最近では、ブログ運営にWordPressを利用している方も多いのではないでしょうか?
私の運営しているこのブログと「オリジナルフリーイラストサイトきみよの部屋」もWordPressで作成しています。
WordPressは世界中で利用されているCMS(コンテンツ管理システム)で、そのシェアは40%以上にも及ぶそうです。
しかし、その人気ゆえにハッキングの標的になりやすいのも事実。
特に、ブログ収益が多くなると
「サイトが乗っ取られたらどうしよう?」
という不安を感じますよね?
そこで今回は、WordPressを安全に運用するためのセキュリティ対策と、収益化に役立つプラグインを厳選して紹介したいと思います。
まだWordPressのセキュリティ対策をしていない方は、是非参考にしてみてください。
WordPressのセキュリティ対策
WordPressはデフォルトのまま使っていると脆弱性が多く攻撃されるリスクが高まるという事はご存知でしょうか?しかし、安心してください。
基本対策を行うことで怖いハッキングを未然に防ぐことができます。
① ユーザー名「admin」は使用しない
WordPressではのデフォルトユーザー名「admin」がついています。
しかし「admin」は、ハッカーが最初に試すIDと言われています。
それほど多くの人が「admin」を変更していないのです。
そこで、まず最初に行っていただきたいのが
「adminと異なるユーザー名を設定する」
という事です。
WordPressの仕様上、ユーザー名は直接変更できないため、以下の方法で対策します。
>新しい管理者アカウントを作成し、古い「admin」を削除(推奨)<
一番安全で簡単な方法は、新しい管理者アカウントを作成して、古い「admin」アカウントを削除することです。
手順
1. 新しい管理者ユーザーを作成
• WordPressの管理画面にログイン
• 「ユーザー」→「新規ユーザーを追加」 をクリック
• 「新しいユーザー名」欄に、推測されにくい新しい管理者名を入力(例:mysecureadmin)
• メールアドレス、パスワードを設定
• 「権限グループ」を「管理者」に設定
• 「新規ユーザーを追加」ボタンをクリック
2. 新しいアカウントでログイン
• 作成した新しい管理者アカウントでログインし直す
3. 古い「admin」アカウントを削除
• 「ユーザー」→「ユーザー一覧」 を開く
• 「admin」アカウントを削除
• 「投稿を他のユーザーに割り当てる」 で、新しい管理者アカウントを選択
(投稿やページが消えないようにする)
4. 完了!
• これで「admin」というユーザー名は削除され、より安全なアカウントで運営できます。
② 強力なパスワードを設定
・「123456」「password」などの単純なパスワードは厳禁!
・英数字、大文字小文字、記号を組み合わせた長めのパスワードを設定しましょう。
*ちなみに私は26文字です(笑)
③ ログイン試行回数を制限
ブルートフォースアタック(総当たり攻撃)を防ぐため、ログイン試行回数を制限するプラグインを導入しましょう。
そこで、WordPressのログイン試行回数を制限できるおすすめのプラグインを3つご紹介します。
これらを導入すると、ブルートフォース攻撃(総当たり攻撃)を防ぐことができ、セキュリティが強化されます。
1. Limit Login Attempts Reloaded(定番&シンプル)
✅ 特徴
• ログイン試行回数を設定できる(例:3回失敗でロック)
• IPアドレスを記録&ブロック
• カスタムエラーメッセージの設定可能
👉 おすすめポイント
初心者でも簡単に設定できる&軽量でサイトに負担をかけにくい!
2. Login LockDown(シンプル&軽量)
✅ 特徴
• 設定した回数のログイン失敗でIPをブロック
• 一定時間が経過するまで再試行不可
• カスタマイズ性があり、ブロック時間やログイン試行回数を自由に設定可能
👉 おすすめポイント
機能は必要最低限で、軽量で動作が速いのでサーバー負荷を抑えられます。
3. Wordfence Security(総合セキュリティ&ファイアウォール機能つき)
✅ 特徴
• ログイン試行回数制限+ファイアウォールで不正アクセスをブロック
• ログイン試行回数や時間制限を細かく設定可能
• 不正アクセスのIPアドレスを自動ブロック
👉 おすすめポイント
すでにWordfenceを使っているなら、追加のプラグインは不要という優れものです。
私もこれを導入しています。
ログイン回数を制限するプラグイン・どれを選べばいい?
💡 初心者なら「Limit Login Attempts Reloaded」or「Login LockDown」がおすすめ!
💡 すでにWordfenceを使っているなら、追加不要です!
🔹 設定の時間等の目安(Limit Login Attempts Reloadedの場合)
1. プラグインをインストール&有効化
• 「プラグイン」→「新規追加」→「Limit Login Attempts Reloaded」を検索
• 「今すぐインストール」→「有効化」
設定を変更
• 許可するログイン試行回数:3〜5回
• ロック時間:15分〜30分
• 最大ロック時間:24時間(攻撃が多い場合)
• ログイン失敗後のログ通知を有効にする
3. 設定を保存して完了です。!
>>簡単にまとめると・・
✅ 一番簡単でおすすめ → 「Limit Login Attempts Reloaded」
✅ 超軽量&シンプル → 「Login LockDown」
✅ 総合セキュリティ対策済みなら → 「Wordfence Security(追加不要)」
という感じです。参考までに!
④ 定期的なバックアップ
万が一のために、定期的にバックアップを取ることで、サイトをすぐに復元できます。
⑤ 不要なプラグイン・テーマは削除
古いプラグインや使わないテーマを放置すると、脆弱性の原因になります。定期的に整理しましょう。
WordPressの乗っ取り防止におすすめのプラグイン
セキュリティ対策を強化するために、以下のプラグインを導入するのもオススメです。
① Wordfence Security
特徴
・不正アクセスを防ぐファイアウォール搭載
・ログイン試行回数の制限が可能
・リアルタイムで攻撃を検出しブロック
→無料版でも十分な機能を備えており、セキュリティ対策の基本として導入すべきプラグイン!
② iThemes Security
特徴
・ログイン試行回数の制限
・ブルートフォース攻撃をブロック
・二段階認証(2FA)の導入が可能
→初心者でも設定しやすく、WordPressのセキュリティを強化できるプラグイン!
③ UpdraftPlus(バックアップ用)
特徴
・サイト全体の自動バックアップが可能
・Google DriveやDropboxなどに保存できる
・ワンクリックで復元できる
→サイトが乗っ取られたり、誤操作でデータを消してしまったときに、すぐに復元できる安心のバックアッププラグイン!
④ WPS Hide Login
特徴
・ログインURLを「wp-login.php」から変更できる
・不正アクセスを大幅に減らせる
・WordfenceやiThemes Securityと併用可能
→ハッカーがログイン画面にアクセスできなくなるため、ブルートフォース攻撃を防ぎやすくなります。
| プラグイン名 | 役割 | Wordfenceと併用の必要性 |
|---|---|---|
| WPS Hide Login | ログインURLを変更し、不正アクセスを防ぐ | ◎ 併用推奨 |
| UpdraftPlus | バックアップ・復元機能 | ◎ 必須 |
| iThemes Security | 二段階認証(2FA)を追加 | ○ 検討 |
💡 結論:二段階認証を使いたいなら追加導入を検討しましょう!
[補足]マルチで有効なWordfenceを詳しく分析
上記で説明したようにWordfenceはとても優秀なプラグインです。
私も導入しているこのWordfenceですが、これだけで十分? 他のプラグインを追加すべき?と思いますよね。
Wordfenceは強力なセキュリティプラグインで、多くの保護機能を備えていますが、以下のようなケースでは補助的なプラグインの導入を検討するとより安全になります。
- ログインURLの変更(WPS Hide Login)
>おすすめ理由
Wordfenceはログイン試行回数を制限できますが、そもそも不正アクセスが試みられない環境を作ることが重要です。
WPS Hide Loginを導入すると、デフォルトのwp-login.phpを変更でき、ハッカーがログインページ自体を見つけられなくなるため、より安全になります。
💡 結論:Wordfenceと併用すると効果的!
- バックアップ(UpdraftPlus)
>おすすめ理由
Wordfenceは攻撃を防ぐことはできますが、万が一サイトが破壊された場合の復旧機能はありません。そのため、定期的なバックアップは必須です。
UpdraftPlusを使えば、Google DriveやDropboxに自動でバックアップが取れ、1クリックで復元できます。
💡 結論:必須!Wordfenceと別途導入推奨。
- 二段階認証(iThemes Security)
> おすすめ理由
Wordfenceはログイン保護を強化できますが、標準では二段階認証(2FA)がついていません。
iThemes Securityを導入すると、Google Authenticatorなどを使ってログイン時にワンタイムパスワードを追加でき、乗っ取りを防ぐ効果が高まります。
Wordfenceは基本の防御として優秀ですが、バックアップ(UpdraftPlus)だけは必ず入れるべきです。
さらに、ログインURLを隠す(WPS Hide Login)と、セキュリティレベルが上がります。
もし「どこまで強化すればいいか迷う」場合は、まずは
✅ Wordfence + UpdraftPlus を導入し、余裕があれば WPS Hide Login も追加すると安心です!
設定方法や導入手順もサポートできますので、気軽にご相談ください!
WordPressの収益化に役立つプラグイン
セキュリティ対策を万全にしたら、収益化をさらに加速させるプラグインも導入しましょう。
① Ad Inserter(Google AdSenseの管理)
特徴
・Google AdSenseの広告を簡単に配置できる
・記事の途中や最後など、好きな場所に広告を入れられる
・クリック率を最適化する設定が可能
→手動でコードを貼る手間が省け、収益アップにつながる!
② Rank Math SEO(SEO対策)
特徴
・記事のSEOスコアをリアルタイムで表示
・キーワード最適化のアドバイスを提供
・検索順位の追跡機能あり
→検索流入を増やすことで、広告収益やアフィリエイト収益を伸ばせる!
③ WP Fastest Cache(サイト表示速度向上)
特徴
・キャッシュ機能でページの読み込み速度を高速化
・GoogleのCore Web Vitals(ページ速度評価)向上
・ユーザー離脱を防ぎ、SEOにも好影響
→ページの表示速度が遅いと、訪問者が離脱し収益が落ちるため、導入必須!
WordPressの乗っ取り対策まとめ
収益化が進むほど、WordPressサイトのセキュリティ対策は重要になります。「乗っ取り対策」と「収益最大化」を両立するため、以下のプラグインを活用しましょう。
🔒 セキュリティ強化
• Wordfence Security(ファイアウォール & 不正アクセス防止)
• iThemes Security(二段階認証 & ログイン制限)
• UpdraftPlus(定期バックアップ)
• WPS Hide Login(ログインURLの変更)
💰 収益アップ
• Ad Inserter(Google AdSense管理)
• Rank Math SEO(検索流入増加)
• WP Fastest Cache(サイト速度向上)
WordPressの運用は、セキュリティと収益化の両輪が大切です。
今回紹介したプラグインを活用して、安全かつ効率的なブログ運営を目指しましょう!
