
WordPressのセキュリティを強化したいと思っても、何をどこまで対策すればいいのか迷ってしまいますよね。この記事では、無料プラグイン「Wordfence Security」を使って以下の対策を行う方法を解説します。
- ファイアウォールで不正な通信をブロックする
- 総当たり攻撃(ブルートフォース攻撃)からログインを守る
- 怪しいIPアドレス・アクセス元を手動でブロックする
専門的な知識がなくても、画面を見ながら順番に設定すれば大丈夫です。インストールから実際のブロック設定、マルウェアスキャンの定期化まで、ひとつずつ進めていきましょう。
※本記事はWordPress 7.0 + Wordfence Security v8.2.2で動作確認しています。
目次
WordPressのセキュリティ対策が重要な理由
WordPressは世界中のWebサイトで使われている人気のCMSです。利用者が多いということは、それだけ攻撃者にとっても「狙う価値のある標的」になりやすいということでもあります。
特に多いのが、ログイン画面に対する総当たり攻撃(ブルートフォース攻撃)です。IDとパスワードの組み合わせを機械的に大量に試し、管理画面への侵入を狙うものです。ほかにも、古いプラグインやテーマの脆弱性を突いた攻撃、不正なプログラム(マルウェア)の埋め込みなどが後を絶ちません。
一度サイトを乗っ取られると、サイトの改ざんやスパムの発信元にされてしまい、復旧に多くの手間がかかります。訪問者にも被害が及べば、サイトの信頼そのものを失いかねません。だからこそ、被害が起きる前の「予防」が何より大切です。
セキュリティ対策は「これだけやれば100%安全」というものではありません。ファイアウォール・ログイン対策・スキャンなど、複数の対策を重ねる「多層防御」の考え方が基本です。この記事では、その主要な層を無料プラグイン1つでまとめて設定していきます。
Wordfence Securityとは?無料版でできること

「Wordfence Security」は、ファイアウォール・ログイン保護・マルウェアスキャンなどを1つにまとめたセキュリティプラグインです。Wordfence Security(WordPress.org公式)のページによると、有効インストール数は500万件以上にのぼり、多くのサイトで利用されています。
無料版でも主要な対策はひととおりカバーできます。ただし、一部の機能はPremium(有料版)限定です。無料版でできること・できないことを表にまとめました。
| 機能 | 無料版 | 補足 |
|---|---|---|
| ファイアウォール(WAF) | 利用可 | 脅威フィードの反映は30日遅延(コミュニティ版) |
| ブルートフォース保護 | 利用可 | ログイン試行回数制限・パスワード強度チェック等 |
| IPアドレス・カスタムパターンでのブロック | 利用可 | 手動でのブロックが可能 |
| マルウェアスキャン(標準) | 利用可 | マルウェア署名はコミュニティ版・反映30日遅延 |
| 二要素認証(2FA) | 利用可 | ログインセキュリティから設定 |
| 国別ブロック(Country Blocking) | 利用不可 | Premium限定 |
| リアルタイムIPブロックリスト | 利用不可 | Premium限定 |
| 監査ログ(Security Audit Log) | 利用不可 | Premium限定 |
このように、ファイアウォール・ログイン対策・IPブロック・マルウェアスキャンといった基本の防御は無料版だけで十分に構築できます。この記事では、これらの無料でできる対策を中心に設定を進めていきます。
STEP1:Wordfence Securityをインストール・有効化する
「プラグイン」→「プラグインを追加」から「Wordfence」を検索し、「Wordfence Security」をインストール・有効化します。有効化すると初回セットアップの案内が表示されるので、メールアドレスの登録や利用規約への同意を済ませてください。ライセンスの選択画面では、無料版を使う場合は無料プラン(Freeライセンス)を選べば問題ありません。
セットアップが完了すると、左メニューに「Wordfence」が追加され、「ダッシュボード」「ファイアウォール」「スキャン」「ツール」「監査ログ」「ログインセキュリティ」「すべてのオプション」といったサブメニューにアクセスできるようになります。

セットアップ時に登録したメールアドレスには、Wordfenceからのセキュリティ通知(管理者のログイン通知やスキャン結果など)が届きます。普段確認しやすいアドレスを登録しておくと安心です。
STEP2:ファイアウォール(Webアプリケーションファイアウォール)を有効化する
ファイアウォールは、不正な通信をサイトに届く前にブロックしてくれる「門番」のような機能です。まずはこれをしっかり効かせましょう。
1. ファイアウォールの設定画面を開く
左メニューの「Wordfence」→「ファイアウォール」をクリックします。ページ上部には「Webアプリケーションファイアウォール」「ファイアウォールのルール: Community」「リアルタイムIPブロックリスト」「ブルートフォース保護(パスワード推測攻撃をストップ)」といったカードが並んでいます。
無料版では「ファイアウォールのルール」の表記が「Community(コミュニティ版)」となっており、脅威情報の反映が30日遅れる仕様になっています。無料版でもファイアウォール自体は機能するので、この点を理解したうえで使えば問題ありません。

2. 保護レベルを確認・変更する
ファイアウォールの基本設定を開くと、「Webアプリケーションファイアウォールの状態」というドロップダウンがあります。導入直後は「学習モード」になっていることが多く、これはWordfenceがサイトの正常な通信パターンを学習するための状態です。
学習モードのあいだは正規の通信を誤ってブロックしないよう調整が行われます。一定期間が経過したら、より強力に保護する「有効化して保護」の状態へ切り替えることで、防御を本格的に効かせられます。
また、最大限の保護を得るには「WORDFENCE ファイアウォールの最適化」ボタンから、サーバー環境に合わせた最適化を行うことが推奨されています。この設定を行うと、WordPressが読み込まれるより前の段階でファイアウォールが動作するようになります。

ファイアウォールの最適化はサーバーの設定ファイル(.htaccess等)に変更を加える場合があります。作業前に、念のためサイト全体のバックアップを取っておくと安心です。設定画面の案内に従い、途中で表示される確認事項をよく読んでから進めてください。
STEP3:不正ログイン・総当たり攻撃への対策を設定する

総当たり攻撃(ブルートフォース攻撃)対策は、ファイアウォールページの「ブルートフォース保護」セクションから設定します。
1. ログイン試行回数の制限を設定する
「ブルートフォース保護」セクションを開くと、まず「ブルートフォース保護を有効化」というトグルがあります。ここがオンになっていることを確認してください。
次に「何回ログインに失敗するとロックアウトされるか」という項目があります。初期値は20回に設定されています。
攻撃者に何度も試行させないためには、この回数を5回程度まで減らすとより安全です。ただし、少なくしすぎると自分自身がパスワードを打ち間違えただけでロックアウトされてしまうため、無理のない範囲で調整しましょう。

2. パスワードの強度チェックを有効にする
同じ「ブルートフォース保護」セクションには、パスワードの安全性を高めるオプションもあります。
「情報漏えいで流出したパスワードの使用防止」を有効にすると、過去に漏えいが確認されたパスワードの使用を防げます。さらに追加オプションを開くと「強力なパスワードの強制」「プロフィール更新時のパスワード強度チェック」といった項目があります。これらを有効にすることで、利用者に強いパスワードの設定を促せます。

複数人でサイトを運用している場合は、弱いパスワードを使うユーザーが1人でもいると全体のリスクになります。こうした強制設定を有効にしておくと、全体の底上げにつながります。
STEP4:不審なIPアドレス・アクセス元を手動でブロックする
特定のIPアドレスやアクセス元から繰り返し不審なアクセスがある場合は、手動でブロックできます。無料版でもIPアドレス単位・カスタムパターン単位のブロックが可能です。
1. 「ブロック」ページでルールを追加する
左メニューの「Wordfence」から「ブロック」ページを開きます。上部の「ブロックタイプ:」で「IPアドレス」「国別」「カスタムパターン」のタブを切り替えられます。
ここで注意したいのが「国別」タブです。無料版のこのタブでは「国別ブロックによる地理的保護」という説明と「プレミアムへアップグレード」ボタンが表示されるだけで、国を選択してブロックする画面は表示されません。
国別ブロックはPremium限定機能です。無料版では「IPアドレス」または「カスタムパターン」を使いましょう。
2. IPアドレス・ホスト名・ユーザーエージェント単位でブロックする
「IPアドレス」タブを選ぶと、「ブロックする IP アドレス」の入力欄が表示されます。ブロックしたいIPアドレスを入力し、「ブロック理由」に後から自分が見て分かるメモ(例:「不審なログイン試行が多数」など)を記入します。
最後に「この IP アドレスをブロック」ボタンをクリックすると、そのIPアドレスからのアクセスを遮断できます。

より柔軟に条件を指定したい場合は「カスタムパターン」タブを使います。ここではIPアドレスの範囲・ホスト名・ユーザーエージェント(ブラウザやボットの識別情報)などを組み合わせて、ブロック条件を細かく設定できます。特定のボットからのアクセスを止めたいときなどに便利です。
どのIPをブロックすればいいか分からないうちは、無理に手動ブロックを増やす必要はありません。後述の「ライブトラフィック」で実際のアクセス状況を見ながら、明らかに不審なアクセス元だけを対象にするのがおすすめです。ファイアウォールとブルートフォース保護が有効なら、多くの攻撃は自動的に防がれます。
STEP5:マルウェアスキャンを実行・定期化する
最後に、サイトに不正なファイルが仕込まれていないかを調べる「マルウェアスキャン」を実行します。定期的にスキャンすることで、万が一の埋め込みを早期に発見できます。
左メニューの「Wordfence」→「スキャン」をクリックします。ページには「Wordfenceのスキャンが有効」と表示され、「スキャンタイプ: 標準」「マルウェア署名: Community」といった状態が確認できます。無料版ではマルウェア署名がコミュニティ版のため、反映が30日遅れる点は理解しておきましょう。
手動でスキャンする場合は「新しいスキャンを開始」ボタンをクリックします。スキャンが始まると、コアファイル・プラグイン・テーマなどがチェックされ、問題が見つかると結果に一覧表示されます。

公式のreadme.txtによると、Wordfenceのスキャンはコアファイルやプラグイン・テーマの改ざん、既知の脆弱性、不正なコードなどを検出します。初回は手動で1回実行し、問題がないことを確認しておくと安心です。
スキャンは一定間隔で自動実行されるようスケジュールされます。手動での実行だけに頼らず、自動スキャンが有効になっていることを確認しておきましょう。スキャンで問題が検出された場合は、STEP1で登録したメールアドレスに通知が届きます。
Wordfence Securityでファイアウォールやログイン対策を固めても、万が一に備えたサーバー側の防御・復元手段も重要です。
ラッコサーバーは、ログイン試行回数の制限・WAFの適用・毎月の脆弱性診断といったサーバー側の不正アクセス対策を標準で実施しており、プラグインでの対策と合わせて多層的にサイトを守れます。さらに30日間の自動バックアップも無料で利用できるため、万が一の際も復元しやすい環境です。
月額330円(税込)〜で利用でき、30日間の無料お試し期間中にサーバーを乗り換えて試すことも可能です。
設定後に確認しておきたいポイント(メール通知・Live Traffic・管理画面の見方)
ひととおり設定が終わったら、日々の運用で見ておきたいポイントも押さえておきましょう。
まず、メール通知の設定です。Wordfenceはスキャン結果や管理者のログインなどをメールで知らせてくれます。通知が届くメールアドレスが正しいか、STEP1で登録したアドレスを確認しておきましょう。
次に「ライブトラフィック」です。左メニューの「Wordfence」→「ツール」を開くと、「ライブトラフィック」「監査ログ」「Whoisルックアップ」「オプションのインポート/エクスポート」「診断」といったタブがあります。
「ライブトラフィック」では、サイトへのアクセスをほぼリアルタイムで確認できます。どこからどんなアクセスが来ているかを把握でき、STEP4で紹介した手動ブロックの判断材料にもなります。
「監査ログ」タブはPremium限定機能のため、無料版では利用できません。無料版でアクセス状況を把握したい場合は「ライブトラフィック」を活用しましょう。
管理画面の全体像は「ダッシュボード」で確認できます。ここでブロックした攻撃の件数や最近のアクティビティをまとめて見られるので、時々チェックする習慣をつけておくとよいでしょう。
また、ログイン対策をさらに強化したい場合は、管理画面のログインURL自体を変更する方法も効果的です。別プラグインを使った具体的な手順は【WordPress】管理画面のログインURLを変更する方法(SiteGuard WP Plugin)で解説しているので、あわせて対策すると安心です。
よくある質問
WordPressのセキュリティを強化するにはどうすればいいですか?
1つの対策だけに頼らず、複数の対策を組み合わせる「多層防御」が基本です。具体的には、ファイアウォールで不正な通信を防ぎ、ログイン試行回数を制限して総当たり攻撃を防ぎ、定期的なマルウェアスキャンで異常を早期発見します。この記事で紹介したWordfence Securityなら、これらをまとめて無料で設定できます。あわせて、プラグインやテーマ、WordPress本体を常に最新に保つことも大切です。
WordPressのセキュリティ対策におすすめのプラグインは?
この記事で解説した「Wordfence Security」は、ファイアウォール・ログイン保護・マルウェアスキャンを1つでまかなえる定番プラグインです。ログインまわりに特化した対策をしたい場合は「SiteGuard WP Plugin」も人気があります。まずはWordfence Securityで総合的な防御を固め、必要に応じて組み合わせるとよいでしょう。
Wordfence Securityは無料で使えますか?
はい、無料で使えます。ファイアウォール・ブルートフォース保護・IPブロック・マルウェアスキャン・二要素認証など、主要な機能は無料版で利用できます。ただし、国別ブロックやリアルタイムIPブロックリスト、監査ログなど一部の機能はPremium(有料版)限定です。多くのサイトでは、まず無料版から始めれば十分な対策ができます。
WordPressのプラグインを更新しないとどうなりますか?
古いバージョンのまま放置すると、既に見つかっている脆弱性を攻撃者に狙われやすくなります。プラグインの更新には、機能追加だけでなくセキュリティ上の修正が含まれていることが多いためです。更新を怠ると、その修正が適用されないまま危険な状態が続いてしまいます。こまめに更新するか、自動更新を有効にしておくことをおすすめします。
サイバー攻撃で特に多いのはどのような攻撃ですか?
WordPressで特に多いのは、ログイン画面に対する総当たり攻撃(ブルートフォース攻撃)です。IDとパスワードの組み合わせを大量に試して侵入を狙うもので、放置すると管理画面を乗っ取られる恐れがあります。ほかにも、古いプラグインやテーマの脆弱性を突いた攻撃、不正なコードを埋め込むマルウェア攻撃などが多く見られます。この記事のファイアウォールとブルートフォース保護は、これらの主要な攻撃への対策になります。
Wordfence Securityの国別ブロックは無料版でも使えますか?
いいえ、国別ブロック(Country Blocking)はPremium限定機能です。無料版の「ブロック」ページで「国別」タブを開くと、「国別ブロックによる地理的保護」の説明と「プレミアムへアップグレード」ボタンが表示されるだけで、国を選択してブロックする操作はできません。無料版で特定のアクセス元を止めたい場合は、STEP4で紹介した「IPアドレス」または「カスタムパターン」でのブロックを利用してください。
WordPressの欠点(デメリット)は何ですか?
WordPressは利用者が非常に多いため、その分だけ攻撃者にも狙われやすい点が欠点として挙げられます。プラグインやテーマの脆弱性が狙われることもあります。ただし、これは「対策できない弱点」ではありません。この記事で紹介したファイアウォール・ログイン対策・スキャンをきちんと設定し、こまめに更新すれば、リスクは十分に下げられます。人気の高さは情報量の多さという大きなメリットにもつながっています。
WordPressはセキュリティ面で使うのをやめたほうがいいですか?
やめる必要はありません。確かに狙われやすい面はありますが、それは正しく対策すれば十分にカバーできます。Wordfence Securityのようなプラグインでファイアウォールやログイン対策を設定し、本体・プラグイン・テーマを最新に保てば、安全に運用できます。世界中で使われている実績とサポート情報の豊富さは、ほかのCMSにはない大きな強みです。過度に恐れず、基本の対策を押さえて活用しましょう。
使わなくなったプラグインやテーマは削除すべきですか?
はい、削除することをおすすめします。有効化していないプラグインやテーマでも、ファイルがサーバー上に残っていれば、その脆弱性を突かれる可能性があるためです。使わないものを残しておくと、更新も忘れられがちで、かえってリスクの温床になります。今後も使う予定がないものは、無効化するだけでなく削除しておくと管理画面もすっきりして安全です。
まとめ
この記事では、無料プラグイン「Wordfence Security」を使ってWordPressのセキュリティを総合的に強化する方法を解説しました。要点を振り返ります。
- STEP1:プラグインをインストール・有効化する
- STEP2:ファイアウォール(WAF)を有効化し、保護レベルを確認する
- STEP3:ログイン試行回数の制限とパスワード強度チェックで総当たり攻撃を防ぐ
- STEP4:不審なIPアドレス・アクセス元を手動でブロックする
- STEP5:マルウェアスキャンを実行・定期化する
これらはすべて無料版だけで設定できます。1つずつ対策を重ねることで、サイトの安全性は大きく向上します。設定後は「ライブトラフィック」やメール通知でアクセス状況を見守りつつ、本体やプラグインの更新も忘れずに続けていきましょう。まずはできるところから、今日中に設定してしまうのがおすすめです。







