初心者でもできるWordPressセキュリティ対策｜まずは本体設定＋WordfenceでOK!

2025年5月7日2025年5月29日

WordPressを始めたら、まずやっておきたいのがセキュリティ対策。

「難しそう」「あとでいいかな…」と思っているうちに、本当に困ることになることもあります。

とはいえ、いろんなプラグインを入れるのは大変だし、正直めんどくさい。

結論

まずは「WordPress本体の設定」と「Wordfence」さえ押さえておけば、最低限のセキュリティ対策としてはしっかり機能します。

この記事では、余計なプラグインを増やさずにできる、現実的で効果的な守り方を紹介します。

シンプルで高機能

＼圧巻の機能性と，直感的に使いやすいエディター／

詳しく見る

まずはWordPress本体でやっておくべきこと

パスワードは強力なものに

一番最初のログイン場面だよ

「123456」や「admin123」など、簡単すぎるパスワードは絶対NG。

英数字＋記号を組み合わせて、12文字以上のものを設定しましょう。

Googleのパスワードマネージャーなどを使えば、覚えなくても安心です。

ユーザー名「admin」は避ける

攻撃ツールがまず狙ってくるのが「admin」という管理者名。

新しい管理者アカウントを作って、adminアカウントは削除しておきましょう。

※新しいアカウントを作ってログインしてから、adminを削除しないとログインできなくなるので注意！

更新はこまめに（自動化もあり）

WordPress本体・テーマ・プラグインは、常に最新の状態を保ちましょう。

自動更新をオンにすることで、アップデート忘れを防げます。

※テーマの更新によってレイアウトが崩れる可能性もあるため、事前にバックアップを取っておくのが理想です。

コメント欄を無効にする（使わないなら）

スパム対策として、コメント欄を閉じておくのも有効です。

やり方
「設定」→「ディスカッション」
→「新しい投稿へのコメントを許可する」のチェックを外して「変更を保存」。

※すでに公開済みの投稿については、投稿編集画面で個別にコメント設定をご確認ください。

セキュリティプラグインは「Wordfence」だけでOK！

Wordfenceは、WordPress専用のセキュリティ対策プラグイン。

ファイアウォール・マルウェアスキャン・ログイン試行制限など、これひとつで幅広く守れます。

インストール手順

「プラグイン」→「新規追加」
「Wordfence Security」と検索
「今すぐインストール」→「有効化」

Wordfenceの初期設定（これだけやれば大丈夫）

無料を選択

「新たな脅威から保護されるまで30日間待つことに問題ありません。」を選択

メールアドレスを入力→登録

メールにライセンスキーのリンク先が送られてきます。

インストールしましょう。

ファイアウォールを最適化します。

その他の設定は↓

設定項目	内容
スキャン	毎日1回がおすすめ（「スキャン」→ 歯車マーク）
ログイン制限	5回失敗でロック（「Login Security」→「Brute Force」）
通知設定	メール通知をオンに（英語で届くけど、重要な通知だけ気にすればOK）

2段階認証（2FA）は余裕が出てからでOKです。

管理者が1人の場合は、最初は無理に設定しなくても問題ありません。

できれば2要素認証も入れておこう（最強の守り）

セキュリティ対策で一番効果があるのが「2要素認証（2FA）」です。

パスワードだけでなく、スマホアプリなどで「本人確認コード」も必要になるので、不正ログインをほぼ完全に防げます。

Wordfenceには2FA機能も標準搭載されています。

設定場所：Wordfence → Login Security → Two-Factor Authentication
アプリ：Google Authenticator
バックアップコードは必ず保存しておきましょう
最後に有効化しましょう

少し手間はかかりますが、これが一番効果あります！

この対策で防げること

リスク	対策内容
パスワードが漏れても不正ログインされる	2要素認証（Wordfence 2FA）
ログイン総当たり攻撃	ログイン制限（回数制限）
改ざんやウイルス感染	スキャンと通知
不審な海外アクセス	ファイアウォールで遮断
コメントスパム	コメント欄の無効化