「レンタルサーバーにセキュリティ機能がついているから大丈夫」──そう考えている中小企業の方は多いのではないでしょうか。
しかし、2026年3月にPatchstackが発表したレポート「State of WordPress Security in 2026」は、この認識を覆す内容でした。多くのホスティングプロバイダのセキュリティ機能は、実際の攻撃のごく一部しかブロックできていないというのです。
レンタルサーバーのセキュリティ、何が足りないのか
XserverやConoHa、さくらインターネットなど、国内の主要レンタルサーバーには一定のセキュリティ機能が備わっています。しかし、これらは汎用的な防御であり、WordPress特有の攻撃パターンには十分に対応できていないケースがあります。
- WAFのルールが古い:新しい脆弱性に対応するルールの追加が遅れる
- WordPress専用の防御がない:wp-login.phpへのブルートフォース攻撃、XML-RPCの悪用など
- ファイル改ざん検知がない:マルウェアが埋め込まれても気づけない
多層防御とは──「壁を何重にもする」考え方
セキュリティの世界では「1つの対策で100%防ぐ」ことは不可能という前提に立ちます。そこで重要になるのが「多層防御(Defense in Depth)」の考え方です。
第1層:ネットワーク(CDN/外部WAF)
CloudflareやSucuriなどの外部WAFサービスは、悪意あるトラフィックをサーバーに到達する前にブロックします。DDoS攻撃にも有効です。
第2層:サーバー(ホスティングのWAF)
レンタルサーバーが提供するWAFは、第2の防御線として機能します。ただし、これだけに頼るのは危険です。
第3層:アプリケーション(WordPress内セキュリティプラグイン)
Wordfenceなどのセキュリティプラグインは、WordPress内部で不正なリクエストを検知・ブロックします。ファイル改ざんの検知、ログイン試行の制限、マルウェアスキャンなどを行います。
第4層:認証(多要素認証・強固なパスワード)
管理画面への不正アクセスを防ぐ最後の砦です。多要素認証(MFA)を有効にするだけで、不正ログインの99.9%を防げるとMicrosoftが報告しています。
中小企業でも導入できる現実的な構成
「そんなに何層も対策するのは大企業の話では?」と思うかもしれません。しかし、以下の構成なら月額数千円程度で実現できます。
- Cloudflare(無料プラン):基本的なWAF+CDN
- Wordfence(無料版):ファイアウォール+マルウェアスキャン
- 多要素認証プラグイン:Google Authenticator等を利用
- 自動バックアップ:UpdraftPlus等で毎日バックアップ
これらを自社で設定・管理するのが難しい場合は、WP365のWordPress保守サービスにお任せください。多層防御の設計から運用まで、2,000サイト以上の実績でサポートいたします。
まずは無料セキュリティ診断で、あなたのサイトの防御状態をチェックしてみませんか?
コメント