WordPress初期設定でのセキュリティ強化の主なポイントは、ユーザー名の変更(特にデフォルトの「admin」を避ける)、強固なパスワードの設定、そしてサイトのSSL化です。
具体的には以下のような対策が重要です。
-
ユーザー名変更
デフォルトの管理者ユーザー名「admin」はブルートフォース攻撃で狙われやすいため、管理画面の「ユーザー」>「新規ユーザー追加」から一意の管理者ユーザー名を作成し、古い「admin」ユーザーを削除することが推奨されます。データベースを直接操作する方法もありますが、バックアップ必須です。 -
強固なパスワード設定
管理画面の「ユーザー」>「プロフィール」から複雑なパスワードを設定します。大文字・小文字・数字・記号を組み合わせた長くて予測困難なパスワードが望ましいです。パスワードマネージャーの利用も推奨されています。 -
SSL化(HTTPS化)
Webサイト全体をSSL化して通信を暗号化することで、第三者による盗聴や改ざんを防止します。SSL化はGoogleのSEO評価にも影響し、ユーザーの信頼性向上にもつながります。
これらに加え、以下の対策も初期段階で検討すると効果的です。
- WordPress本体やプラグイン、テーマを常に最新の状態に保つ
- ログインURLの変更(例:SiteGuard WP Pluginで/wp-login.phpを別URLに変更)
- 画像認証や二段階認証の導入
- 不要なプラグイン・テーマの削除
- 定期的なバックアップの実施
- WAF(Web Application Firewall)の導入
これらの対策を組み合わせることで、WordPressのセキュリティリスクを大幅に軽減できます。
