WordPressセキュリティチェックリスト：サイトを保護するためのステップバイステップガイド

WordPressの脆弱性が公表されてから、ウェブ全体でサイトが自動攻撃を受けるまでの平均時間は5時間です。数日ではありません。5時間です。

これは理論上のリスクではありません。2025年だけで、研究者はWordPressエコシステムで11,334件の新しい脆弱性を発見しました。これは前年比42％増です。

毎日約13,000件のWordPressサイトが侵害されています。中小企業が被害に遭った場合、平均的な復旧費用は14,500ドルです。これには、マルウェアの削除、緊急の開発者時間、および注入されたスパムリンクとGoogleのペナルティを元に戻すのにかかる数か月の作業が含まれます。

私は長年WordPressサイトを管理しており、このガイドのすべての手順を自分のインストールで実行してきました。数分で完了するものもあります。いくつか手間がかかるものもあります。問題が発生する前にすべて実行する価値があります。

このガイドから得られるものは次のとおりです。

• プラグインが本当の脅威です。WordPressの脆弱性の91％はプラグインとテーマにあり、コアにはありません。それらを最新の状態に保ち、使用していないものを削除することが最も重要な習慣です。
• WAFだけでは救われません。標準的なWebアプリケーションファイアウォールは、2025年にWordPress固有の攻撃の12％しかブロックしませんでした。1つのツールではなく、レイヤーが必要です。
• バックアップは、他のすべてが失敗したときのフォールバックです。数分で復元できるバックアップは、ハッキングの実際のコストを変えます。
• 5時間の悪用ウィンドウは現実です。脆弱性が公開されると、自動攻撃は急速に開始されます。パッチ適用は待てません。
• 脆弱性の46％は、開示時に開発者によるパッチがありません。アップデートは重要ですが、監視も同様に重要です。
• ハッキング後の復旧には特定の順序があります。ほとんどのチェックリストでは省略されています。wp-adminへのアクセスがブロックされた場合に復旧する方法を含め、ステップバイステップで説明します。

目次

WordPressのセキュリティが重要な理由

ハッキングされたサイトは、単なる技術的な問題ではありません。それはビジネスの問題です。

攻撃者がWordPressサイトを侵害すると、通常はスパムリンクを注入したり、訪問者をリダイレクトしたり、ユーザーデータを盗んだり、将来のアクセス用にバックドアをインストールしたりします。

Googleはサイトを危険としてフラグを立てる可能性があります。ホスティングプロバイダーはサイトをオフラインにする可能性があります。あなたがeコマースストアを実行している場合、顧客データが危険にさらされる可能性があります。

2025年には、11,000件以上の新しいWordPressの脆弱性が記録されました。これは1日あたり30件以上です。

中小企業の平均的な復旧費用は14,500ドルですが、この数字には、注入されたスパムリンクがGoogleの手動ペナルティを引き起こした後に検索ランキングを回復するために必要な数ヶ月の作業は含まれていません。

あなたのサイトの評判、訪問者の信頼、そしてオーガニックトラフィックはすべて危険にさらされています。

WordPressセキュリティチェックリスト

初心者の方は、「どこから始めればいいのだろう？」と思っているかもしれません。

完全なWordPressセキュリティチェックリストを作成しました！各ステップを順番に進めるだけで、最終的には完全に安全なサイトが完成します。

簡単なWordPressセキュリティチェックリスト：

• 安全なウェブホストを見つける： 強力なセキュリティプロトコル、SSL証明書、ファイアウォール、定期的なバックアップを備えたホスティングを選択してください
• ウェブサイトをバックアップする： Duplicatorのようなプラグインを使用して、クラウドバックアップを自動化し、データを保護してください
• ソフトウェアを更新する： WordPressコア、プラグイン、テーマを最新の状態に保ち、脆弱性を修正してください
• 未使用のプラグインとテーマを削除する： 非アクティブなソフトウェアを削除して、潜在的なセキュリティホールを排除してください
• 強力なパスワードを使用する： 混合文字を使用したユニークで複雑なパスワードを作成し、一般的なフレーズは避けてください
• 管理者アクセスを更新する： 管理者ユーザーを制限し、非アクティブなアカウントを削除し、最小限の権限を割り当ててください
• WordPressログインページを非表示にする： ログインURLをカスタマイズして、ブルートフォース攻撃を防いでください
• ユーザーアクティビティの監視：セキュリティ侵害や不正な変更を特定するためにユーザーのアクションを追跡します
• WordPressセキュリティプラグインのインストール：マルウェアスキャンやセキュリティ通知のためにSucuriのようなツールを使用します
• Webアプリケーションファイアウォール（WAF）の使用：DNSまたはアプリケーションレベルのファイアウォールで悪意のあるトラフィックをブロックします
• マルウェアのスキャン：セキュリティプラグインを使用して、サイトのウイルスや脅威を定期的にチェックします
• SSL/HTTPSへの移行：ユーザーとサーバー間のデータを暗号化するためにSSL証明書を有効にします
• ユーザー名の変更：ログインの脆弱性を減らすために、「admin」のような予測可能なユーザー名を避けます
• ファイル権限の更新：アクセスを制御するために適切な権限（フォルダは755、ファイルは644）を設定します
• ファイル編集の無効化：ハッカーが悪意のあるコードを挿入するのを防ぐために、WordPressのファイルエディターをオフにします
• PHPファイル実行の無効化：攻撃を停止するために、アップロードディレクトリでPHPファイルが実行されないようにブロックします
• ログイン試行回数の制限：単一のIPアドレスからのログイン試行回数を制限します
• 二要素認証の使用：ログインセキュリティのためにモバイルコードで追加の確認ステップを追加します
• WordPressデータベースプレフィックスの変更：テーブル名を推測しにくくするために、デフォルトの「wp_」プレフィックスを置き換えます
• 管理者およびログインページのパスワード保護：ユーザーがログイン画面に到達する前に追加のパスワードレイヤーを追加します
• ディレクトリインデックスとブラウジングの無効化：ファイルが表示されないように、ディレクトリの内容を非表示にします
• XML-RPCの無効化：パスワード推測の脆弱性を悪用するハッカーを防ぐために、このAPIをオフにします
• アイドル状態のユーザーのログアウト：セッションハイジャックを防ぐために、非アクティブなユーザーを自動的にログアウトします
• WordPressバージョンの非表示：ターゲット攻撃を回避するために、ソースコードからバージョン番号を削除します
• ハッキング後のサイトの復元：侵害されたサイトを迅速に復元するために、災害復旧（Duplicator Pro）を備えたバックアップツールを使用します

1. 安全なウェブホストを見つける

ウェブホストの選択は、価格タグを確認するだけではありません。必要なのは、セキュリティに情熱を注ぐホストです。

最新のセキュリティプロトコルを提供するウェブホストを探してください。サーバーは維持され、最新の状態に保たれている必要があります。強力なファイアウォールを備え、SSL証明書を提供していることも素晴らしい点です。

そして最後に、ウェブホストが定期的なバックアップとサイトの復元を提供しているかどうかを確認してください。このセーフティネットが必要になることはないと思いますが、万が一のために用意しておくのは良いことです。

現在共有ホスティングプランをご利用の場合は、マネージドWordPressホスティングにアップグレードすることを検討してください。共有ホストでは、他のサイトとリソースを共有します。サーバー上の誰かがセキュリティ侵害を起こした場合、それはあなたのウェブサイトにも影響を与える可能性があります。

しかし、Bluehost、Hostinger、SiteGroundのような評判の良い共有ホストは、多くの基本的なセキュリティ問題からあなたを守ってくれます。

WordPressホスティングサービスでセキュリティが確保されたものを見つけたら、次はサイトを新しいサーバーに移行する方法です。

2. ウェブサイトをバックアップする

ウェブサイトを最初に立ち上げたときは、新しいブログ記事を書いたり、商品を販売したりすることに興奮するでしょう。しかし、サイトを定期的にバックアップする必要もあります。

バックアップはデジタルコンテンツの保険のようなものです。何か問題が発生した場合に、サイトを元の状態に復元できます。

Duplicatorは、サイトのコピーを簡単に作成できるバックアッププラグインです。自動バックアップとクラウドストレージをサポートしているため、データを失うことはありません。

セキュリティを強化するために、バックアップは別のクラウドサーバーに保存するのが最善であることがよくあります。これにより、サーバーに問題が発生してもバックアップが失われることはありません。

Duplicatorを使用すると、サイトをクラウドにバックアップできます。お好みのクラウドストレージサービスを接続し、バックアップ作成時に選択するだけです。WordPressのバックアップ用に構築された独自のカスタムクラウドストレージであるDuplicator Cloudもあります。

バックアップに保存するデータをカスタマイズできます。そのため、必要に応じてデータベース、メディアライブラリ、その他のデータを簡単にバックアップできます。

ウェブサイトは常に新しいコンテンツで更新されているため、定期的にバックアップする必要があります。幸いなことに、Duplicatorを使用するとバックアップを自動化できます。

スケジュールを設定することで、手動バックアップを心配する必要がなくなります！問題が発生した場合はサイトをロールバックできるため、サイトは常に安全です。

Duplicatorの他にも、さまざまなバックアッププラグインを使用できます。UpdraftPlus、Jetpack、BlogVaultなどが人気のあるオプションです。

3. ソフトウェアを更新する

ソフトウェアアップデートは、WordPressのセキュリティにおいて重要な役割を果たします。追加機能を追加するだけでなく、潜在的な脆弱性を修正します。

WordPressはマイナーアップデートを自動的にインストールします。ただし、メジャーバージョンは手動でインストールする必要があります。

アップデートページを見つけて、コアソフトウェア、プラグイン、テーマのアップデートを実行してください。

セキュリティアップデートは常に発生しているため、注意が必要です。利便性のために、自動化することもできます。

ただし、WordPress、プラグイン、テーマの新しいバージョンは、まずステージングサイトでテストすることをお勧めします。これにより、アップデートの失敗後に発生することがあるソフトウェアの競合を回避できます。

4. 使用していないプラグインとテーマを削除する

サイトのクリーンアップは、セキュリティを大幅に向上させることができます。アクティブに使用していないWordPressのテーマやプラグインは削除するのが良いでしょう。

これは、ハッカーが古いプラグインやテーマを使用してウェブサイトにアクセスできる可能性があるためです。非アクティブなソフトウェアを削除することで、WordPressのセキュリティを強化できます。

目安はありますか？過去6ヶ月間使用していない場合は、さようならしましょう。WordPressサイトを最適化し、セキュリティを強化する簡単な方法です。

5. 強力なパスワードを使用する

優れたパスワードは、ユニークで予測不可能で、あなただけが知っているものであるべきです。大文字と小文字の文字、数字、記号を組み合わせることをお勧めします。

覚えておいてください、「Password123」は初心者の間違いです！それは、玄関マットの下に家の鍵を置いたままにするようなもので、サイト訪問のために潜在的なサイバー脅威を招き入れるようなものです。

総当たり攻撃では、ハッカーやボットがパスワードを推測しようとします。彼らは、侵入できるまで一般的なオプションを試します。したがって、パスワードが複雑であるほど良いです。 

それ以外にも、あなたに関連する識別可能な情報の使用は避けてください。あなたの名前、誕生日、またはペットの名前（どれほど愛らしいとしても）を使用しないでください。

すべてのサイトとユーザーで同じパスワードを使用しないようにしてください。家、車、オフィスに同じ鍵を使用しないのと同じように、セキュリティ侵害を避けるためにデジタルキーを多様に保ってください。

パスワードを安全に保存するために、LastPassのようなパスワードマネージャーの使用を検討してください。強力なオプションを自動的に生成し、ログインプロセスを簡素化できます。

6. 管理者アクセスを制限する

WordPressのセキュリティに関しては、管理者アクセスを更新することは必須です。このステップにより、サイトは不要な侵入やハッキングに対して脆弱性が低下します。 

まず、「管理者」ロールを持つユーザーの数を制限します。複数の管理者ユーザーがいることはセキュリティリスクになる可能性があります。信頼できる管理者は少数であることを確認してください。 

次に、ユーザーリストを定期的にチェックし、使用されなくなったアカウントを削除します。これにより、休眠アカウントがハッカーに悪用されるリスクが軽減されます。 

最後に、ユーザーロールに必要な最小限の権限を割り当てます。すべての人が管理者アクセスを必要とするわけではありません。

ユーザーは自分の仕事をするのに十分な権利を持つべきですが、それ以上は必要ありません。これにより、そのアカウントがハッキングされた場合の損害の可能性が最小限に抑えられます。

どのユーザーにどのアクセス権を与えるべきか不明な場合は、WordPressのユーザーロールと権限に関するこのガイドをお読みください。

7. WordPressログインページを非表示にする

毎日、ログインページを使用してWordPressサイトにサインインします。すべてのWordPressサイトには、wp-adminまたはwp-loginで終わるログインページがあります。そのため、悪意のあるユーザーがあなたのサイトにアクセスして悪用する可能性があります。 

WordPressのログインページを非表示にすると、ハッキングの試みからサイトを保護できます。ハッカーがログインページを見つけられない場合、総当たり攻撃を試して管理ダッシュボードを開くことができません。

WPS Hide Loginのような一部のプラグインは、これを簡単に実現するのに役立ちます。ログインURLをカスタマイズするだけで、あなただけがその場所を知ることができます。

8. ユーザーアクティビティを監視する

サイトに多くのユーザーがいる場合、1人がハッキングされたり、ログイン資格情報を間違った人と共有したりする可能性があります。ユーザーアカウントに管理者アクセス権がある場合、テーマ、プラグイン、または設定が変更される可能性があります。

セキュリティ侵害を特定するために、ユーザーアクティビティを監視できます。誰が不要な変更を行ったかを特定し、サイトから迅速に削除できます。

アクティビティログプラグインは、WordPressユーザーを追跡するのに役立ちます。何がいつ起こったのかを包括的に記録します。

万が一何か起こった場合は、アクティビティの重大度、ユーザー、および日付範囲でログをフィルタリングできます。次回はセキュリティを強化する方法を見つけ、データをより安全にするでしょう。

これは、WordPressマルチサイトを管理している場合に特に役立ちます。多くの異なるウェブサイトの所有者、著者、編集者、その他のユーザーがいる可能性があります。どのユーザーが脆弱性を引き起こしたのかを正確に把握することが重要です。

9. WordPressセキュリティプラグインをインストールする

セキュリティプラグインは、その名の通り、サイトにセキュリティを追加します。潜在的な脆弱性を特定して対処するように設計されています。たとえば、定期的なセキュリティスキャン、ファイアウォール保護、スパムフィルタリングを提供します。 

最高のWordPressセキュリティプラグインの1つはSucuri Securityです。このツールは、リモートマルウェアスキャン、セキュリティ通知、およびハック後のソリューションを提供します。

Sucuriを使用すると、セキュリティを簡単に強化できます。強化設定では、ファイアウォールを有効にし、プラグインおよびテーマエディターを無効にし、WordPressのバージョンを非表示にするなどができます。

これは、WordPressのセキュリティを強化するための初心者向けの簡単な方法です。さらに、WordPress.orgには無料版もあります！

Wordfenceは、強力なファイアウォールと大規模な脆弱性データベースを備えた、もう一つの堅実な選択肢です。いずれかを選んで一貫して実行してください。

10. Webアプリケーションファイアウォール（WAF）を使用する

Web Application Firewall（WAF）は、ウェブサイトへの着信トラフィックを監視およびフィルタリングするツールです。SQLインジェクションやクロスサイトスクリプティング（XSS）などの脅威からWordPressサイトを保護するのに役立ちます。

ファイアウォールは、多くの一般的なサイバートラフィックを抑止できます。サイトとすべての着信トラフィックの間に保護バリアとして機能し、悪意のあるリクエストをブロックします。

ファイアウォールの種類は次のとおりです。

• DNSレベルファイアウォール：クラウドプロキシサーバーを介してトラフィックを送受信および評価します
• アプリケーションレベルファイアウォール：サーバーに到達したトラフィックを評価するファイアウォールプラグイン

Sucuriは、WordPressウェブサイトにファイアウォールを簡単に設定できる方法を提供します。これは非常に効果的なツールであり、わずか3か月でWPBeginnerが450,000件のサイバー攻撃をブロックするのに役立ちました。

Sucuriを使用すると、マルウェア、DDoS攻撃、ブルートフォース攻撃、その他のセキュリティ上の懸念を回避できます。 

11. マルウェアのスキャンを行う

ウェブサイトを定期的にマルウェアスキャンすることは、WordPressのセキュリティを維持する上で非常に重要です。WordfenceやSucuriなどの人気のあるプラグインがこのタスクに役立ちます。 

これらのセキュリティツールは、ウェブサイト上の潜在的な脅威を見つけて排除するように特別に設計されています。ウェブサイトを積極的に監視し、不審なアクティビティをすばやく警告し、それらを削除するためのソリューションを提供します。

Sucuriには無料のマルウェアチェッカーもあります。ウェブサイトのURLを入力すると、ウイルスがあるかどうかを確認できます。

12. SSL/HTTPSに移行する

SSL（Secure Sockets Layer）は、ユーザーのブラウザとサーバー間のデータを暗号化するプロトコルです。サイバー攻撃者がデータを傍受して盗むことをより困難にします。

SSLを有効にすると、サイトのURLはHTTPS（Hypertext Transfer Protocol Secure）を使用します。これは、ブラウザウィンドウのドメインの横にあるロックアイコンで示されます。

HTTPSに移行するには、サーバーにSSL証明書を購入してインストールする必要があります。多くのホスティングプロバイダーは、Let's Encryptを介して無料のSSL証明書を提供しています。その後、WordPressサイトの設定とURLでHTTPSが使用されていることを確認してください。 

まだSSL証明書をお持ちでない場合は、設定方法はこちらです！

13. ユーザー名を変更する

ユーザー名として「admin」を使用することは一般的な慣行ですが、回避したい深刻なWordPressセキュリティの誤りの1つです。攻撃者にログイン情報の一部を渡してしまいます。

ウェブサイトを保護するために、ユーザー名を予測しにくく、よりユニークなものに変更することを検討してください。 

WordPressダッシュボードに移動し、管理者権限を持つ新しいユーザーを作成します。これが完了したら、ログアウトして新しい管理者として再度ログインします。

次に、古い「admin」ユーザーを削除します。削除されたユーザーから新しいユーザーにすべてのコンテンツを転送するようにしてください。それだけです。 

14. ファイルパーミッションを更新する

ファイルパーミッションは、誰がファイルを読み取り、書き込み、実行できるかを規制します。誤って設定されたパーミッションは、侵入者に開かれた扉を提供する可能性があります。

推奨する設定は次のとおりです。

• フォルダとサブフォルダには755
• すべてのファイルには644

技術的な経験なしにファイルとフォルダのパーミッションを修正することは複雑になる可能性があることに注意してください。不明な場合は、ホスティングプロバイダーまたは経験豊富な開発者に相談するのが常に最善です。

15. ファイル編集を無効にする

WordPressダッシュボードでは、管理者はプラグインとテーマのPHPファイルを変更できます。これは役立つこともありますが、危険なこともあります。

ハッカーがダッシュボードに侵入した場合、ファイルエディタを悪用して、WordPressファイルに悪意のあるコードを挿入する可能性があります。このセキュリティ上の脅威を回避するには、wp-config.phpファイルを調整してファイル編集を無効にする必要があります。

これは技術的に聞こえるかもしれませんが、実際には簡単なプロセスです。FTP経由でWordPressのインストールにアクセスし、wp-config.phpファイルを見つけます。このファイルを開き、次のコードスニペットを追加します。 

define( 'DISALLOW_FILE_EDIT', true );

ファイルを保存すると、更新された設定がすぐに機能し始め、悪意のあるコードから保護されます。 

これは、ウェブサイトのファイルを変更しても問題ない場合にのみ行ってください。不明な場合は、専門家の助けを求めてください。 

16. PHPファイル実行を無効にする

特定のWordPressディレクトリでPHPファイルの実行を無効にすることは、サイトを保護するための重要なステップです。実行しないと、悪意のある攻撃への入り口が開かれます。 

ハッカーは、アップロードフォルダやその他のディレクトリにphpファイルを展開することで、この抜け穴を利用する可能性があります。これらのファイルは悪意のあるコードを実行し、ウェブサイトを危険にさらす可能性があります。

この問題を解決するには、必要のないディレクトリ（/wp-content/uploads/など）でPHPファイルの実行を無効にすることができます。 

テキストエディタを開き、このコードを貼り付けます。

<Files *.php>

deny from all

</Files>

ファイル名を.htaccessとし、uploadsフォルダに追加します。 

17. ログイン試行回数を制限する

前述したように、ボットは何度もログインを試みてサイトにアクセスしようとする可能性があります。サイトを安全に保つために、単一のIPアドレスから試行できるログイン試行回数に制限を設定してください。

ログイン試行回数を制限することで、ブルートフォース攻撃が成功する可能性を低くすることができます。WordPressでは無制限のログインが許可されていますが、Limit Login Attempts Reloadedのようなプラグインを使用して制限を設定できます。

Limit Login Attempts Reloadedは、一定回数のログイン失敗後にIPアドレスをブロックします。カスタムロックアウト時間を作成し、新しいロックアウトに関するメールを自動的に受信できます。 

18. 二要素認証を使用する

2要素認証（2FA）は、WordPressサイトに保護の層を追加します。パスワードに加えて、通常は携帯電話に送信される確認コードが必要です。

この二重チェックシステムはセキュリティを強化し、ハッカーが侵入することを困難にします。パスワードを解読されても、確認コードが必要です。

WP 2FAは、WordPressサイトで2要素認証を迅速に設定するプラグインです。Google AuthenticatorやAuthyなどの認証アプリ用のログインコードを生成します。ユーザーはパスワードと一緒にコードを入力します。

この機能により、ハッカーやボットはパスワードを入手してもサイトに侵入できません。ログインには追加のステップがあり、簡単にアクセスできません。

19. WordPressデータベースのプレフィックスを変更する

WordPressはデータベーステーブルにプレフィックスを割り当てます。デフォルトのプレフィックスはwp_です。

デフォルトのままにしておくと、ハッカーはテーブル名を簡単に推測できます。そのため、変更することをお勧めします。

しかし、これは初心者にはあまり簡単ではありません。そして、サイトを壊してしまう可能性があります。

実行することを確信している場合は、WordPressデータベースプレフィックスを正しく変更する方法に関するこのガイドに従ってください。

20. 管理画面とログインページをパスワードで保護する

WordPressのログインページを保護するもう1つの方法は、管理ディレクトリにパスワード保護を追加することです。管理エリアにアクセスしようとすると、ログインページが表示される前にパスワードを入力する必要があります。

管理パスワード保護を有効にするには、cPanelのディレクトリプライバシーを使用できます。これにより、コードを使用せずに管理ディレクトリを保護できます。

21. ディレクトリインデックスとブラウジングを無効にする

ディレクトリブラウジングは、ウェブサイトのセキュリティにおける弱点となる可能性があります。この機能が有効になっている場合、誰でもウェブサイト上のディレクトリの内容を表示できます。ハッカーは、脆弱性のあるファイルを見つけた場合にこれを利用する可能性があります。

この問題を解決するには、.htaccessファイルの末尾に簡単なコード行を追加します。

オプション - Indexes

これにより、サイトのフォルダを閲覧されることを防ぎ、隠しファイルを保護します。

22. XML-RPCを無効にする

WordPress 3.5以降、XML-RPCはコアのWordPress APIです。開発者はリモートアプリケーションを使用してWordPressを更新できます。

XML-RPCを使用すると、モバイルアプリを使用してブログ投稿を公開できます。また、Zapierなどのサードパーティサービスとサイトを接続することも可能です。

このWordPress機能により、他のアプリがウェブサイトと通信できるようになります。しかし、ハッカーが利用できるセキュリティの抜け穴も作成します。

誰かがログインページをハッキングしようとすると、個別のログイン試行が行われます。XML-RPCを使用すると、ハッカーはsystem.multicall関数を使用して、約20〜50回の要求で数千ものパスワードオプションを推測できます。

そのため、XML-RPCを無効にすることで、サイバー脅威を回避できます。

23. アイドル状態のユーザーをログアウトさせる

unattendedログインは、不正アクセスの入り口となる可能性があります。セッションがハイジャックされる可能性があります。そのため、銀行のウェブサイトは一定時間後にログアウトします。

WordPressサイトで、ユーザーが非アクティブな場合に自動的にログアウトさせるのが最善です。これにより、問題が発生する可能性を大幅に減らすことができます。

このプロセスを自動化するために、Inactive Logoutのようなプラグインを使用できます。この無料プラグインを使用すると、アイドル状態のタイムアウト期間を設定できます。

セッションログアウトメッセージをカスタマイズすることもできます。ユーザーが非アクティブのためにログアウトされていることを知らせることができます。

24. WordPressのバージョンを非表示にする

デフォルトでは、ソースコードにサイトのWordPressバージョンが表示されます。

WordPressの最新バージョンを公開することは無害に思えるかもしれませんが、サイトを危険にさらす可能性があります。ハッカーはこの情報を使用して、特定のバージョンで既知のセキュリティ脆弱性を悪用します。

WordPressのバージョンを非表示にする方法はたくさんありますが、WPCodeの使用をお勧めします。このコードスニペットプラグインには、WordPressのバージョン番号を削除するためのスニペットが用意されています。

スニペットを検索して使用するだけです。

次に、新しいスニペットをアクティブにします！

25. ハッキング後のサイトを復旧する

すべてを正しく行っても、ハッカーがウェブサイトに侵入して損害を与える可能性があります。万が一このような事態が発生した場合は、準備が必要です。

WordPressサイトの復元は、ハッキング後には daunting に思えるかもしれません。しかし、適切なツールがあれば簡単です。

Duplicator Proは、数秒でサイトを復元するWordPressバックアッププラグインです。ハッキング後、最新のエラーのないバックアップを見つけて、その横にある復元ボタンをクリックします。

一部のハッカーは、WordPress管理ダッシュボードからあなたをロックアウトする可能性があります。これを防ぐために、事前にディザスターリカバリを設定してください。

サイトの完全なバックアップを作成します。次に、その横にある青い家のアイコンをクリックします。

ディザスターリカバリを設定すると、Duplicatorはリカバリリンクとランチャーファイルを提供します。どちらか一方を使用すると、サイバー攻撃後にサイトを即座に復元できます。

個人的には、リカバリリンクの方が好きです。ブラウザウィンドウを開いて貼り付けるだけです。これにより、ダッシュボードを必要とせずにDuplicatorリカバリウィザードが開きます。

ウェブサイトを保護するために、リカバリリンクまたはランチャーファイルを安全な場所に保存してください。ウェブサイトがダウンした場合に備えて、オフサイトに保存する必要があります。

バックドアやその他のセキュリティ脆弱性をすべて削除したことを確認したい場合は、ハッキングされたWordPressサイトの修正方法に関するこのチュートリアルをお読みください。

WordPressセキュリティに関するFAQ

あなたの最後の防御線：復元可能なバックアップ

完璧なセキュリティチェックリストはありません。プラグインにはゼロデイ脆弱性が存在します。ホスティングプロバイダーが侵害されます。チームメンバーがフィッシングされます。問題は、攻撃をどのように防ぐかだけでなく、攻撃を回避できなかった場合にサイトに何が起こるかということです。

テスト済みのバックアッププロセスがゲームチェンジャーです。クリーンなバックアップから数分でサイトを復元できるなら、ハッキングは軽微な中断で済みます。そうでなければ、潜在的に14,500ドルの問題になります。

150万人以上のWordPressのプロフェッショナルが、バックアップと災害復旧のためにDuplicatorを使用しています。自動クラウドバックアップ、クラウドストレージからのワンクリック復元、wp-adminが完全にロックされている場合でも機能するリカバリリンク。これは、私がこのリストに他のどのツールよりも先に入れるツールです。

このガイドがあなたのサイト全体の回復力について考えるきっかけになったなら、これらの投稿を読む価値があります。

• WordPressサイトのクリーンアップ方法
• ウェブサイトをハッカーから保護する方法
• WordPressは安全か？真実を明らかにします
• 8つ以上の最高のWordPressセキュリティプラグイン
• WordPressメンテナンスチェックリスト：必須タスク20選（2026年版）