WordPress Security Checklist

WordPress で稼働しているウェブサイトがハッキングされる原因は WordPress にあるわけではなく、そのほとんどが開発中に回避できるいくつかの設定ミスによるものです。あなたのウェブサイトのセキュリティを高めるために取るべき行動のチェックリストであること、それがこのプロジェクトの考えです。

wp-config

セキュリティキーを更新する (WordPress.org の生成ツール)
wp-config.php に define('DISALLOW_FILE_EDIT', true); を追加してファイル編集機能を無効化する
HTTPS 利用時は define('FORCE_SSL_ADMIN', true); を設定する
本番環境では WP_DEBUG を無効にし、デバッグ情報を公開しない

ログイン画面

総当たり攻撃対策としてログイン試行回数制限とレート制限を設定する
管理者アカウントで多要素認証を有効化する (可能なら passkeys/WebAuthn を優先)
admin など推測されやすいユーザー名を使わず、共有アカウントを避ける
テーマからログイン画面へのリンクを削除する (もし入っていれば)
すべてのアカウントで強力かつ一意のパスワードを使う (パスワードマネージャー推奨)
インシデント発生時や担当変更時にセッション無効化とパスワードローテーションを実施する
ログインエラーメッセージを汎用的なものにする (ユーザー名/パスワード) (チュートリアル)

管理画面

wp-admin ディレクトリをパスワード保護する (必要なファイルのみブロックを解除)
WordPress を最新版にアップデートする
admin という名前でユーザーを作成しない。もしある場合、そのアカウントは削除して新しい管理者ユーザーを作成する
編集者権限のユーザーを作成し、コンテンツの公開はそのユーザーを使用する
管理画面のアクセスには SSL を使用する
管理者アカウントを定期的に棚卸しし、不要ユーザーを削除する
マルウェアスキャンと改ざん検知を定期実行する
侵害時の対応手順 (封じ込め/復旧/秘密情報ローテーション) を用意する

テーマ

テーマを最新版にアップデートする
使っていないテーマを削除する
信頼できるソースからテーマをダウンロードして使用する
保守が継続され、更新履歴とセキュリティ修正が明確なテーマを選ぶ

プラグイン

全てのプラグインを最新版にアップデートする
使っていないプラグインを削除する
信頼できるソースからプラグインをダウンロードして使用する
古いプラグインは代わりとなる新しいプラグインに置き換える
たくさんプラグインをインストールする前によく考える
不要な権限を要求するプラグインを見直して削除する

データベース

DB ユーザーは強力で一意の認証情報を使用し、最小権限にする
自動バックアップを設定し、オフサイトにも保存する
バックアップ復元テストを定期的に実施する
バックアップは転送時/保管時ともに暗号化する

ホスティングサービス

信頼できるホスティングサービスを借りる
サーバへの接続は SFTP か SSH を使用する
全てのディレクトリを 755、ファイルを 644 に設定する (WordPress の公式セキュリティ強化ガイド)
wp-config.php ファイルが他者からアクセスできないことを確認する
license.txt, wp-config-sample.php, readme.html ファイルは削除するか .htaccess でアクセスをブロックする
.htaccess に次のコードを追加してディレクトリ一覧の表示を防ぐ: Options All -Indexes
可能であれば WAF/CDN を導入し、Bot/DDoS 防御を有効化する
稼働監視とセキュリティ通知 (SSL期限/ログイン急増/マルウェア) を設定する
必要がない限り XML-RPC を無効化する
公開リクエストによるユーザー名の列挙を防ぐ (?author= など): Web サーバーのルール (Apache .htaccess、nginx)、セキュリティプラグイン、または不要なら公開の著者アーカイブを無効化する (WordPress の公式セキュリティ強化ガイド).
Apache（.htaccess）の例を表示
```
# 数値の author= 列挙をブロック（301 でクエリを外す）
RewriteEngine On
RewriteCond %{QUERY_STRING} ^author=\d [NC]
RewriteRule ^ %{REQUEST_URI}? [L,R=301]
```