【プロ直伝】WordPressセキュリティ診断ガイド|30秒でできる無料チェックと対策
「サイトが重い」「身に覚えのない広告が出る」 その違和感、ハッキングの兆候かもしれません。
この記事では、専門知識がなくても今すぐできる「セキュリティ診断」の方法を、プロの視点でわかりやすく解説します。
URL入力のみ!無料の「Sucuri SiteCheck」で外部から即診断
登録不要、URLを入れるだけで「外側」から見える異常をその場でチェックできる、世界的な定番ツールです。
- ツール:Sucuri SiteCheck
- 使い方:サイトURLを入力し「submit」をクリック。
- わかること:マルウェア感染、ブラックリスト登録、更新漏れなど。
あくまで簡易診断です。サーバー内部までは検知できないため、「安全」と出ても過信は禁物です。
内部から徹底チェック!セキュリティ診断プラグイン2選
無料のオンラインツールでは確認できない、サイトの「内部」まで診断するには、プラグインを使います。ここでは、信頼できる2つの定番プラグインをご紹介します。
Wordfence Security(ワードフェンス)
世界シェアNo.1の定番セキュリティプラグイン。
- プラグイン:Wordfence Security
- 特徴:膨大なデータをもとに、脆弱性や不正ファイルを高精度で検知。
- 使い方:インストールしてスキャンボタンを押すだけです。
- 判断:「Critical(危険)」が出たら即対応が必要。
WP Doctor(ワードプレスドクター)
日本語完全対応の国産マルウェアスキャナー。
- プラグイン:WP Doctor
- 特徴:ワンクリックで診断可能。シンプルですが高精度です。
- 使い方:インストールしてスキャンボタンを押すだけです。
- 活用法:Wordfenceが難しい場合や、念のための「再検査」に最適。
今すぐ確認!セキュリティ「セルフ診断」4選
ツールを使わなくても、以下の兆候があれば危険信号です。
Google検索結果の確認(インデックス状況の確認)
- Googleの検索窓に
site:あなたのドメイン(例:site:wpallsafe.com)と入力。 - 無関係な「商品名」などのページが表示されたら、日本語スパムに感染しています。
ユーザーの確認
- WordPress管理画面の左メニューから「ユーザー」をクリックし、一覧を確認。
- 見覚えのないユーザーがいたら、即削除・パスワード変更してください。
更新状況の確認
- 管理画面の「更新」を確認してください。
- 更新の放置は最大の感染原因です。バックアップを取り、全て最新版へ。
使用していないプラグインは「無効化」ではなく「削除」しましょう。
転送(リダイレクト)の確認
- シークレットモード(ログアウト状態)でスマホ・PCからアクセス。
- 勝手に別サイトへ飛ばされないか確認してください。
もし勝手に別サイトへ飛ばされたら、100%マルウェアに感染しています。 放置すると被害が拡大し、検索結果からも削除されます。今すぐWP Allsafeへご連絡ください。
診断で「危険」と判定されたら行う3ステップ
SucuriやWordfence、あるいはセルフチェックで「危険」判定が出ても、慌ててファイルを削除してはいけません。以下の順序で対応してください。
手順1:バックアップを取得
- All-in-One WP Migrationや、サーバーの管理画面からバックアップを取得。
サーバーに「感染前」の自動バックアップが残っている場合は、必ずそれをダウンロードして確保してください。
手順2:不要なものを削除し、全て更新して再スキャン
警告の原因が、単に「バージョンが古いだけ」のケースも多いです。
- 使っていないプラグイン・テーマを完全に削除する。
- 残りの本体・プラグイン・テーマを全て最新版に更新する。
- もう一度スキャンを実行する。
これだけで警告が消えれば、ひとまずは安心です。
手順3:それでも消えないなら「WP Allsafe」へ
アップデートしても警告が消えない、あるいは「コアファイルの改ざん」が検知された場合、事態は深刻です。
無理な自力対応は危険です。間違ったコードを削除すると、画面が真っ白になり復旧不可能になるリスクがあります。 無理に触らず、私たち専門家にご相談ください。早期発見・早期治療が、被害と修復費用を最小限に抑えます。
【重要】無料ツールの「限界」を知っておく
無料ツールは優秀ですが、万能ではありません。以下の3つのリスクを理解した上で使いましょう。
- 新種のマルウェアは検知できない:過去のデータベースに基づき判定するため、登録されていない最新のマルウェアや、設定の不備は見つけられません。
- 誤検知(誤判定)のリスクがある:安全なファイルを「危険」と判定する場合があります。誤って削除すると、サイトが破損し表示されなくなる恐れがあります。
- 駆除や復旧はできない:ツールができるのは「発見」までです。マルウェアの削除や、感染前の正常な状態への復旧作業は行われません。
WP Doctorを入れた状態でWordfenceでスキャンすると、WP Doctorのファイルを「怪しいファイル」として警告することがあります。
どれが本当に削除すべきファイルなのか、判断するには専門的な知識が必要です。
プロの専門業者に診断を依頼すべきケース
一つでも当てはまる場合は、自力対応は危険です。すぐに専門業者へ相談してください。
- 顧客情報を扱うECサイトや会員サイトを運営している
- 身に覚えのない広告が出るなど、すでに被害が出ている
- サイトがビジネスの売上に直結しており、1日でも止まると困る
- 「正直、何をすれば良いか全くわからない」
診断結果を「安全」に保つ予防策
診断で問題がなかったとしても、明日はわかりません。今日からできる「予防策」を3つ紹介します。
- WAF(ファイアウォール)をONにする:レンタルサーバーの管理画面で「WAF設定」を有効化するだけです。最強の盾になります。
- 自動バックアップを設定する:攻撃されても、昨日のデータがあれば復旧できます。プラグイン(UpdraftPlus等)で毎日自動保存しましょう。
- パスワードを複雑にする:「123456」などは論外です。15桁以上のランダムな文字列に変更し、不要な管理者ユーザーは削除してください。
まとめ
- Sucuri で外からチェック。
- Wordfence で中をチェック。
- セルフチェック で目視確認。
- 異常があれば、触らずにプロへ相談。
この手順を守るだけで、最悪の事態は防げます。 「自分のサイトは本当に安全?」と不安な方は、まずはWP Allsafeの無料相談をご利用ください。
▼ WP Allsafeのサービス・料金について、詳しくはこちら
WP Allsafeのサービスページへ