最新の攻撃は自動化と高速化が進み、小さな油断が被害の入口になります。
対象はすべてのWordPress運用者です。制作会社、個人事業、社内担当まで想定します。
読了後今日の設定、明日からの点検、週次と月次の運用まで、すぐ始められる形で理解できます。
■ 結論
最短で効くのは、ログイン強化と更新運用を同時に整えることです。
二要素認証とパスキーを併用し、プラグインの棚卸しと定例更新、バックアップと復元確認を今日から固定します。
■ 今日やること 90分プラン
1 すべての管理者に二要素認証を必須化する
・管理者と編集者は必ず有効化する。
・バックアップコードを安全な場所に保管し、紛失時の連絡手順を共有する。
2 パスキーを管理者から段階導入する
・スマホや物理キーでの認証を追加し、フィッシングに強くする。
・復旧手段、予備デバイスの登録、連絡ルートを文書化する。
3 不要な入口を閉じる
・XML-RPCは不要なら無効化する。
・ログイン試行の回数制限を設定し、総当たり攻撃を防ぐ。
・ユーザー名の推測を防ぐため、作成者ページやREST APIの露出を制限する。
4 更新前提の安全を作る
・今すぐ手動バックアップを取得し、復元のテストを一度実施する。
・プラグインとテーマを見直し、使っていないものは停止と削除を行う。
5 重要設定を一点更新する
・wp-config.phpに次を追加して編集機能と更新方針を安全化する。
define('DISALLOW_FILE_EDIT', true);
define('AUTOMATIC_UPDATER_DISABLED', false);
・管理者の表示名を変更し、adminというユーザー名は使わない。
■ 週次の運用テンプレート
曜日と時刻を固定し、バックアップ、ステージング確認、本番反映の順に実施する。
少なくとも週1回は、コアの小さな修正や脆弱性修正を反映する。
変更点は必ず記録し、失敗時の復元手順を同じノートにまとめる。
■ 月次の運用テンプレート
・復元テストを月1回行い、所要時間・失敗点・改善案を短く記録する。
・プラグインを全件見直し、未使用・重複・更新停止のものを削除し、導入数は必要最小限に保つ。
・ユーザーの役割と権限を棚卸し、不要な管理者を削除して「必要な人に必要な権限だけ」を徹底する。
■ バックアップ基準
保存先は3か所以上で冗長化する。例としてローカル、クラウド、別環境。
保持期間を短期、中期、長期に分け、直近7日分は細かく残す。
復元はデータベースとwp-contentの両方が揃っていることを毎月確認する。
■ ログの見る場所と見方
・ログイン失敗回数、国別の急増、同一IPの連続試行を毎週確認する。
・管理者権限の付与、新しいプラグインの有効化、ファイル改変の痕跡を重点確認する。
・異常が出た時は、時間帯、IP、ユーザー、操作内容を必ず記録する。
■ ファイルとサーバの安全初期値
・権限の目安は、ディレクトリ750、ファイル640。
・wp-config.phpは外部から直接読めない配置を検討する。
・テーマエディタとプラグインエディタは無効化する。
・HTTPSを常時化し、HSTSを有効にする。
■ ログイン強化の設計指針
・二要素認証は全員に実施し、パスキーは管理者から横展開する。
・アプリケーションパスワードは用途ごとに発行し、不要になったら失効する。
・パスワードは長くし、再利用を禁止する。運用ルールを短く文章化して共有する。
■ プラグイン運用の型
・導入前に目的と代替を確認し、似た機能の重複を避ける。
・更新は小分けにし、一度に多数を上げない。影響範囲を特定しやすくする。
・停止や削除は本番の前にステージングで確認し、依存関係を記録する。
■ インシデント初動
・不正アクセスの疑いがある時は、新規バックアップを取り、アクセスを一時制限する。
・管理者のパスワードと二要素を再発行し、すべてのセッションを無効化する。
・ログの時系列を作成し、入口、影響範囲、復旧可否を切り分ける。
・原因が未特定なら、新規書き込みを停止し、スナップショットを保存する。
■ よくある質問
Q 二要素認証とパスキーはどちらが必要ですか
A 両方です。まず二要素認証を全員に実施し、次にパスキーを管理者から追加します。
Q 自動更新はすべて有効にしてよいですか
A 小さな安全修正は自動で構いません。大きな更新は検証してから反映します。
Q XML-RPCを無効化すると困る場合はありますか
A 古い外部アプリの一部が使えなくなることがあります。使っていなければ無効化し、必要な時だけ許可します。
Q バックアップはどれくらいの頻度が必要ですか
A 変更がある日は毎日、変更が少ないサイトでも週1回は実施し、月1回は復元テストを行います。
Q どのログを見れば良いですか
A ログイン失敗回数、権限変更、新規プラグインの有効化、ファイル改変の4点を毎週確認します。
■ まとめ
守りは手順で固定すると、日々の負担が減り、判断も速くなります。
まず二要素認証とパスキーで入口を固め、なりすましの成功率を下げます。
更新は週次の定例で小さく回し、月次で復元テストと棚卸しを続けます。
ログは毎週確認し、失敗回数の急増や不審な有効化など小さな異常を早期に見つけます。
バックアップは3か所で保持し、復元できるかを必ず実機で確かめます。
新しいプラグインは目的と代替を比べ、似た機能の重複や放置を避けます。
異常時は新規の更新を止め、時刻と操作の記録を残し、原因と影響と復旧を順に切り分けます。
■ ご案内
運用設計の棚卸しと更新サイクル設計、復旧手順の標準化、週次の棚卸しと月次の復元テスト、ログイン強化(二要素認証・パスキー)、アクセス制御、XML-RPCの整理、監視設計、初動対応と再発防止の手順化など万一の障害や緊急時にも、できる限り迅速に対応いたしますので、どうぞ安心してご相談ください。
.png)
