する(紙に印刷するか、安全な場所に保管)
一番やりがちな事故が「スマホを機種変更したら、自分がログインできなくなった」というものです。これを防ぐのがバックアップコードです。設定時に必ず控え、社内の鍵のかかる場所に保管してください。複数人で管理画面を使う場合は、各自のアカウントごとに設定します。
WordPressの開発コミュニティでも、二段階認証は標準的な守りとして広がっています。Make WordPress Coreの発表では、開発コミュニティのサイト(Make Core)で投稿権限を持つ人に二段階認証を必須化したことが説明されています。運営に関わる人ほど先に必須化しているという流れは、私たち中小企業にとっても「やって当たり前」の目安になります。
余裕があれば。ログイン画面とパスワードの強化
ここまでの3つができたら、次の一手としてログイン周りを固めます。優先度は上の3つより一段下ですが、効果は確実です。
- パスワード:英数字・記号を混ぜた12文字以上。意味のない単語をいくつかつなぐ「パスフレーズ」が覚えやすく強い
- ユーザー名:「admin」など推測されやすい名前は使わない
- ログインURL:初期のままにせず変更し、機械的な総当たり攻撃の入口をずらす
- ログイン試行回数:一定回数失敗したら一時的にロックする設定を入れる
きちんと対策するとどう変わるか
結論からいうと、最低限の対策をやり切るだけで「攻撃されても被害が出ない状態」に近づきます。完璧な無敵にはなりませんが、自動で穴を探して回る攻撃は、古いプログラムの穴と弱いパスワードという決まった入口を突いてきます。更新と二段階認証は、まさにその入口をふさぐ対策です。
逆に、放置したまま被害に遭うと何が起きるのか。代表的に起こりうるパターンを、あらかじめイメージしておく価値があります。
- 警告表示:改ざんされたサイトは、Chromeなどのブラウザが「安全ではありません」などの警告を表示することがあります。訪問者が不安になって引き返せば、問い合わせの機会を失いかねません
- 情報漏洩:古いフォームやプラグインの穴を突かれると、顧客のメールアドレスや電話番号が流出し、信用を損なうおそれがあります
- サイト改ざん:トップページが見知らぬ広告サイトに書き換えられ、復旧に時間がかかることがあります
- 踏み台被害:サイトがスパムメールの発信元に悪用され、取引先からの信用まで損なうことがあります
こうした被害に共通するのは、「特別に狙われたわけではなく、穴があったから機械的にやられた」という点です。つまり、穴をふさいでおけば避けられたものがほとんどです。だからこそ、部品の更新がそのまま守りの中心になるのです。
そして見落とされがちですが、こうした対策は「事故を防ぐ」だけでなく「営業の足を引っ張らない」効果もあります。サイトが止まらない、検索から消えない、顧客情報を守れる。これは攻めの集客と同じくらい、地味だけど効く土台です。SSL(通信の暗号化)も含めた基本対策は、常時SSL化の費用とB2Bサイトに不可欠な対策でも整理しています。
かける手間とリターン。最低限の対策にかかる時間は、初回でおおむね半日、その後は月1回30分ほどです。一方、乗っ取られた場合の復旧は、専門業者への依頼が必要になることも多く、その費用や失った信用は数字に表れません。守りの数十分が、最大のコスト削減になります。
よくある失敗と回避法
ここでは、現場で本当によく見かける失敗を3つ取り上げます。どれも「知っていれば防げた」ものばかりです。先に知っておきましょう。
失敗1。バックアップを取らずに設定を変えてしまう
セキュリティを強化しようとログイン制限を一気にかけた結果、設定を間違えて自分が管理画面に入れなくなる。これは非常に多いパターンです。こうなると、最悪の場合サーバーのファイルを直接いじる専門作業が必要になります。
防ぎ方はシンプルです。設定変更は必ずバックアップを取った後に行い、変更は1つずつ、その都度ログインや表示を確認しながら進めます。「複数の設定をまとめて変えて、まとめて確認」をやらないだけで、事故はほぼ防げます。
失敗2。セキュリティプラグインを何個も入れてしまう
「不安だから」と複数のセキュリティプラグインを同時に入れると、機能がぶつかってサイトが重くなったり、不具合を起こしたりします。守りを増やしたつもりが、逆に不安定さを招くわけです。
防ぎ方は「役割で1つずつ選ぶ」ことです。たとえばログイン保護で1つ、バックアップで1つ、というように機能の重複を避けます。多機能なものを1つ入れるか、役割の異なるものを組み合わせるか、どちらかに統一しましょう。入れる前に「この機能、すでに別のプラグインやサーバー側にないか」を確認するのがコツです。
失敗3。使っていないテーマやプラグインを残したままにする
「今は使っていないけど、消すのは怖いから」と無効化したまま放置する。これも危険です。有効化していなくても、ファイルが残っているだけで、そこの古い穴を突かれることがあります。使っていない部品は、家の中に開けっ放しの裏口を残しているようなものです。
防ぎ方は「無効化ではなく削除」です。使う予定のないテーマやプラグインは、無効化で止めるのではなく完全に削除します。消す前にバックアップを取っておけば、後で必要になっても戻せるので安心です。
失敗4。更新の通知が来ているのに後回しにする
管理画面に更新のお知らせが出ているのに、「忙しいから後で」と数か月放置する。攻撃側は、穴が公表されるとすぐに悪用を試みてきます。更新の後回しが、致命傷になりかねません。
防ぎ方は「更新を仕組みにする」ことです。たとえば毎月第1営業日を更新の日と決めてカレンダーに固定する、担当者を1人決める、というだけで放置はぐっと減ります。人の記憶ではなく、仕組みで回すのが続けるコツです。
現場で見えた落とし穴と、内製・外注の線引き
ここからは、教科書的な対策一覧には載らない「現場の本音」をお話しします。実際に中小企業のサイトを見てきて感じる、つまずきやすいポイントです。
まず最近増えているのが、AIで作ったサイトのセキュリティが置き去りになるケースです。いまはAIにコードを書かせて(いわゆるVibe coding)、社内でLPやコーポレートサイトを作れる時代になりました。これ自体はとても良い流れで、私たちも内製化の伴走を歓迎しています。
ただし注意点があります。AIは「動くサイト」は作れますが、「公開後に誰が更新を回すか」「ログインをどう守るか」までは面倒を見てくれません。見た目が完成すると安心してしまい、更新・二段階認証・バックアップが丸ごと抜け落ちる。これがAI内製サイトで最も多い落とし穴です。
そこで、AIで作ったサイトを公開する前のチェックとして、次を必ず確認してください。
- 更新の担当:本体・部品の更新を、誰が・いつやるか決まっているか
- ログインの守り:二段階認証が設定され、パスワードが推測されにくいか
- バックアップ:自動取得と、戻せる確認が済んでいるか
- 不要な部品:AIが入れたまま使っていないプラグインが残っていないか
AIに「このサイトのセキュリティ上の弱点と、最低限やるべき設定を、非エンジニアにも分かるように一覧にして」と相談するのも有効です。AIは穴の候補を洗い出すのは得意です。
ただし最終判断は人がやるべきで、出てきた内容を鵜呑みにせず、本当に必要かを1つずつ確認してください。
もう1つ、率直にお伝えしたい線引きがあります。それは「どこまで自分でやるか」です。更新・二段階認証・バックアップの3つは、この記事の手順で十分に自社でできます。ここは内製で問題ありません。
一方で、すでに乗っ取られた後の復旧、サーバー側の細かい権限設定、止まると売上に直結するECサイトの常時監視などは、無理に自前でやると傷を広げがちです。「予防は自社、緊急時と常時監視はプロ」という分け方が、コストと安心のバランスが取りやすい現実解です。見栄を張らず、苦手なところだけ任せるのが、結局いちばん安く済みます。
よくある質問
本当にうちみたいな小さい会社も狙われるの?
はい、規模は関係ありません。攻撃の多くはプログラムが自動で世界中のサイトを巡回し、穴のあるサイトを機械的に見つけて攻撃します。むしろ対策が手薄な中小企業ほど効率的な標的になりやすいので、油断は禁物です。
更新するとサイトが壊れそうで怖いのですが。
その不安は正しいです。だからこそ先にバックアップを取り、プラグインは2〜3個ずつ更新して都度表示を確認します。万一おかしくなってもバックアップから戻せるので、順番さえ守れば安全に進められます。
二段階認証を設定したらログインが面倒になりませんか?
増えるのはスマホで6桁の数字を入れる数秒だけです。その数秒で不正ログインの入口を大きく減らせると考えれば、十分に見合う手間です。
セキュリティプラグインは何を入れればいいですか?
役割が重複しないよう1つずつ選ぶのが基本です。ログイン保護と二段階認証、バックアップを別々に固めましょう。名称や最新の対応状況は変わるため、導入前に各プラグインの公式情報で確認してください。
もし乗っ取られてしまったらどうすればいい?
まず慌てて消さず、サイトを一時非公開にして被害を止めます。そのうえでバックアップからの復旧や原因の特定が必要ですが、自己流で触ると傷が広がりがちです。緊急時は早めに専門家へ相談するのが安全です。
まとめと、ご相談について
WordPressの乗っ取り対策は、特別な知識よりも「更新・二段階認証・バックアップを止めずに続ける仕組み」そのものです。まずはこの記事の手順で、できるところから始めてみてください。
ここまで読んで、「やることは分かったけど、社内で回し続ける自信がない」「AIで作ったサイトの守りが不安」と感じた方は、現状を整理するだけでも構いません。コレットラボのAI業務システム化支援では、サイトの内製と運用を一緒に設計しています。AI業務システム化の詳細はこちらから、まずは気軽にお話を聞かせてください。
30分の無料相談
現状をお聞きし、優先順位を一緒に整理します。
予約する →
