「自分のWordPressサイト、セキュリティは大丈夫だろうか」——そう思いながらも、何を確認すればいいかわからないという方は多いのではないでしょうか。
今回はサイトURLを入力するだけでWordPressサイトのセキュリティリスクを自動チェックするツールを作りました。SSL・管理画面URL・ヘッダー設定・基本構成など複数の観点から診断します。
チェックする項目
今回のツールでチェックできる項目は以下のとおりです。
| チェック項目 | 内容 | リスクレベル |
|---|---|---|
| SSL証明書 | httpsで通信が暗号化されているか | 🔴 高 |
| 管理画面URL | デフォルトの/wp-adminがそのまま使われているか | 🔴 高 |
| wp-login.phpの露出 | ログインページが直接アクセスできる状態か | 🔴 高 |
| xmlrpc.phpの露出 | 攻撃の踏み台になりやすいXML-RPCが有効か | 🟠 中 |
| WordPressバージョン露出 | バージョン情報がHTMLに記載されていないか | 🟠 中 |
| readme.htmlの存在 | バージョン情報が含まれるファイルが公開されていないか | 🟡 低 |
| ドメインのHTTPS強制 | httpでアクセスした際にhttpsにリダイレクトされるか | 🟠 中 |
実際に診断してみる(デモ)
WordPressサイトのURLを入力して「診断する」を押してください。チェック結果と改善アドバイスが表示されます。
診断で「要対応」が出やすい項目とその対策
① 管理画面URLの変更
デフォルトの/wp-adminはボット攻撃の標的になりやすい場所です。「WPS Hide Login」などのプラグインでURLを変更するだけで、攻撃の大半を防げます。設定は5分以内に完了します。
② ログイン試行回数の制限
パスワードを総当たりで試すブルートフォース攻撃への対策です。「Limit Login Attempts Reloaded」などのプラグインで、一定回数ログインに失敗したIPをブロックできます。
③ xmlrpc.phpの無効化
WordPressのXML-RPC機能はJetpackなど一部のプラグインで使われますが、使っていない場合は無効化が推奨されます。「Disable XML-RPC」プラグインで一発で無効化できます。
④ バージョン情報の非公開
WordPressのバージョンが公開されていると、既知の脆弱性を突かれるリスクがあります。子テーマのfunctions.phpに以下を追加するだけで非公開にできます。
remove_action('wp_head', 'wp_generator');⑤ readme.htmlの削除
WordPressをインストールすると自動生成されるreadme.htmlにはバージョン情報が含まれます。FTPでアクセスしてWordPressのルートディレクトリから削除しておきましょう。
WordPressセキュリティの基本3原則
| 原則 | 具体的な対策 | 難易度 |
|---|---|---|
| 常に最新を保つ | WordPress本体・テーマ・プラグインを定期的に更新する | ★☆☆ |
| 侵入口を減らす | 管理画面URL変更・xmlrpc無効化・未使用プラグイン削除 | ★★☆ |
| 被害を最小化する | 定期バックアップ・WAF導入・ログ監視 | ★★★ |
よくある質問
このツールで実際にサーバーに接続していますか?
いいえ。このデモはURLの構造とプロトコル(http/https)をもとにしたシミュレーション診断です。実際にサーバーやファイルへのアクセスは行っていません。本格的なセキュリティ診断には実際のサーバー環境への調査が必要です。
スコアが高ければ安全ですか?
このデモのスコアは参考値です。実際のセキュリティはプラグインの状態・パスワードの強度・バックアップの有無・ホスティング環境など、URLだけではわからない要素に大きく左右されます。
WordPressの保守管理を依頼できますか?
はい、対応しています。プラグイン更新・バックアップ設定・ログイン保護・マルウェア対策など、WordPressの保守管理を月額でお任せいただけます。詳しくはお問い合わせください。
まとめ
WordPressのセキュリティは「後でやろう」と思っているうちに被害が出るケースがほとんどです。管理画面URLの変更・ログイン制限・定期バックアップの3つだけでも、今すぐ対応しておくことをおすすめします。
保守管理の代行・セキュリティ強化のご相談は、お気軽にお問い合わせください。要件確認から設定・運用まで一貫して対応します。