WordPress サイトのセキュリティをテストする方法 2026 (無料ツールと完全な監査チェックリスト) - JA

攻撃者は中央値 5 時間で WordPress の新たな欠陥を武器化します. プラグインの脆弱性が受信箱に届くまでに, 通常、ボットはすでにあなたのサイトでそれを試しています. この 5 時間のギャップこそ、悪いニュースが見つかるのを待つのではなく、自分のサイトをテストする理由のすべてです。. このガイドでは、WordPress サイトに穴がないか確認する方法を説明します。, 10 分間の無料スキャンから四半期ごとに繰り返すことができる完全な監査まで.

簡単な回答: 最初に 2 つの無料の外部スキャンを実行します (SiteCheck と WPScan のジュース), 次に、Qualys SSL Labs と securityheaders.com を使用して暗号化とヘッダーをグレード付けします。. 進行中のものについては, スキャン プラグインを 1 つインストールする (ほとんどのサイトの Wordfence, ページ速度が重要な場合は MalCare). 次に、すべての管理者に対して 2 要素認証をオンにします, XML-RPC を使用しない場合はオフにします.


WordPress サイトのセキュリティをテストする方法-min


最終レビュー済み: 六月 2026. ツール, プラグイン名, 現在の情報源に照らして検証された脆弱性データ.

このガイドの調査方法

あなたのサイトに対してライブ侵入テストは実行していません, そしてどの記事もそれはできません. 私たちがやったこと: ここにリストされている各無料スキャナーを開いて、このガイドで説明されている方法で動作することを確認してください。. WordPress.org とベンダーのページで現在のプラグインのインストール数と機能セットを確認しました。. そして、Patchstack の State of WordPress Security レポートと脅威の数値を相互参照しました。 2025. ツールの名前または所有者が変更された場合, 私たちはそう言います. 強固なセキュリティ, 例えば, 最も古いガイドでは今でも iThemes Security と呼ばれているプラ​​グインです. フリーウェイトを行いました, まずはインストール不要のツール (なぜなら、ほとんどの読者はお金を使う前にテストしたいからです。), その後継続中のプラグイン, 次にホストレベルの保護. 現在のページで確認できなかったもの, 私たちは取り残されました.

WordPress セキュリティテストで実際にチェックされる内容

WordPress セキュリティ テストは、他の人に見つかる前に、サイトの既知の弱点をチェックします。. 4層で見る: あなたのソフトウェア (芯, プラグイン, テーマ), あなたのログイン, ファイルのアクセス許可, そしてあなたの暗号化. ほとんどの危険は最初の危険に潜んでいます.

ここが一番大事なこと “監査” 投稿をスキップする. WordPress が充実しました 11,334 の新たな脆弱性 2025, 上 42% 前年に, そしておおよそ 91% そのうちのはプラグインにありました. 別 9% テーマから来ました. コア自体は6つありました, すべて優先度が低い. したがって、実際のテストでは、エネルギーのほとんどがアドオンに費やされます。, WordPress 自体ではありません. クロスサイト スクリプティングだけで約 41% 報告されたすべてのことのうち. テストで古いプラグインにフラグが立てられない場合, それは間違ったことをテストしている.

2種類のテストが存在する, そしてあなたは両方が欲しいです. 外部の (リモート) スキャンは、オープン インターネット上の攻撃者が行うようにサイトを調べます。, ログインなしで. 内部スキャンは WordPress 内から実行され、ファイルを読み取ることができます, 既知の正常なコピーと比較する, そしてスポット変化. リモートツールは目に見えるものをキャッチします; 内部ツールが改ざんされたものを捕捉する.

実行できる無料のテスト 10 分 (プラグインは必要ありません)

ここから始めましょう. これらはいずれもサイトのコードには影響しません, したがって、何かを壊すリスクはゼロです, 実行するためにログインする必要はありません.

  • サイトチェックジュース (サイトチェック.sucuri.net): URL を貼り付けると、目に見えるマルウェアがないかチェックされます, スパム注入, 汚損, ドメインがブラックリストに載っているかどうか. 限界に対して迅速かつ誠実. ブラウザが見ているものだけを見るため, サーバー側の感染をキャッチできない, したがって、クリーンな結果を次のように扱います “明らかなことは何もない,” いいえ “すべてクリアです。”
  • WPSスキャン (wpscan.com): WordPress 固有のスキャナー. バージョンのフィンガープリントを取得します, プラグイン, とテーマ, 次に、それらを数万件の既知の問題を追跡する脆弱性データベースと照合します。. 無料利用枠では、API トークンの簡単なサインアップが必要で、1 日あたりのスキャン数が設定された回数に制限されます, 1 つのサイトにはこれで十分です.
  • クアリスSSLラボ (sslabs.com/ssltest): HTTPS 設定を A+ から F まで等級付けします. 証明書を読み取ります, プロトコルのバージョン, および暗号スイート. A 未満のものは、修正する価値のある弱い暗号化または古い暗号化を意味します。.
  • securityheaders.com: ワンクリックでHTTPレスポンスヘッダーのレターグレードを取得. Content-Security-Policy または HSTS ヘッダーが欠落しているのはよくあることであり、修正は簡単です, このツールは、どれが欠けているかを正確に教えてくれます.
  • MDN HTTP 観測所 (このツールは今でも多くの人が Mozilla Observatory と呼んでいます): 上記の 2 つと重複する広範なベスト プラクティス チェックであり、各ヘッダーがなぜ重要なのかについてのコンテキストを追加します。.

5 つすべてを実行する, 成績を書き留める, 10 分以内にベースラインが得られます. すべてがきれいに戻ったら, すごい. とにかく手動チェックリストに移動する, リモートスキャナはログイン画面の背後にあるものを見逃してしまうためです.

手動監査チェックリスト: 自分で何を確認するか

リモートスキャナーがログインできない. あなたはできる. これは、攻撃者が実際に悪用する弱点を捉える部分です. ダッシュボードを開いた状態で作業を進めてください.

  • 古いソフトウェア. チェックコア, すべてのプラグイン, 利用可能なアップデートのすべてのテーマ. WordPress の実行 7.0 “アームストロング” 以降では、マイナーなセキュリティ パッチが自動的に維持されます, しかし、プラグインにはまだ注意が必要です. 使っていないものは削除しましょう. 非アクティブ化されたプラグインのコードがサーバー上に残っています.
  • 放棄されたプラグイン. 各プラグインのページを開いて見てください。 “最後に更新されました。” 1 年以上放置されているプラ​​グインには責任があります, 特徴ではない. メンテナンス済みの代替品を探す.
  • ユーザーアカウントとロール. 古い管理者アカウントを削除する, 管理者権限を必要としないユーザーをダウングレードする, アカウントがユーザー名を使用していないことを確認してください “管理者。” 追加の管理者はすべて、別の完全なキーのセットになります.
  • 2要素認証. すべての管理者アカウントと編集者アカウントで 2FA がオンになっていることを確認します, 理想的には認証アプリを使用する (TOTP) SMSではなく. 多くのセキュリティ専門家は、これを唯一の最も大きな影響を与える変更だと呼んでいます。. さらに先へ進みたい? パスキー (ウェブ認証) アプリコードでもできない方法でフィッシングを阻止します, でも 2026 まだプラグインのみです, 芯まで焼き込まれていない. いずれかの方法でバックアップ コードを生成する.
  • ログインの強化. 失敗したログイン試行には制限がありますか? ログインフォームの CAPTCHA? These slow brute-force bots to a crawl.
  • XML-RPC. If you don’t use the Jetpack app, remote publishing, or pingbacks, disable xmlrpc.php. これは system.multicall method lets attackers test hundreds of password guesses in one request, which is why it’s a favorite brute-force target.
  • ファイルの権限. Directories should be 755 (また 750), ファイル 644 (また 640), と wp-config.php should be 440 また 400, 一度もない 644. Leaving wp-config readable hands your database credentials to any process on the server.
  • Dashboard file editing. 追加 DISALLOW_FILE_EDIT to wp-config.php. If an attacker ever gets in, the built-in editor is their fastest path to injecting code. Most production sites never need it.
  • SSL and headers. Confirm HTTPS is forced site-wide (no mixed content) and act on the SSL Labs and securityheaders grades from the last step.
  • バックアップ. Verify you have recent, off-site backups and that you’ve actually restored one at least once. テストしたことのないバックアップは推測です, セーフティネットではない.
  • ホスティング層. 優れたホストは、WordPress に到達する前に多くのことをブロックします。. 共有ホスティングを利用していて、これに真剣に取り組んでいる場合, への移動 マネージドWordPressホスティング シフトパッチ, ファイアウォール, プロバイダー上でのマルウェアのスキャン.

セキュリティプラグインを使用してより詳細な自動監査を実行する (ステップバイステップ)

外部スキャンとチェックリストによりスナップショットが得られます. スキャン プラグインにより、サイトを常に監視するトリップワイヤーが提供されます. セットアップして完全な監査を実行する方法は次のとおりです.

  • 1. プラグインを 1 つ選択してください, 3つではない. 2 つのファイアウォールまたは 2 つのスキャナを同時に実行すると、競合や誤ったアラームが発生します. ワードフェンスを選択, マルケア, 強固なセキュリティ, スクリ, またはAIOS, それからそれに固執する.
  • 2. まずバックアップしてください. セキュリティ設定に関わるものをインストールする前に、新しいバックアップを作成してください, ファイアウォール ルールによってページが破損した場合にロールバックできるようにする.
  • 3. 最初のフルスキャンを実行する. インストールしてみましょう, 次にコアファイルを比較します, プラグイン, 検証済みのオリジナルに対するテーマ. ここは、変更または挿入されたファイルが表面化する場所です.
  • 4. 重大度別に結果を読む. 重要かつ重要な発見を最初に. アップロード フォルダー内の変更されたコア ファイルまたは不明な PHP は危険信号です. 優先度の低い通知は待つことができます.
  • 5. ファイアウォールをオンにする. Web アプリケーション ファイアウォールを有効にし、ルールを強化する前に数日間トラフィックを学習させます。.
  • 6. アラートを設定する. ファイル変更に関する電子メールまたは Slack 通知, 失敗したログイン, および新しい管理者アカウント. トラブルが起きたその日に聞きたい, 次の四半期ではない.
  • 7. 定期的なスキャンをスケジュールする. 店舗の毎日, パンフレットサイトの毎週. 自動化してメモリに頼らないようにする.
  • 8. 無料の外部スキャンを再実行します. プラグインが混合コンテンツまたはヘッダーの回帰を引き起こしていないことを確認する.

どのプラグイン? Wordfence はサーバー上で実行され、WordPress レベルの詳細な可視性を提供します。, エンドポイント ファイアウォールとマルウェア スキャナーを搭載 5 百万インストール. MalCare はスキャンを独自のクラウドに移動します, ディープスキャンによりサーバーに負担がかかりません, すでに感染している場合は、ワンクリックで削除するのが最も早いクリーンアップです。. Sucuri は、トラフィックが到達する前にフィルタリングするクラウド ファイアウォールと無料のプラグインを組み合わせています. 後ろのお店に似合いますね CDN, または以前にアクセスされたサイト. 強固なセキュリティ (はい, 古い iThemes セキュリティ) ログインの強化に焦点を当て、初心者向けに各修正を分かりやすい言葉で説明します。.

WordPress のセキュリティをどのくらいの頻度でテストする必要がありますか?

少なくとも 6 か月ごとに完全な監査を実行する. そこが床です, ゴールではない. これらのいずれかの後に再度テストしてください: メジャーコアリリース, プラグインの追加または削除, ホストの移行, またはスパムのリダイレクトやトラフィックの突然の減少などの問題の兆候. スピードが理由です. 10月にGutenKitとHunk Companionの脆弱性が発見されたとき 2025, 攻撃者が発砲した 9 2週間で数百万回のエクスプロイト試行. パッチが投下された日にスキャンしたサイトは問題ありませんでした; 1ヶ月待った人がターゲットになった.

ケイデンスは賭け金に応じて変化します. 個人ブログは四半期ごとに実行可能. 実際の支払いを受ける WooCommerce ショップは毎日スキャンし、毎週ログを確認する必要があります, そこが侵害されると顧客データが漏洩するため, あなただけのものではありません. お店を経営するなら, セキュリティのハードルは全体的に高い, これは、基本的な共有プランではなく、店舗向けに構築されたホスティングに関する独自の主張です。.

テストで何かが見つかった場合の対処方法

問題が見つかりました? 慌てないで, ファイルを無作為に削除し始めないでください. この順序でトリアージする.

初め, 自分が脆弱であるか、すでに侵害されているかを把握する. フラグが付けられた古いプラグインにはパッチを適用できるリスクがあります. 不明な PHP ファイル, 馴染みのない管理者ユーザー, または、あなたが書いていないコンテンツは、すでに侵害されている可能性があることを意味します, そしてそれは別の仕事です. 生感染症の場合, サイトをメンテナンス モードにします, 侵害前のクリーンなバックアップを復元する, それから彼らが入る穴を塞ぎます. そうしないと再感染するだけです.

単純な脆弱性の場合, 修正はたいてい退屈だ: プラグインを更新または削除する, 許可を厳しくする, 不足しているヘッダーを追加する, 2FA を有効にする. 検出されたスキャンを再実行して、検出結果がなくなったことを確認します. 弱点は継続的なブルートフォースか、ログインを妨害するジャンクトラフィックか? それはエッジの仕事です. DDoS 保護機能が組み込まれたホスティングにより、フラッドが PHP に到達する前に阻止されます。.

テストツールキットの選び方

すべてのツールが必要なわけではありません. 状況に応じて適切な 2 つまたは 3 つが必要です. いくつかの一般的なケース:

  • 趣味のブログ, 厳しい予算: 月あたりの訪問数が 5,000 未満, 四半期ごとに無料の外部スキャンを実行し、さらに Solid Security の 2FA およびログイン制限の無料枠を実行します. 有料ファイアウォールをスキップする; この渋滞で, ホストレベルの保護で十分です.
  • 事業所, リードフォーム, チェックアウトなし: ワードフェンス (無料またはプレミアム) 継続的スキャンとエンドポイント ファイアウォール用, 毎週の自動スキャンを使用. カスタム プラグインを使用すると、サーバー上の可視性がリモート専用スキャナーに勝ります.
  • WooCommerce ストア, 実際の支払い, トラフィックの急増: エッジの Sucuri などのクラウド ファイアウォールと、オフサーバー スキャン用の MalCare, 非常に詳細な毎日のスキャンにより、チェックアウトが遅くなることはありません. 上流で DDoS をフィルタリングするホストとペアリングする. これは、多層保護にお金を払って維持できる唯一のケースです.
  • あなたが管理します 10+ クライアントサイト: 1 つのダッシュボードからすべてを実行できるクラウド スキャナー (マルケアまたはジュース) 各サイトにログインするのが簡単です. サイトごとのプラグインは代理店に合わせて拡張できません.

1 つのルールがすべてを貫く: 単一のファイアウォールと単一のスキャナーを選択します, その後、報告内容に基づいて実際に行動します. 重複する 2 つのプラグインが互いに争う, スキャンしても読まないことは、スキャンしないことよりも悪いです, それは誤った自信を与えるからです. 現在のホストが構築のための強固な基盤を提供しているかどうかわからない? The ホスティング検索ツール ここで重要なセキュリティ機能によってプロバイダーをフィルタリングします.

よくある質問

WordPress サイトのセキュリティを無料でテストできますか?

はい, そしてそこから始めるべきです. Sucuri SiteCheck と WPScan はどちらも外部から無料でスキャンします, Qualys SSL Labs と securityheaders.com が無料で暗号化とヘッダーをグレードします。. 継続的な内部スキャン用, Wordfence と Solid Security は両方とも、基本をカバーする無料バージョンを出荷します. 有料レベルでは主にファイアウォールの深さが追加され、マルウェアのクリーンアップが高速化されます。, コアスキャン自体ではありません.

スキャンには Wordfence と MalCare のどちらが適していますか?

どこで仕事をしたいかによって異なります. Wordfence はサーバー上でスキャナーを実行します, これにより、より詳細なファイルレベルの詳細が得られますが、スキャン中にリソースが使用されます。. MalCare は独自のクラウドでスキャンを実行します, サイトの速度が低下することはありません, すでにハッキングされている場合は、ワンクリックでマルウェアをより迅速に削除できます. ほとんどの自己ホスト型サイトでは Wordfence がデフォルトです; スピードが重視される店舗向け, マルケアの勝利.

私の WordPress サイトがすでにハッキングされているかどうかを確認するにはどうすればよいですか?

告げ口に注意してください: スパムにリダイレクトされるページ, 見慣れない管理者アカウント, 公開していないコンテンツ, 突然のGoogleブラックリスト警告, またはホストがアカウントを一時停止している. Sucuri SiteCheck を実行して外部から簡単に読み取ります, 次に、Wordfence または MalCare の完全スキャンを実行して、コア ファイルをオリジナルと比較します。. スキャンでアップロード フォルダーに変更されたコア ファイルまたは不明な PHP が見つかった場合, それを確認済みの侵害として扱い、クリーンなバックアップを復元します.

セキュリティプラグインにより WordPress サイトの速度が遅くなりますか??

少し, 主にスキャン中、スキャナがサーバー上で実行されている場合のみ. Wordfence はディープ スキャンの実行中に負荷を追加する可能性があります, これが、トラフィックの多いサイトがその作業をクラウドにプッシュするために MalCare または Sucuri を選択することが多い理由です. 適切に構成されたファイアウォールは日常的な影響を最小限に抑えます. スピードが心配なら, クラウドベースのスキャナーを選択し、オフピーク時間にスキャンをスケジュールする.

ホストにファイアウォールがある場合でもセキュリティ プラグインが必要ですか??

通常ははい. ホスト ファイアウォールがネットワーク レベルの攻撃をブロックします, しかし、プラグインの 1 つに既知のクロスサイト スクリプティングの欠陥があることがわかりません。, または昨夜誰かが管理者アカウントを追加した. スキャン プラグインは、ホストが監視できない WordPress 内部を監視します。. 例外はフルマネージドの WordPress ホスティングです。, プロバイダーが両方のレイヤーとモニタリングを実行します。.

ここからどこへ行くか

テストは 1 回限りのイベントではありません; それは習慣です. 今週は無料スキャンを実行します, 手動チェックリストに取り組む, 次に、監査の間にサイトを監視するために 1 つのプラグインを導入します。. 5 時間のエクスプロイトウィンドウが意味することは 1 つ: 間のギャップ “パッチが利用可能” と “パッチが適用されました” サイトが消滅する場所です. 本当の利点は自動更新と、何かが動いたときに知らせてくれるトリップワイヤーです.

監査で引き続き問題が表面化する場合、現在の計画では修正できない, 問題はサイトではなく基盤にある可能性があります. 手動でパッチを適用できるマネージド WordPress ホスティングを比較する価値はあります, 見てる eコマースグレードのホスティング 支払いを受けている場合, またはレイヤリング DDoS から保護されたホスティング 攻撃を受け続けるサイトの下で. 強力なホスティングとテスト済みのサイトの組み合わせにより、実際にオンライン状態を維持できます.

調査・執筆者:
HowToHosting 編集者
HowToHosting.guideは、ブログやウェブサイトの作成プロセスに関する専門知識と洞察を提供します。, 適切なホスティングプロバイダーを見つける, そしてその間にあるすべてのもの. 続きを読む...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

この Web サイトでは、ユーザー エクスペリエンスを向上させるために Cookie を使用しています. 当社のウェブサイトを使用することにより、当社の規定に従ってすべてのクッキーに同意したことになります プライバシーポリシー.
同意します
HowToHosting.Guideで, 私たちは透明性のあるウェブホスティングレビューを提供します, 外部の影響からの独立性を確保する. すべてのレビューに厳格で一貫した基準を適用するため、評価は公平です。.
紹介されている企業の一部からアフィリエイト手数料を得る場合がありますが、, これらの手数料はレビューの完全性を損なったり、ランキングに影響を与えることはありません.
アフィリエイトの収益はアカウント獲得のカバーに貢献します, 試験費用, メンテナンス, ウェブサイトや社内システムの開発.
信頼できるホスティングの洞察と誠実さのためにhowtohosting.guideを信頼してください.