セキュリティー対策 for WooCommerce(日本セキュリティガイドライン対応)
2025年4月から、経済産業省主導のもと、クレジットカードセキュリティガイドラインの遵守が求められています。
また、IPA(情報処理推進機構)は、EC サイトの構築・運用時に必要なセキュリティ対策をまとめた「EC サイト構築・運用セキュリティガイドライン」を作成しています。
本記事では、これら2つの公式資料をもとに、WooCommerceのセキュリティ対策において必須となる項目を優先的に解説します。
内容は多岐にわたりますが、自社で対応する場合は、十分に理解した上で適切な対策を講じる必要があります。また、昨年からの微調整のように、今後もガイドラインの変更が予想されるため、セキュリティ担当者は最新情報を継続的に収集し、対応し続けることが重要です。もし対応が難しい場合は、アウトソーシングの検討も一つの選択肢となります。
当サイトでは、WooCommerce のセキュリティ対策をすべて適用し、継続的な監視を行うサービスを提供しております。ご興味がございましたら、ぜひご検討ください。
また、一番最後の「参考資料」に公式サイトで公開されている資料を添付します。
クレジットカード・セキュリティガイドラインに含まれる内容
2025年4月以降、新規サイトでは、決済会社(イシュア)が審査時に特定の項目を確認する必要があります。
ただし、決済会社はサーバー内部の情報にはアクセスできないため、直接確認することはできません。そのため、サイトオーナー自身が確認し、対応する必要があります。
ここで注意すべき点は、サイトオーナーが内容を十分に理解せずにチェックを入れてしまうと、「自らセキュリティ対策を講じた」とみなされることです。後になって「よく分からなかったのでチェックを入れた」と説明しても、不正利用や個人情報の流出が発生した場合には、虚偽の報告をしたと見なされ、すべての責任を負うことになります。
既存のサイトも同じような対策をしているものとみなすという形になっています。なので、新規サイトのみの対応ではないことを理解している必要があります。
脆弱性対策
システム管理画面のアクセス制限と管理者のID/パスワード管理
① 管理画面のアクセスを制限する
不特定多数の人が管理画面にアクセスできないようにするための対策です。
✔ アクセスできる IP アドレスを制限する
- 例えば「社内のパソコン」や「特定のネットワーク」からしか管理画面にアクセスできないように設定します。
- これにより、攻撃者が外部から不正にログインするリスクを大幅に減らせます。
- 方法:
- .htaccess ファイル(Apache)や Nginx の設定を利用して、特定のIPアドレス以外からのアクセスをブロックする。
✔ IP アドレスを制限できない場合は、管理画面に「ベーシック認証」を導入する
- IP 制限が難しい場合、管理画面の入り口に追加のパスワード認証(ベーシック認証)を設定します。
- 例えば、管理画面にアクセスする前に、ID とパスワードの入力が必要になる仕組みです。
- これにより、万が一ログイン画面が外部に公開されていても、簡単に不正アクセスされることを防げます。
📌 設定方法(例)
この対策は、サーバー側での設定する形が基本となります。WordPress のプラグインでは
② 二段階認証(2FA)または多要素認証(MFA)を採用する
「ID とパスワードだけ」でのログインを避けるための対策です。
- 二段階認証(2FA)とは?
例えば、- ID とパスワードを入力した後に、スマートフォンアプリ(Google Authenticator など)で表示された6桁のコードを入力する。
- メールやSMSで送信された認証コードを入力する。
- 多要素認証(MFA)とは?
- 2FAに加えて、「指紋認証」や「セキュリティキー」を組み合わせる方法。
- より強固なセキュリティ対策になりますが、二段階認証(2FA)でも十分な効果があります。
📌 設定方法(例)
WooCommerceでは、「Two Factor」などのWordPress コミュニティプラグインを利用すると、簡単に設定可能です。
③ アカウントロック機能を有効にする
「ログイン試行回数の制限」を設けることで、不正ログインを防ぐ対策です。
- 10回以下のログイン失敗でアカウントをロックする(PCI DSS ver4.0.1 基準)
- 例えば、パスワードを10回間違えたら一定時間ログインできなくする(30分間ロックするなど)。
- これにより、攻撃者が何度もパスワードを試してログインを突破しようとする「総当たり攻撃(ブルートフォースアタック)」を防げます。
📌 設定方法(例)
- WooCommerceでは、「Japanized for WooCommerce」などのプラグインを利用すると、簡単に設定可能です。
- サーバー側のセキュリティ設定でも実装できる場合があります。
データディレクトリの露見に伴う設定不備への対策
EC サイトには、商品情報や注文データ、顧客情報などの重要なデータが保管されています。
これらのデータが「公開ディレクトリ(Web から直接アクセスできる場所)」に置かれていると、
攻撃者にデータを盗まれたり、改ざんされたりする可能性があります。
また、攻撃者が悪意のあるプログラム(マルウェア)をアップロードできてしまうと、
サイトの乗っ取りやウイルス感染の危険もあります。
そのため、「重要なファイルを外部に見えないようにする」「アップロードできるファイルの種類を制限する」という対策が必要です。
① 重要なファイルを公開ディレクトリに置かない
「公開ディレクトリ」とは、誰でもアクセスできる場所のことです。
例えば、サイトの画像や商品ページなどは公開ディレクトリ内にあります。
しかし、以下のような重要なファイルが公開ディレクトリにあると、攻撃者に悪用される可能性があります。
📌 公開してはいけない重要なファイルの例
✅ データベース接続情報が書かれたファイル(例:config.php, .env)
✅ ログファイル(例:error.log)
✅ バックアップファイル(例:backup.zip, db_backup.sql)
✅ 管理用の設定ファイル(例:.htaccess, admin.json)
📌 設定方法(例)
この部分は WordPress のプラグイン等では対応できません。サーバー側での対応となります。
- 公開ディレクトリの外(非公開ディレクトリ)に重要なファイルを移動する
- 例えば、
config.php(データベース接続情報が書かれたファイル)を公開ディレクトリの外に移動する。 backup.zipなどのバックアップデータは、Web サーバーとは別の安全な場所に保存する。
- 例えば、
- Webサーバーの設定で「特定のファイルにアクセスできないようにする」
.htaccessや Web サーバーの設定で、重要なファイルを外部から見えないようにする。
注意事項: 日本国内の著名なサーバーとして、「Xserver 」や「さくらインターネット」のレンタルサーバーでは wp-config.php の移動対応は出来ません。そのため、この部分に関しては、パーミッションを厳しくして対応しているという説明をする程度しかできないのが現状です。レンタルサーバーの仕組みと WordPress のルールとの兼ね合い上、理想の対応ができない部分となります。
② アップロードできるファイルの種類を制限する
EC サイトでは、商品画像や注文書などをアップロードできる機能があることが多いです。
しかし、攻撃者が「悪意のあるファイル」をアップロードできると、以下のようなリスクが発生します。
✔攻撃のリスク
🚨 ウイルス感染:アップロードしたファイルを通じて、サイトにウイルスを仕込まれる。
🚨 サイト改ざん:管理画面に不正なコードを埋め込まれ、サイトが乗っ取られる。
🚨 データ流出:攻撃者がサーバー内のデータを盗み出す。
📌 設定方法(例)
この機能は WordPress のコアのメディアファイルの機能に実装されています。なので、基本的に別途対応する必要はないのですが、プラグインによっては、ルールを守っていない場合もありますので、その点を注意してください。
Web アプリケーションの脆弱性対策
C サイトでは、注文情報やクレジットカード情報などの重要なデータを扱っています。
しかし、Web アプリケーション(EC サイトのシステム)に脆弱性(セキュリティ上の弱点)があると、
以下のような攻撃を受け、個人情報の漏えいやサイトの改ざんにつながる可能性があります。
🚨 SQL インジェクション攻撃 → データベースが不正操作され、顧客情報が盗まれる
🚨 クロスサイト・スクリプティング(XSS) → 悪意のあるスクリプトが埋め込まれ、個人情報が抜き取られる
🚨 サイト改ざん → 攻撃者により、ページの内容が変更される
こうしたリスクを防ぐため、定期的な脆弱性チェックや最新のソフトウェアの利用などの対策が必要です。
① 定期的に脆弱性診断やペネトレーションテストを実施する
「脆弱性診断」や「ペネトレーションテスト(疑似ハッキング)」を行い、セキュリティの問題を事前に見つけることが求められます。
✔ 脆弱性診断とは?
- Webサイトやサーバーをスキャンし、セキュリティの弱点を発見するテスト。
- 診断ツールを使うことで、自動的に問題点を洗い出せる。
- 例:「OWASP ZAP」「Acunetix」「W3af」などの診断ツール。
✔ ペネトレーションテストとは?
- 実際にハッキングを試みて、どのような攻撃ができるのかを調査するテスト。
- 専門的な知識が必要なため、セキュリティの専門家に依頼するのが一般的。
📌 対策としては?
✅ 年に1回以上、専門業者に依頼して脆弱性診断を行う
✅ 診断結果をもとに、必要な修正対応を行う
② ソフトウェアやプラグインを常に最新の状態にする
ECサイトでは、WordPress や WooCommerce などのソフトウェアやプラグインを利用していることが多いですが、
古いバージョンのソフトウェアにはセキュリティの穴(脆弱性)がある可能性が高いです。
📌 対策としては?
✅ 定期的にソフトウェアやプラグインを更新する(最低でも月1回チェック)
✅ 公式サイトや開発元が提供する「セキュリティアップデート」を優先的に適用する
✅ 不明な開発元のプラグインやカスタムコードを安易に導入しない
🔹 更新しないとどうなる?
🚨 古いプラグインの脆弱性を悪用され、不正アクセスされる
🚨 改ざんされて、サイトのコンテンツが勝手に変更される
🚨 クレジットカード情報が盗まれるリスクが高まる
③ セキュアコーディング(安全なプログラミング)を行う
ECサイトを開発・カスタマイズしている場合、安全なプログラム(セキュアコーディング)が重要になります。
特に、入力フォームがあるページ(ログイン画面、問い合わせフォーム、決済ページなど)は慎重に対策する必要があります。
📌 セキュアコーディングのポイント
✅ 「SQL インジェクション攻撃」を防ぐ → データベースに直接 SQL 文を渡さず、「プリペアドステートメント」を使う
✅ 「クロスサイト・スクリプティング(XSS)」を防ぐ → ユーザーが入力するデータをエスケープ処理(無害化)する
✅ 入力フォームのデータチェックを行う → 例えば、電話番号欄に「文字列」や「特殊記号」が入らないようにする
✅ ソースコードレビューを行い、バグやセキュリティの穴を見つける
📌 対策としては?
WordPress では 「Plugins Check Plugin」というプラグインの診断プラグインがあるので、それでセキュリティ関連のチェック等を行う必要があります。テーマに関しても、「Theme Check」プラグインで対応する形と、基本的に作成時からWordPressのコーディング規則やセキュリティチェックを行う環境で行うのがいいと思います。
マルウェア対策としてのウイルス対策ソフトの導入、運用
2025年4月から、日本で遵守が求められるクレジットカードセキュリティガイドラインには、「マルウェア対策としてのウイルス対策ソフトの導入・運用」が明記されています。
これは、EC サイトや運営パソコンがウイルス感染し、クレジットカード情報が盗まれたり、不正アクセスの被害に遭わないようにするための対策です。
IT が苦手な方にも分かりやすく、どのような対応が必要なのかを解説します。
① そもそもマルウェア(ウイルス)とは?
「マルウェア」とは、パソコンやサーバーに侵入し、データを盗んだり破壊したりする悪意のあるプログラムのことです。
特に、EC サイトでは、次のような被害が発生する可能性があります。
🚨 クレジットカード情報の盗難 → 顧客のカード情報が盗まれ、不正利用される
🚨 サイト改ざん → EC サイトのページが勝手に変更され、詐欺サイトに誘導される
🚨 ウイルス拡散 → サイトにアクセスしたお客様のパソコンがウイルス感染する
このような被害を防ぐため、ウイルス対策ソフトを導入し、常に最新の状態で運用することが求められます。
② ウイルス対策ソフトの導入
まず、信頼できるウイルス対策ソフトを導入することが重要です。
✔ ウイルス対策ソフトを導入するべき場所
✅ EC サイトの運営パソコン(管理画面にログインするパソコン)
✅ EC サイトを運営しているサーバー(特に、専用サーバーや VPS を使っている場合[レンタルサーバーでも PHP のアップデートなど])
✔ おすすめのウイルス対策ソフト(例)
🔹 パソコン向け
- Windows:Microsoft Defender(標準搭載), ESET, Norton, McAfee
- Mac:ESET, Intego, Norton
🔹 サーバー向け
- ClamAV(無料のウイルススキャン)
- ESET Server Security
- Trend Micro ServerProtect
📌 対策としては?
✅ EC サイトの管理に使うパソコンには、必ずウイルス対策ソフトを入れる
✅ 専用サーバーを利用している場合、サーバーにもウイルス対策ソフトを導入する
③ ウイルス対策ソフトの運用(導入するだけでは不十分!)
ウイルス対策ソフトは、インストールするだけでは十分な対策になりません。
常に最新の状態を維持し、定期的にスキャンを行うことが必要です。
✔ 運用で必ず行うべきこと
- ウイルス定義データベース(シグネチャ)の更新
- ウイルス対策ソフトは、新しいウイルスに対応するために定期的に「ウイルス定義データベース(シグネチャ)」を更新します。
- 更新を自動で行う設定にし、常に最新の状態を維持する。
- 定期的なフルスキャン
- 最低でも週1回は「フルスキャン」を実施する(EC サイト運営パソコンやサーバー)
- 怪しいファイルがないかをチェックし、ウイルス感染を早期発見する。
- リアルタイムスキャンを有効にする
- ファイルを開くたびに、自動でウイルスチェックを行う「リアルタイムスキャン」をONにする。
- これにより、怪しいファイルが実行される前にブロックできる。
- 怪しいメールや添付ファイルを開かない
- 「請求書」「アカウント認証」「セキュリティ警告」などを装った詐欺メール(フィッシングメール)に注意。
- 知らない相手からの添付ファイルは開かないようにする。
📌 対策としては?
✅ ウイルス定義データベースを自動更新にする
✅ 最低でも週1回はフルスキャンを実施する
✅ リアルタイムスキャンを ON にする
✅ 不審なメールやファイルを開かない
この部分がレンタルサーバーなどでも遠隔監視するサービスを利用することが必要であり、一部のセキュリティ対応プラグイン等で無料の機能がありますが、有料の機能でしか対応できないというのが現実的な問題となっています。
悪質な有効性確認、クレジットマスターへの対策
① 悪質な有効性確認・クレジットマスター攻撃とは?
悪質な有効性確認やクレジットマスター攻撃は、攻撃者が無作為に生成したクレジットカード番号を使って、実際に使えるカード番号を見つけ出す手法です。これにより、不正に取得したカード情報を悪用されるリスクがあります。
② 対策として実施すべきこと
ガイドラインでは、これらの攻撃に対して、「セキュリティ対策導入ガイド【附属文書20】」別紙a「1.脆弱性対策」⑤に記載の対策を1つ以上実施することが求められています。
具体的な対策として、以下の方法が考えられます。
✔ 1. CAPTCHA の導入
CAPTCHA は、人間と自動プログラムを区別するためのテストで、ログインや決済時に導入することで、不正な自動攻撃を防ぐことができます。
導入のポイント:
- ログインページや決済ページに CAPTCHA を設置する。
- ユーザーにとって使いやすい形式(画像認識やチェックボックス形式など)を選ぶ。
✔ 2. ログイン試行回数の制限
短時間に多数のログイン試行が行われた場合、自動的にアカウントをロックすることで、不正アクセスを防ぐことができます。
設定のポイント:
- 一定回数(例:5回)のログイン失敗でアカウントを一時的にロックする。
- ロック解除の手続きをユーザーに通知し、本人確認を行う。
📌 対策としては?
WooCommerce では、「Japanized for WooCommerce」などのプラグインを利用すると、簡単に設定可能です。
不正ログイン対策
2024年3月に公開された資料と比較すると、不正ログイン対策の内容が一部変更されています。
2024年度版では、以下の3つの場面ごとに個別の対策が設定されていました。
- 会員登録時
- 会員ログイン時
- 属性情報変更時
しかし、新しいガイドラインでは、「会員登録時/会員ログイン時/属性情報変更時の各場面を考慮した適切な対策を実施する」と記載が変更されました。その結果、チェックシートからは具体的な対策の詳細が削除されています。
ただし、ガイドライン本体には2024年3月の改訂時の内容がそのまま記載されているため、決して基準が緩くなったわけではありません。 運用にあたっては引き続き慎重に対応してください。
導入すべき対策の考え方
現在の基準では、以下の中から適切な対策を1つ以上導入することが求められています。
特に「会員登録時」と「会員ログイン時」の対策が最優先とされています。
一方で、「属性情報変更時」の対策は難易度が高いため、可能な範囲で対応を進めることが推奨されます。
より良い対策方法がある場合は、積極的に取り入れることが望ましいでしょう。
なお、「属性情報変更時の不正ログイン対策が難しい理由」については、別記事で詳しく解説していますので、興味があればご覧ください。
「不正検知システム」から「属性・行動分析」への変更
2024年度版には「不正検知システム」という対策項目がありましたが、新しいガイドラインでは「属性・行動分析」に変更されました。
この変更の背景については明確な発表はありませんが、「不正検知システム」と明記すると、特定の業者のサービスを導入しなければならないような印象を与えるため、特定業者の優遇を避ける目的があった可能性があります。
不審な IP アドレスからのアクセス制限
不正ログインを試みる攻撃者は、世界中のさまざまな場所(IP アドレス)からアクセスを試みます。
普段使わない国や地域からのアクセスをブロックすることで、不正アクセスを防げます。
✔ 具体的な対策方法
✅ 特定の国や地域からのアクセスを禁止する(管理画面の IP 制限)
✅ 一定回数ログインに失敗したIPアドレスを自動ブロックする(ファイアウォールやセキュリティプラグインの設定)
🔹 WooCommerceの場合: →「Wordfence Security」や「Cloudflare」を使って、海外からの不審なアクセスを制限できます。
2段階認証または多要素認証(2要素認証)による本人確認
IDとパスワードだけでは不十分です。
もしパスワードが漏れてしまった場合でも、追加の認証(スマホの確認など)を行うことで、他人が勝手にログインできないようにします。
✔ 具体的な対策方法
✅ 2段階認証(2FA)を導入する(パスワード+スマホ認証)
✅ 多要素認証(MFA)を設定する(パスワード+スマホ+指紋認証など)
🔹 WooCommerceの場合: →「Two Factor Authentication」プラグインなどを導入。
会員登録時の個人情報確認(氏名・住所・電話番号・メールアドレス等)
不正ユーザーが偽の情報でアカウントを作成し、詐欺行為をするのを防ぐため。
登録時に本人の情報をしっかり確認することで、信頼できるユーザーだけが利用できるようにします。
✔ 具体的な対策方法
✅ メールアドレスの認証(登録後、認証メールを送る)
✅ 電話番号認証(SMSコードを送信)
✅ 住所の自動チェック(郵便番号と住所の一致確認)
🔹 WooCommerce の場合: →「OTP Verification / Email Verification / SMS Verification / OTP Authentication / WooCommerce Notification」などのプラグインでSMS認証が可能。
ログイン試行回数の制限強化(アカウント/パスワードクラッキングの対応)、スロットリング
攻撃者はパスワードを総当たりで試して不正ログインを狙います(ブルートフォースアタック)。
何度も連続でログインを試みる行為を防ぐことで、アカウントの乗っ取りを防止できます。
✔ 具体的な対策方法
✅ ログイン失敗回数を制限する(例:5回失敗で一時ロック)
✅ スロットリングを設定する(ログイン試行の間隔を延ばす)
🔹 WooCommerce の場合: →「Japanized for WooCommerce Pro」プラグインで設定可能。
会員ログイン時/属性情報変更時のメールや SMS 通知
もし自分のアカウントに誰かがログインしたら、すぐに気づけるようにするためです。
不正なログインがあれば、すぐにパスワード変更などの対応ができます。
✔ 具体的な対策方法
✅ ログイン時に登録メールへ通知を送る
✅ 電話番号を登録して SMS 通知を受け取る
🔹 WooCommerceの場合: →有料プラグインですが、「WP Mail SMTP Pro」や「Twilio SMS Notifications」プラグインで通知設定可能。
属性・行動分析
「いつもと違う場所やデバイスからのログイン」「普段しない操作(短時間で大量注文など)」があると、不正ログインの可能性が高い。
そのため、ユーザーの行動を分析し、異常があれば警告を出すことが重要です。
✔ 具体的な対策方法
✅ 普段と違うログイン(IPアドレス・デバイス)を検知して警告を出す
✅ 異常な注文(短時間での大量購入など)をブロックする
🔹 WooCommerce の場合: →「Fraud Prevention Plugin」や「Anti-Fraud for WooCommerce」を導入。
デバイスフィンガープリント
攻撃者はパスワードだけでなく、デバイスや環境(スマホ、PC、ブラウザ)を変えて攻撃してくることがあります。
デバイスフィンガープリントを活用すれば、通常と異なる環境からのログインを検知し、ブロックできます。
✔ 具体的な対策方法
✅ ログインに使用されたデバイス(スマホ・PC)を記録する
✅ いつもと違うデバイスからのログイン時に追加認証(SMSやメール確認)を求める
🔹 WooCommerceの場合: →「Login With Ajax – Fast Logins, 2FA, Redirects」などのデバイス認証ツールを活用。
セキュリティガイドライン以外でやった方がいいと思われる対応
SSL を導入して通信を暗号化する
SSL とは、サイトとユーザーの間でやりとりされるデータを暗号化する仕組みです。
SSL がないと、クレジットカード情報やパスワードが盗まれる可能性があります。
なので、すでに多くのサイトが導入完了していると思いますが基本として紹介します。
🔴 SSL未対応のサイトのリスク
🚨 通信が暗号化されず、個人情報が盗まれる
🚨 ブラウザで「保護されていません」と警告が表示される
🚨 Google の検索順位が下がる可能性がある
✔ 具体的な対策方法
✅ SSL 証明書を取得し、サイトに適用する
✅ URL が「http://」ではなく「https://」になっていることを確認する
✅ 無料で使える「Let’s Encrypt」や、有料の SSL 証明書を導入する
🔹 WooCommerce の場合: → レンタルサーバーの管理画面から「無料 SSL(Let’s Encrypt)」を設定する。
レンタルサーバーを使う場合はセキュリティの高いホスティングサーバを利用する
ネットショップを運営するには、安全なレンタルサーバーを選ぶことが重要です。
セキュリティ対策が不十分なサーバーを使うと、ハッキングされるリスクが高まります。
✔ 具体的な対策方法
✅ 信頼できるサーバー会社を選ぶ(評判やセキュリティ機能を確認)
✅ WAF(Web Application Firewall)が使えるサーバーを選ぶ(不正アクセスを防ぐ)
✅ 自動バックアップ機能があるサーバーを選ぶ(データ消失時の復元用)
🔹 おすすめのレンタルサーバー(例):
- エックスサーバー(XSERVER)
- さくらインターネット
テーマおよびプラグインは信頼度と更新頻度が高いものを利用する
古いプラグインや不正なテーマには、セキュリティの弱点(脆弱性)があることが多いです。
悪意のあるプラグインを使うと、サイトが乗っ取られる危険もあります。
🔴 危険なプラグインを使うと…
🚨 バックドアが仕込まれ、不正アクセスされる
🚨 サイトのデータが改ざん・削除される
✔ 具体的な対策方法
✅ WordPress 公式ディレクトリで配布されているものを使う
✅ 最終更新が「1年以上前」のプラグインは使わない
✅ 信頼できるテーマ・プラグインを選ぶ(有名な開発者や企業のもの)
✅ アクティブダウンロード数が1万以上のものを選ぶ
🔹 WooCommerce の場合: → 「Jetpack」や「Yoast SEO」などのメジャーなプラグインを利用する。
トラックバック、ピンバックを無効にする
トラックバックやピンバックは、他のサイトからのリンクを通知する機能ですが、
この機能を悪用されると、スパム攻撃や DDoS 攻撃のターゲットになることがあります。
✔ 具体的な対策方法
✅ WordPress の管理画面でトラックバック・ピンバックを無効にする
✅ 「設定」→「ディスカッション」→「他のブログからの通知を受け付ける」のチェックを外す
🔹 WooCommerce の場合: → 「Disable XML-RPC-API」プラグインを使って簡単に無効化できます。
海外からのアクセスを拒否する
日本国内向けのネットショップを運営する場合、海外からのアクセスを制限することで、不正アクセスを減らせます。
特に、ロシア・中国・東欧の IP アドレスからの攻撃が多いため、これらをブロックするのが有効です。
✔ 具体的な対策方法
✅ .htaccess ファイルで特定の国のIPをブロックする
✅ セキュリティプラグイン(Wordfence など)を使い、海外アクセスを制限する
✅ Cloudflare を利用し、海外の不審なアクセスをフィルタリングする
🔹 WooCommerce の場合: → 「Wordfence Security」で海外IPアドレスをブロック。
API や XML-RPC を使わないものを無効にする
API や XML-RPC は、外部のシステムと連携するための機能ですが、
悪用されると、不正ログインの手口(ブルートフォース攻撃)に使われることがあります。
🔴 XML-RPC を有効にしていると…
🚨 外部からのブルートフォース攻撃の標的になる
🚨 サーバー負荷が増えて、サイトが重くなる
✔ 具体的な対策方法
✅ XML-RPC を無効にする(ほとんどのネットショップでは不要)
✅ REST API のアクセスを制限する(管理者のみ許可)
🔹 WooCommerce の場合: → 「Disable XML-RPC-API」や「Disable WP REST API」プラグインで簡単に無効化可能。