WordPressセキュリティ対策
チェックリスト【20項目】

英大文字・小文字・数字・記号を含む16文字以上のパスワードを設定します。「admin」「password」「123456」などの簡単なパスワードは絶対に使用しないでください。パスワードマネージャーの利用を推奨します。

デフォルトのユーザー名「admin」は攻撃者に狙われやすいため、推測されにくいユーザー名に変更します。新しい管理者アカウントを作成し、元の「admin」アカウントを削除する方法が安全です。

Google AuthenticatorやAuthyなどの認証アプリを使った二段階認証を設定します。「Two Factor Authentication」プラグインで簡単に導入できます。パスワードが漏洩しても不正ログインを防げます。

ブルートフォース攻撃（総当たり攻撃）を防ぐため、ログイン失敗回数に制限を設けます。「Limit Login Attempts Reloaded」プラグインで、3〜5回失敗したらロックアウトする設定が効果的です。

WordPress本体のアップデートには、セキュリティパッチが含まれています。マイナーアップデート（セキュリティ修正）は自動更新を有効にし、メジャーアップデートは互換性を確認してから適用しましょう。

プラグインの脆弱性はWordPressサイトへの攻撃の最大の入口です。定期的に（最低でも週1回）プラグインの更新を確認し、速やかに適用してください。

使用中のテーマも定期的に更新します。子テーマを使用している場合は、親テーマの更新で子テーマのカスタマイズが失われないことを確認してから更新してください。

無効化しているだけのプラグインやテーマにも脆弱性が存在する可能性があります。使用していないものは「無効化」ではなく「削除」してください。デフォルトテーマは1つだけ残しておけば十分です。

WordPress公式リポジトリまたは信頼できる開発元からのみインストールしてください。無料で配布されている有料テーマ・プラグイン（Nulled版）にはマルウェアが仕込まれている可能性が非常に高いです。

wp-config.phpは400または440、ディレクトリは755、ファイルは644に設定します。777（フルアクセス）に設定されているファイルやディレクトリがないか確認してください。

wp-config.phpにはデータベースの接続情報が含まれています。.htaccessで外部からのアクセスを禁止し、可能であればドキュメントルートの1つ上のディレクトリに移動させます。

.htaccessに「Options -Indexes」を追加して、ディレクトリの内容が一覧表示されないようにします。これにより、攻撃者がサーバー内のファイル構造を把握するのを防ぎます。

wp-config.phpに「define('DISALLOW_FILE_EDIT', true);」を追加して、管理画面からのテーマ・プラグインのファイル編集を無効にします。攻撃者が管理画面に侵入した際の被害を軽減できます。

デフォルトの/wp-admin/や/wp-login.phpは攻撃者に狙われやすいため、「SiteGuard WP Plugin」や「WPS Hide Login」で独自のURLに変更します。日本語対応のSiteGuardが特におすすめです。

Wordfence Security、SiteGuard WP Plugin、Sucuri Securityなどの総合セキュリティプラグインを導入します。ファイアウォール、マルウェアスキャン、ログイン保護などの機能を一括で利用できます。

サイト全体をHTTPS化し、通信を暗号化します。多くのレンタルサーバーでは無料のSSL証明書（Let's Encrypt）が利用可能です。SEO面でもHTTPSは必須になっています。

XML-RPCはブルートフォース攻撃やDDoS攻撃に悪用されることがあります。外部アプリからの投稿機能を使用していない場合は、.htaccessやプラグインで無効にしましょう。

「UpdraftPlus」や「BackWPup」などのプラグインで、ファイルとデータベースの自動バックアップを設定します。最低でも週1回、可能であれば毎日のバックアップを推奨します。

バックアップデータはサーバーとは別の場所（Google Drive、Dropbox、Amazon S3など）に保存します。サーバーが攻撃された場合、サーバー上のバックアップも被害を受ける可能性があります。

バックアップが正常に復元できるか、定期的にテストします。いざという時にバックアップが壊れていて復元できないケースは珍しくありません。