WordPress のセキュリティスキャン完全ガイド

WordPress のセキュリティ概念図（ロゴと盾のイメージ）

要点

WordPress サイトは定期的にセキュリティスキャンを行う必要があります。無料ツールは初期診断に有効ですが、商用サイトや機密データを扱う場合は有料の包括的スキャンやホスティング側の保護（WAF、マネージドホスティング）を検討してください。

なぜ WordPress のスキャンが必要か

オンライン上の脅威は増え続けています。ハッカー、マルウェア、ウイルスはサイトのプライバシーや可用性を狙います。設計者・開発者として、WordPress のセキュリティは重要な責務です。放置するとユーザー情報流出、SEO ペナルティ、ホスティング料金の高騰など実害につながります。

事実の指標として、Sucuri の報告では「感染したウェブサイトのうち WordPress が占める割合は 83%」とされ、過去の統計では 2016 年に「パッチ未適用のハックされた WordPress サイトは 61%」であったものが、後に約 39.3% に減少したと報告されています。これらの数値は、WordPress サイトが攻撃対象になりやすいことを示唆します。

重要な点: スキャンは“ゼロトラスト”や“完全安心”を与えるものではなく、インシデント発見・予防を助けるプロセスです。

サイト脆弱性のサイン

次のような状態があれば、優先的に調査してください。

ユーザー名が「admin」や「administrator」になっている。
短く推測しやすいパスワードを使っている。
古い・脆弱なプラグインやテーマを放置している。
管理画面からプラグイン／テーマ編集が有効になっている。
パスワード保護のない重要ファイルが公開されている。
サーバーや作業端末自体が不安全（マルウェア感染、未更新）である。

これらは典型的であり、どれか一つでも当てはまればリスクが高まります。

手軽なスキャンツール（無料／低コスト）

初期診断に使えるツール例を挙げます。これらは速く簡単ですが、深部のバックドアやサーバー側の侵害までは検出できないことがあります。

Sucuri SiteCheck — マルウェア、ウイルス、エラー、古いセキュリティ状態をチェックします。
WPScan — 無償のスキャンツール。商用利用は有料ライセンスが必要な場合があります。
Norton Safe Web — サイトをスキャンして脅威を報告します。
WordPress Security Scan — 脆弱性チェック。高度な解析は有料版を検討。

注意点: これらは“表層的な診断”に優れますが、ファイル整合性の綿密な検査や未知のバックドア、サーバーコンプロマイズ（root 権限侵害）などは検出し切れないことが多いです。

詳細・高度なスキャン（商用サイト向け）

商用サイトや個人情報を扱うサイトは、より包括的なスキャンと継続的な保護が必要です。以下は検討すべき機能やツールの種類です。

総合的なファイル検査（コアファイル、プラグイン、テーマ、アップロードディレクトリ）
ファイル整合性モニタ（改変があれば通知）
深部の静的解析（疑わしい関数、エンコードされたコード、シェルコマンド呼び出しの検出）
脆弱性アラート（公開された CVE やパッチ未適用の通知）
実行時攻撃検出（WAF／IDS 経由でのブロッキング）
マルウェア駆除／フォレンジックサポート

例:

Total Security: コアファイルとサイト全体のマルウェア検出、アラート機能。
Vulnerability Alerts: 脆弱性を特定し、ファイル・プラグイン・テーマの深層をチェック。
Plugin Inspector: コード内の危険な関数呼び出しやパターンを詳細に検索。

これらは単体で万能ではないため、複数のレイヤー（スキャン + WAF + マネージドホスティング + バックアップ）を組み合わせることが推奨されます。

セキュリティ強化の具体的手順（すぐ実行できること）

プラグインとテーマを最新に保つ
- WordPress 管理画面にログインし、ダッシュボード→更新から更新を適用します。
不要なプラグインは完全に削除する
- 無効化だけでなく削除しましょう。未使用プラグインは攻撃面を増やします。
強力なパスワードを使う
- 8 文字以上、記号、大小文字、数字を混ぜる。辞書単語のみのパスワードは避ける。
フォームに CAPTCHA を導入する
- スパムや自動送信を防ぎます。ログイン・問い合わせフォームに実装を。
ログイン試行回数を制限する
- 「Limit Login Attempts Reloaded」などのプラグインで試行回数を制限します。
管理画面からのファイル編集を無効にする
- wp-config.php に define(‘DISALLOW_FILE_EDIT’, true); を追加して、テーマ／プラグイン編集を無効化します。
二段階認証（2FA）を実装する
- 管理者アカウントには必ず 2FA を導入しましょう。
定期バックアップを自動化する
- リストア手順のテストも定期的に行います。
ファイルとディレクトリの権限を適切に設定する
- 通常はファイル 644、ディレクトリ 755、wp-config.php はより厳格に設定。
ホスティング選定でセキュリティ機能を確認する

WAF、マルウェアスキャン、隔離機能、ログ監査があるかを確認します。

決定フロー：無料スキャンか有料スキャンか

以下は選定の簡易フローチャートです。

flowchart TD
  A[サイトの重要度を評価] --> B{商用サイト or 機密データあり？}
  B -- はい --> C[有料の包括的スキャン + マネージドホスティング + WAF を検討]
  B -- いいえ --> D{技術リソースはある？}
  D -- はい --> E[無料ツールで定期スキャン + 自動バックアップ + 手動検査]
  D -- いいえ --> F[無料ツールで初期確認。問題が見つかれば有料へ移行]
  C --> G[継続監視とインシデント対応契約を締結]
  E --> G
  F --> G

代替アプローチと補完策

マネージド WordPress ホスティングを選ぶ
- セキュリティやバックアップをプロバイダに任せることで運用負荷を下げられます。
Web アプリケーションファイアウォール（WAF）導入
- 多くの攻撃を自動で遮断します。クラウド型 WAF とホスティング内蔵型を比較検討。
サンドボックス環境での動作検証
- 新しいプラグインやテーマは公開前にステージング環境で検証。
最小権限の原則（Least Privilege）を徹底
- 管理者アカウントの数を絞り、必要が無ければ権限を下げる。

いつ無料スキャンは役に立たないか（失敗のケース）

サーバーの root レベルが侵害されている場合
暗号化されたペイロードや難読化されたバックドアが埋め込まれている場合
ログイン後にのみ動作するマルウェア（認証ベースのバックドア）
外部のパートナーや CI/CD パイプラインが侵害されている場合

これらは表面的なスキャンでは検出されにくく、詳細なフォレンジック調査やホスティング事業者の協力が必要です。

セキュリティ成熟度モデル（目安）

初期（Basic）: 無料スキャン、プラグインの最小化、強力なパスワード
中級（Intermediate）: 自動バックアップ、2FA、ログイン試行制限、ステージング環境
上級（Advanced）: 定期的な有料スキャン、WAF、ファイル整合性監視、フォレンジック計画
企業（Enterprise）: SLA のあるマネージドホスティング、24/7 インシデント対応契約、脆弱性監査

ロール別チェックリスト（開発者・サイト管理者・ホスティング運営者）

開発者:

プラグイン・テーマの安全性をコードレビューで確認
ステージングでテストを実施
シークレットや API キーを公開リポジトリに置かない

サイト管理者:

定期的な更新とバックアップを設定
管理者アカウントの監査を行う
2FA と強力なパスワードを強制

ホスティング運営者:

WAF、IPS、ログ保存の実装
分離された権限とコンテナ／仮想環境の運用
セキュリティインシデント時の連絡窓口を明示

インシデント対応手順（実行順）

影響範囲の特定: サイトのどの部分が影響を受けているかを確認する。
一時的な隔離: 必要に応じてサイトをメンテナンスモードにする、疑わしいユーザーを無効化する。
バックアップからの復旧準備: 攻撃前のクリーンなバックアップがあるか確認する。
ログ収集と保存: アクセスログ、エラーログ、管理ログを保存してフォレンジックに備える。
感染ファイルの除去とパッチ適用: 検出されたマルウェアや脆弱性を修正する。
パスワードとキーの全数ローテーション
外部に通知（必要時）: ユーザー、規制当局、支払プロバイダへの連絡を検討。
ポストモーテム: 何が起きたか、再発防止策を文書化する。

テストケースと受け入れ基準

自動スキャンが 7 日以内に実行され、結果が管理者にメール通知されること。
既知の脆弱性（テスト用）を導入したステージングサイトで検出されること。
バックアップからの復旧が 2 時間以内に完了すること（RTO の例）。
重要ファイルに未承認の変更があった際にアラートが発生すること。

（RTO は環境により変動するため、実運用で目標値を定めてください。）

テンプレート: 日次／週次／月次 SOP（例）

日次
- 自動バックアップの成功を確認
- セキュリティログの異常を簡易チェック
週次
- プラグインとテーマの更新確認
- スキャン結果のレビュー
月次
- フルサイトのマルウェアスキャン
- ステージング環境でのアップデート検証
- インシデントレスポンス訓練の実行

プライバシーと法令順守（注意点）

サイトに個人データを保存する場合、GDPR や地域のデータ保護法に従ってください。セキュリティインシデントが個人データの漏えいを生じた場合、通知義務や報告要件が発生することがあります。法的義務は地域によって異なりますので、必要に応じて法務やプライバシー担当と連携してください。

よくある誤解と反論（カウンターワード）

「無料ツールだけで十分」 — 小規模なサイトなら問題発見に役立ちますが、深刻な侵害やサーバー側の問題は見逃しがちです。
「更新は面倒だからやらない」 — 更新しないと既知の脆弱性を放置することになり、リスクが高まります。
「全部ホスティング任せで安心」 — 多くのホスティングは基本保護を提供しますが、プラグインの脆弱性や管理者のミスは顧客側の責任であることが多いです。

1行用語集

WAF: Web アプリケーションファイアウォール。HTTP レベルで攻撃を遮断する。
2FA: 二段階認証。ログイン時に追加の検証要素を要求する。
FIM: ファイル整合性監視。ファイルの改変を検出する。

まとめ

WordPress のセキュリティスキャンは、サイト運用の必須プロセスです。無料ツールは素早い初期診断に有用ですが、商用サイトや機密情報を扱う場合は有料の包括的スキャン、WAF、マネージドホスティング、定期的なフォレンジック計画を組み合わせるのが現実的で安全です。まずは今すぐ現状の簡易スキャンとバックアップの確認を行い、リスクに応じて保護レベルを段階的に引き上げてください。

重要: スキャンは防御の一部です。最終的な安全性の担保には、運用プロセス、権限管理、継続監視、そしてインシデント対応能力が必要です。

付録: すぐ使えるチェックリスト（コピーして使える短縮版）

全プラグイン・テーマを最新化
不要プラグインを削除
管理者アカウント名を見直し「admin」を廃止
強力なパスワードと 2FA を有効化
ログイン試行回数制限を導入
wp-config.php に DISALLOW_FILE_EDIT を追加
自動バックアップとリストア手順を確認
無料スキャンで表層を確認、必要なら有料スキャンへ移行

WordPress サイトのセキュリティスキャン完全ガイド