WordPressのセキュリティ対策は、「何となく不安だからプラグインを入れている」状態では長続きしません。重要なのは、月次・四半期で同じ観点を繰り返し点検し、抜け漏れを減らすことです。このページは、WordPressに詳しくないWeb担当者でも、自社サイトの状態を順番に確認できるように作った保存版チェックシートです。
読み物というより、ブックマークして何度も開く運用資料として使ってください。各項目は - [ ] 形式なので、月初の定例確認、四半期レビュー、担当者引き継ぎのたびにそのまま使えます。40項目を安定して達成できれば、中小企業サイトとしてかなり強い運用状態です。
このシートの使い方
まずは各項目を上から順番に確認し、達成 / 一部達成 / 未達成 / 該当なし の4段階で自己採点してください。月次では変化しやすい項目を中心に、四半期では全項目を棚卸しする使い方がおすすめです。
このシートと無料セキュリティ診断は役割が異なります。
| 使い分け | 確認できること | 向いているタイミング |
|---|---|---|
| 無料セキュリティ診断 | HTTPS、主要ヘッダー、ログイン保護、ユーザー列挙、XML-RPC、readme.html 公開、WordPress検出など外部から見える7項目 |
月初のクイック確認、外部露出の変化チェック |
| 本チェックシート | 本体更新、プラグイン管理、バックアップ、監視、権限管理、引き継ぎ、インシデント対応など内部設定・運用フロー・人的体制 | 月末点検、四半期レビュー、監査準備、担当交代時 |
おすすめの流れはシンプルです。月初に /diagnose/ で外部露出を1分確認し、月末にこのシートで内部運用まで点検する形にすると、軽い異常と根本的な運用の穴を両方拾いやすくなります。
採点基準
各項目は次の4段階で採点します。
| 判定 | 点数 | 判定の目安 |
|---|---|---|
| 達成 | 2点 | 現在も安定運用できており、確認証跡もある |
| 一部達成 | 1点 | 対策はあるが対象が限定的、または更新・見直しが不足している |
| 未達成 | 0点 | 未実施、または実質的に機能していない |
| 該当なし | 集計除外 | そのサイト構成では対象外 |
カテゴリごとの達成率は、次の式で計算します。
| 計算式 | 例 |
|---|---|
獲得点 ÷ 配点合計 × 100 |
5項目カテゴリで 達成3・一部達成1・未達成1 なら 7点 ÷ 10点 = 70% |
総合スコアは、全カテゴリの獲得点合計 ÷ 全カテゴリの配点合計 × 100で計算してください。まずは厳密さより、毎月同じ基準で比較することが大切です。
カテゴリA:WordPress本体・テーマ・プラグインの最新化
WordPress.org の Hardening WordPress でも、古いバージョンを放置しないことは最優先事項として扱われています。更新停止や放置された拡張機能は、もっとも現実的な侵入口の一つです。
確認のコツを先に整理します。
| 見る場所 | 何を確認するか | 判断の目安 |
|---|---|---|
| ダッシュボードの更新画面 | 本体、テーマ、プラグインの未更新有無 | 未更新が常態化していないか |
| プラグイン一覧 | 最終更新日、作者、配布元 | 1年以上更新停止は要注意 |
| WordPress.orgの各プラグインページ | This plugin has been closed 表示の有無 |
閉鎖理由不明なら代替検討 |
サーバー上の wp-content |
使っていないテーマ・拡張機能の残骸 | 無効化だけで残っていないか |
特に4つ目と5つ目は見落とされがちです。無効化しただけのプラグインやテーマは、将来また有効化される可能性があるだけでなく、脆弱性のあるファイルがサーバー上に残り続けます。また、Null版は「お試し」感覚で入れられがちですが、マルウェア混入や更新停止の典型原因なので例外なく撤去対象です。
カテゴリB:認証・ログイン保護
WordPress.org の Password Best Practices では、強いパスワードと推測されにくい運用が基本です。小規模サイトでも、ログイン画面は日常的に総当たりの対象になります。
-
adminadministratorwordpress -
/wp-login.php
採点時は、強いパスワードを使っているかだけでなく、「誰が入れる状態なのか」まで見てください。
| 観点 | 達成の目安 | よくある一部達成 |
|---|---|---|
| パスワード | 全管理者が長く一意なパスワードを利用 | 一部の共用アカウントだけ弱い |
| ユーザー名 | 推測しやすい初期名を避けている | 表示名だけ変えて admin が残存 |
| 2FA | 少なくとも管理者全員に適用 | 一部担当者だけ未設定 |
| ログインURL保護 | Basic認証やIP制限を併用 | プラグインのみで保護が弱い |
| アカウント棚卸し | 月次・異動時に削除確認 | 人事異動後の見直しが不定期 |
「共用の管理者アカウント1つだけで運用している」状態は、見た目以上に危険です。誰が何をしたか追跡しにくく、退職や外注切替のたびに資格情報が広がります。可能なら個別アカウント化してください。
カテゴリC:ファイル・サーバー設定
ここは管理画面から見えにくいため、後回しにされやすい領域です。しかし、侵害後の被害拡大を抑えるには、ファイル権限や実行制御の基本設定が重要です。
-
wp-config.php -
wp-content/uploads/ -
xmlrpc.php
WordPress.org の Hardening WordPress では、wp-config.php は少なくとも限定的な権限にし、可能ならWebルートの1階層上に置く案も紹介されています。ただしサーバー仕様は環境差があるため、400/600を目安にしつつ、実環境で 440 などが必要なケースはホスティング仕様に従うのが実務的です。
| 項目 | 確認方法 | 補足 |
|---|---|---|
wp-config.php 権限 |
SFTP、SSH、サーバーパネル | 400/600目安、環境差あり |
uploads PHP実行禁止 |
.htaccess、nginx設定、WAF |
画像置き場での不正実行対策 |
xmlrpc.php |
実利用有無を確認 | Jetpack等で必要な場合あり |
| ディレクトリリスティング | ブラウザでディレクトリURL確認 | Options -Indexes 等 |
| FIM/監視 | ホスト監視、OSSEC系、差分監視 | 改ざん検知の速度に直結 |
FIMは必須製品名を決める必要はありません。大事なのは、「どのファイルが、いつ、どう変わったか」を後から追えることです。保守契約がある場合は、運用保守サービスのように監視と差分確認まで含めて運用できるかを見直してください。
カテゴリD:データベース・データ保全
バックアップは「取っているつもり」が多い領域です。重要なのは、取得頻度、保管場所、復元可能性の3点です。
- データベースのテーブル接頭辞は
wp_
WordPress.org でもバックアップは重要な準備として扱われています。一方で、テーブル接頭辞の変更は万能策ではありません。Hardening WordPress では「一部のSQLインジェクション攻撃を防ぐ助けになる」としつつ、主防御ではなく足し算の対策として読むのが適切です。
| 項目 | 達成の目安 | 未達成時のリスク |
|---|---|---|
| 日次バックアップ | DBとファイルを自動取得 | 障害時に戻せる世代がない |
| オフサイト保管 | 別リージョン、別サービス、別契約先 | サーバー障害と同時消失 |
| 復元テスト | 年1回以上、手順も記録 | いざ復元時に失敗する |
| 接頭辞変更 | wp_ 以外で運用 |
既知の雑な攻撃に乗りやすい |
復元テストは「テスト環境に戻してログインできたか」まで確認して初めて達成です。ファイルだけ復元してDBが不整合、あるいは逆にDBだけ戻ってメディア欠落、というケースは珍しくありません。
カテゴリE:通信・SSL/TLS・セキュリティヘッダー
このカテゴリは、訪問者にもブラウザにも見える防御面です。外部から確認しやすいため、月初のクイック点検に向いています。
- X-Frame-Options または CSP の
frame-ancestors -
X-Content-Type-Options: nosniff -
Permissions-PolicyまたはReferrer-Policy
この5項目は、無料セキュリティ診断で短時間確認しやすい領域です。とくにヘッダー周りは、サーバー変更、CDN導入、WAF切替、テーマ改修の副作用で消えることがあります。
| ヘッダー / 設定 | 目的 | 見落としやすい点 |
|---|---|---|
| HTTPS | 通信の盗聴・改ざん対策 | 一部画像やフォームだけHTTPが残る |
| HSTS | HTTPS強制の補強 | テストサブドメインへの影響確認が必要 |
| X-Frame-Options / frame-ancestors | クリックジャッキング対策 | 埋め込みが必要なページで例外設計が必要 |
| nosniff | MIME推測実行の抑制 | CDNや静的配信設定で抜けることがある |
| Permissions-Policy / Referrer-Policy | ブラウザ機能制御、参照元制御 | 初期設定のまま空欄になりやすい |
外から見える設定の変化を手早く把握したいときは、まず無料セキュリティ診断で確認し、問題が見つかったらこのシートに戻って原因を内部側から追う流れが効率的です。
カテゴリF:監視・通知・ログ
攻撃を100%防ぐより、早く気づく体制を作るほうが現実的です。とくに小規模サイトでは、異常に気づくのが「お客様からの連絡」になりがちです。
Google Search Console の Security issues report は、ハッキングやマルウェアなど利用者に危険が及ぶ可能性のある問題を扱います。一方、Manual actions report は主に検索品質やスパム対策の問題です。似ているようで役割が違うため、両方を別物として確認してください。
| 確認対象 | 月次で見る理由 | 備考 |
|---|---|---|
| 死活監視 | 表示不能を自分で先に検知できる | 5分間隔でも十分有効 |
| PHP / アクセスログ | 改ざんや障害時の証跡になる | ローテーション設定も確認 |
| アラート通知 | 気付くまでの時間を短縮 | メールだけでなくチャット通知も有効 |
| Search Console 所有権 | 知らない所有者や権限変化を防ぐ | 代理店変更時に要確認 |
| セキュリティと手動による対策 | 警告の早期発見 | 例示URLだけで判断しない |
Search Consoleが未設定なら、このカテゴリは未達成寄りです。セキュリティ専用ツールではありませんが、Google視点の異常検知として非常に有用です。
カテゴリG:人的運用・体制
技術対策が整っていても、担当者1人に依存しているだけで実際のリスクは高くなります。障害時に止まる会社は、設定より先に体制が詰まっていることが少なくありません。
- インシデント対応マニュアルが整備されていますか(初動対応チェックリスト
- 復旧依頼テンプレートが社内共有されていますか(復旧依頼テンプレート
人的運用は、普段問題が起きていないと軽視されます。しかし、障害や改ざんは「誰が権限を持っているか」「誰に連絡すればよいか」が曖昧なほど長引きます。
| 項目 | できている状態 | よくある弱点 |
|---|---|---|
| バス係数 | 2名以上が最低限の管理手順を理解 | 担当者1名だけが全権を保持 |
| 引き継ぎ手順 | アカウント発行・削除・棚卸しが文書化 | 口頭引き継ぎだけで終わる |
| 初動マニュアル | 連絡順、証跡保全、禁止事項が明文化 | 「障害時は相談」で止まる |
| 依頼テンプレート | 外部依頼時の必要情報がまとまる | 毎回メールをゼロから作る |
| 緊急連絡先 | 夜間・休日の連絡経路まで整理 | 制作会社が変わったまま古い情報 |
このカテゴリが弱いと、実際のインシデントでは「技術的には直せるのに連絡と権限で詰まる」状態になります。復旧後の再発防止まで含めて外部支援が必要なら、運用保守サービスを検討してもよい段階です。
カテゴリH:個人情報・コンプライアンス
問い合わせフォーム、採用応募、会員登録、資料請求などがあるサイトは、セキュリティ事故がそのまま法務・信用問題につながります。ここは断定ではなく、把握と準備の観点で点検するのが大切です。
個人情報保護委員会の案内では、個人の権利利益を害するおそれがある漏えい等では、委員会への報告や本人通知が必要になる場合があります。たとえば、不正の目的で行われたおそれがある事態、財産的被害のおそれがある事態、1,000人超の漏えい等などは確認対象です。反対に、すべての事故で一律に公表義務があるわけではありません。
| 観点 | 点検ポイント | 注意点 |
|---|---|---|
| 個人情報入力ページ | HTTPS、混在コンテンツなし | フォームだけ別URLのケースに注意 |
| プライバシーポリシー | 実態に合っているか | 放置文面や古い委託先表記に注意 |
| Cookie同意 | 広告・解析利用に応じて要件確認 | 法務判断を伴う場合あり |
| 漏えい対応理解 | 報告・通知の要否判断経路がある | 技術担当だけで断定しない |
| 権限削除 | 旧担当者の閲覧権限も含めて棚卸し | Drive、GA、GTM等も忘れやすい |
法令判断は業種や取扱情報で変わるため、このカテゴリは「把握しているか」「相談先があるか」で採点するのが実務的です。
総合スコア計算と次のアクション
カテゴリごとの達成率を出したら、最後に総合スコアを出します。40項目すべてが同じ重さとは限りませんが、定例点検ではまず全体傾向が見えることが大切です。
カテゴリ別の配点は次のとおりです。
| カテゴリ | 項目数 | 満点 |
|---|---|---|
| A:最新化 | 5 | 10 |
| B:認証・ログイン保護 | 6 | 12 |
| C:ファイル・サーバー設定 | 5 | 10 |
| D:データ保全 | 4 | 8 |
| E:通信・ヘッダー | 5 | 10 |
| F:監視・通知・ログ | 5 | 10 |
| G:人的運用・体制 | 5 | 10 |
| H:個人情報・コンプライアンス | 5 | 10 |
| 合計 | 40 | 80 |
スコア帯ごとの目安は次のとおりです。
| 総合スコア | 状態 | 次のアクション |
|---|---|---|
| 80%以上 | 良好 | 月次・四半期点検を継続し、未達成の固定化を防ぐ |
| 60〜79% | 要改善 | 影響の大きい未達成項目から順に対応する |
| 60%未満 | 要早期改善 | 更新、認証、バックアップ、監視の穴から優先着手し、必要なら専門家へ相談する |
優先順位で迷ったら、次の順に着手すると改善効果が出やすいです。
| 優先度 | 先に直す項目 | 理由 |
|---|---|---|
| 高 | 本体・プラグイン更新、管理者保護、バックアップ、ログ保全 | 侵入口と復旧不能リスクを同時に下げられる |
| 中 | ヘッダー、FIM、Search Console運用、体制文書化 | 早期検知と被害抑制に効く |
| 低 | 接頭辞変更など補助的対策 | 本丸ではないが足し算として有効 |
スコアが低い場合は、自力で全部抱え込まず、障害時の初動支援を受けられる障害復旧サービスや、継続的に監視・更新・棚卸しを回す運用保守サービスを選択肢に入れてください。
印刷・社内共有の使い方
このページは、ブラウザの印刷機能でPDF保存して社内Wikiや共有ドライブへ置く使い方と相性がよいです。チェック日、担当者名、総合スコアだけ追記すれば、簡易監査票としてそのまま使えます。
月次・四半期の運用カレンダーに組み込む場合は、次のように分けると定着しやすくなります。
| タイミング | 実施内容 |
|---|---|
| 毎月初 | 無料セキュリティ診断 で外部露出を確認 |
| 毎月末 | 本シートで A・B・E・F を中心に点検 |
| 四半期末 | 40項目をフル点検し、前回比を確認 |
| 担当交代時 | B・G・H を重点確認し、権限棚卸しを実施 |
重要なのは、完璧な1回より、同じフォーマットで繰り返すことです。前年より点数が上がったか、同じ弱点が残っていないかが見えるだけでも運用品質は大きく変わります。
参考情報(公式・一次情報)
- WordPress.org: Hardening WordPress
https://developer.wordpress.org/advanced-administration/security/hardening/ - WordPress.org: Password Best Practices
https://wordpress.org/documentation/article/password-best-practices/ - Google Search Console Help: Security issues report
https://support.google.com/webmasters/answer/9044101/security-issues-report - Google Search Console Help: Manual actions report
https://support.google.com/webmasters/answer/9044175/manual-actions-report - 個人情報保護委員会: 漏えい等の対応とお役立ち資料
https://www.ppc.go.jp/personalinfo/legal/leakAction/ - 個人情報保護委員会: 漏えい等報告・本人への通知の義務化について
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
※本記事は2026年4月27日時点で確認できる公開情報に基づいて作成しています。個別のホスティング仕様、プラグイン要件、法令解釈は状況により異なるため、実運用では各公式情報と契約先仕様を合わせて確認してください。
