WordPress の「開いている扉」を閉める ── 24時間動き続ける自動攻撃から自社サイトを守る

国内の中小企業のウェブサイトの多くは、WordPress で構築されています。世界中で広く使われている分、攻撃側にとっても「同じ仕組みのサイトが大量にある」状態になり、サイト1つひとつを人手で狙うのではなく、自動化された仕組みで一斉にアクセスを試みる動きがあります。今回はその「自動攻撃」の入り口となる、サイト側の「開いている扉」について、わかる言葉でご案内します。

「自動攻撃」とはどんなものか

イメージしやすい例をひとつ。「このページに、ログイン用 ID を当て続けるプログラムを向ければ、いつかは入れるかもしれない」というのが、いわゆる総当たり攻撃（ブルートフォース）です。これを人手でやるとすぐ気づかれますが、機械的に、しかも世界中の WordPress サイトに対して同時に行えば、当たる確率は積み上がっていきます。

つまり、サイトを守る上で重要なのは「攻撃を止める仕組み」だけではなく、「攻撃の手がかりを、外に出しすぎない」という発想です。家でいうと、玄関の鍵を強固にすると同時に、「表札に家族構成や勤務先を書かない」ようなイメージになります。

外から「見えてしまいがち」な4つの手がかり

WordPress には、初期設定のままだと外部から確認できてしまう情報がいくつかあります。代表的なものを4つ、ご紹介します。

coremeo-check で確認できること

coremeo-check の「WordPress の攻撃面（公開状態）」項目では、これら4つの観点を中心に、外から見える範囲で確認します。診断中も、ログイン試行や管理画面の探索は行わない設計です。

• 🟢 良好：主要な情報露出・攻撃経路が塞がれている状態
• 🟡 注意：いくつかの情報露出が残っている状態（xmlrpc が有効、readme が公開、など）
• 🔴 危険：ログイン ID が外部から取得できる状態
• ⬜ 対象外：WordPress ではないサイト（この項目はスキップ）

対応の進め方 ── 自社／制作会社／専門家

WordPress の「攻撃面」を狭める対応は、いずれも比較的小さな設定変更で済むことが多いものの、「サイトの動作に影響しないか」を確認しながら進める必要があります。

• 自社で対応できそうな場合：セキュリティ系プラグインの設定で、REST API のユーザー列挙ブロック、xmlrpc の無効化、ジェネレータタグの非表示などが可能なものが多くあります。プラグインの設定画面と、その後の coremeo-check 再診断（🟢への変化）が、変更後の安心材料になります。
• 制作会社にご依頼の場合：「WordPress の情報露出を抑えたい」「REST API のユーザー列挙と xmlrpc を塞いでほしい」と伝えていただければ、対応可能なケースが多いです。サイト全体への影響範囲も合わせてご確認ください。

判断に迷う場合は、当社で30分の無料相談を承っています。現状の診断結果に応じて、優先順位の付け方をご一緒に整理します。

なお、ここでご紹介したのはあくまで「外から見える範囲」の対策です。WordPress 本体・プラグイン・テーマの定期的なアップデート、管理画面ログインの強固なパスワード化／二要素認証などは、外からは見えないものの、同じくらい大切なポイントになります。MEO 対策で集客を伸ばしているサイトほど、停止や改ざんの影響が事業に直結しますので、外から見える対策と、内側の運用面の両輪での点検をおすすめします。

次回は「通信の暗号化」をご案内します

次回は、coremeo-check の項目のうち、訪問者にもっとも目に見えやすい「HTTPS（通信の暗号化）／TLS 証明書／混在コンテンツ」をまとめてご紹介します。「保護されていない通信」というブラウザ表示が、なぜ起きるのか、どう向き合うかという観点です。

---

まずは自社サイトを診断してみる

URL を入力するだけ、登録は任意、攻撃的なアクセスを行わない設計です。診断結果は信号機の色でその場で表示されます。

※ coremeo-check は受動診断ツールであり、ウェブサイトの安全性を保証するものではありません。診断結果は外部から確認できる公開情報の範囲に限定されます。具体的な対応の必要性・優先順位は、各サイトの運用状況に応じてご判断ください。