WordPress セキュリティ対策完全ガイド:安全性を飛躍的に向上させる方法 8+

WordPress セキュリティ対策完全ガイド:安全性を飛躍的に向上させる方法

WordPressは世界中で広く使われているコンテンツ管理システム（CMS）ですが、その人気ゆえに攻撃の標的にもなりやすいです。ここでは、WordPressの安全性を高めるための具体的な手法について説明します。

WordPressセキュリティの基礎

WEBサイトのセキュリティが重要な理由

WordPress WEBサイトがハッキングされると、ビジネスの収益と評判に深刻な損害を与える可能性があります。ハッカーはユーザー情報やパスワードを盗み、悪意のあるソフトウェアをインストールし、ユーザーにマルウェアを配布することさえあります。

WordPress セキュリティ対策完全ガイド WordPressセキュリティの基礎ランサムウェア攻撃

最悪の場合、ウェブサイトへのアクセスを取り戻すためだけに、ハッカーに身代金を支払わなければならない事態に陥る可能性もあります。

Googleは毎日1,200万～1,400万人のユーザーに対し、アクセスしようとしているウェブサイトにマルウェアが含まれている、または情報が盗まれている可能性があると警告しています。

さらに、Googleは毎日約1万以上のウェブサイトをマルウェアやフィッシングのブラックリストに登録しています。

実店舗を持つ事業主が資産を守る責任があるように、オンラインビジネスの事業主はWordPressのセキュリティに特別な注意を払う必要があります。

[トップに戻る↑]

WordPressを最新の状態に保つ

WordPressはオープンソースソフトウェアであり、定期的にメンテナンスと更新が行われています。デフォルトでは、WordPressはマイナーアップデートを自動的にインストールします。

メジャーリリースの場合は、手動で更新を開始する必要があります(メジャーリリースも自動で更新する設定もできるホスティングはあります。)。

WordPressには、WEBサイトにインストールできる数千ものプラグインとテーマが付属しています。これらのプラグインとテーマはサードパーティの開発者によってメンテナンスされており、定期的にアップデートもリリースされています。

これらのWordPressアップデートは、WordPressサイトのセキュリティと安定性にとって非常に重要です。WordPressコア、プラグイン、テーマが最新の状態であることを確認する必要があります。

WordPressコアの更新: 定期的にWordPressのアップデートを確認し、常に最新版に保ちましょう。最新のセキュリティパッチが含まれることが多いです。
プラグインとテーマの更新: 使用しているプラグインやテーマも定期的に更新します。脆弱性を修正するためのアップデートが頻繁に提供されています。

[トップに戻る↑]

強力なパスワードとユーザー権限を使用する

WordPressへのハッキング攻撃で最もよくあるのは、盗まれたパスワードです。しかし、ウェブサイトで強力で固有のパスワードを使用することで、ハッキングを困難にすることができます。

これはWordPress管理画面に限った話ではありません。FTPアカウント、データベース、WordPressホスティングアカウント、そしてサイトのドメイン名を使用するカスタムメールアドレスにも、強力なパスワードを作成してください。

多くの初心者は、覚えにくいという理由で強力なパスワードの使用を嫌がります。しかし、パスワードマネージャーを使えば、パスワードを覚える必要がなくなるというメリットがあります。

詳しくは、WordPressパスワードの管理方法に関するガイドをご覧ください。

リスクを軽減するもう一つの方法は、絶対に必要な場合を除き、誰にもWordPress管理者アカウントへのアクセスを許可しないことです。

大規模なチームやゲスト投稿者がいる場合は、WordPressサイトに新しいユーザーアカウントや投稿者を追加する前に、WordPressのユーザー権限と権限を理解しておく必要があります。

複雑なパスワード: 管理者アカウントには、大小の文字、数字、記号を組み合わせた強力なパスワードを設定しましょう。
二要素認証の導入: 二要素認証プラグインを利用し、ログインセキュリティをさらに強化します。

WordPressホスティングの役割を理解する

WordPressホスティングサービスは、WordPressサイトのセキュリティにおいて最も重要な役割を果たします。Hostinger、Bluehost、SiteGroundなどの優れた共有ホスティングプロバイダーは、一般的な脅威からサーバーを保護するために特別な対策を講じています。

優れたウェブホスティング会社が、ウェブサイトとデータを保護するためにバックグラウンドで行っている方法をいくつかご紹介します。

ネットワークを継続的に監視し、不審なアクティビティを検出します。
すべての優れたホスティング会社は、大規模なDDoS攻撃を防ぐためのツールを導入しています。
ハッカーが古いバージョンの既知のセキュリティ脆弱性を悪用するのを防ぐため、サーバーソフトウェア、PHPバージョン、ハードウェアを常に最新の状態に保っています。
すぐに導入できる災害復旧プランと事故対応プランが用意されており、大規模な事故が発生した場合でもデータを保護できます。

共有ホスティングプランでは、サーバーリソースを他の多くのお客様と共有します。ハッカーが近隣のサイトを利用してお客様のウェブサイトを攻撃する、クロスサイトコンタミネーションのリスクがあります。

一方、マネージドWordPressホスティングサービスを利用すれば、ウェブサイトをより安全に運用できます。マネージドWordPressホスティング会社は、自動バックアップ、WordPressの自動アップデート、そしてウェブサイトを保護するための高度なセキュリティ設定を提供しています。

基礎の次に確認するポイント

セキュリティプラグインの活用

Wordfence Security: サイトをスキャンし、脅威をブロックするためのファイアウォールとマルウェア対策機能を提供します。
Sucuri Security: 脆弱性の監視、検出、防御を行う総合的なセキュリティ対策が可能です。

管理画面の保護

ログインURLの変更: デフォルトの「/wp-admin」を他のパスに変更し、botによる攻撃を防ぎます。
ログイン試行回数の制限: ログイン試行回数を制限することで、ブルートフォース攻撃を防ぐことができます。

ファイルとディレクトリの保護

ファイルパーミッションの設定: 不要な書き込みを防ぐため、ファイルとディレクトリのアクセス権を適切に設定します。
wp-config.phpの保護: WordPressの設定ファイルをより安全な場所に移動するか、アクセス制限を設定します。

SSLの導入

– SSL証明書の取得: HTTPSを有効にし、データの暗号化を行うことで、通信の安全性を確保します。

定期的なバックアップ

自動バックアップの設定: 定期的にデータベースとファイルのバックアップを取得し、別のサーバーやクラウドストレージに保管します。
復元手順の確認: 問題が発生した場合に迅速に復元できるよう、復元プロセスを把握しておきます。

不要なプラグインやテーマの削除

– 未使用のコンポーネントの削除: 使っていないプラグインやテーマは削除し、潜在的な脆弱性を減らします。

サーバーのセキュリティ強化

ホスティング会社の選択: 信頼できるホスティング会社を選び、定期的なセキュリティアップデートや保護を約束するところを選びましょう。
サーバー設定の最適化: サーバー側でファイアウォールやその他のセキュリティ措置を講じて、WordPressの設置を守ります。

WordPress セキュリティ対策完全ガイド:もう一歩進めて安心したいポイント

ここまでに説明したことをすべて実行すれば、ほぼ万全の状態です。

しかし、WordPressのセキュリティを強化するためにできることは他にもたくさんあります。

これらの手順の一部には、コーディングの知識が必要になる場合があることにご注意ください。

デフォルトの管理者ユーザー名を変更する

以前は、WordPressのデフォルトの管理者ユーザー名は「admin」でした。ユーザー名はログイン認証情報の半分を占めるため、ハッカーによるブルートフォース攻撃が容易になっていました。

幸いなことに、WordPressはその後この仕様を変更し、WordPressのインストール時にカスタムユーザー名を選択することを求めています。

ただし、一部のワンクリックWordPressインストーラーでは、デフォルトの管理者ユーザー名が依然として「admin」に設定されています。もしそのような状況に気付いたら、ウェブホスティング会社を変更することをお勧めします。

WordPressではデフォルトでユーザー名を変更できないため、ユーザー名を変更するには3つの方法があります。

新しい管理者ユーザー名を作成し、古いユーザー名を削除します。
Username Changer プラグインを使用する
phpMyAdmin からユーザー名を更新する

注: 念のため、ここでは「admin」というユーザー名を変更することについて説明します。管理者権限（これも「admin」と呼ばれることがあります）を変更することではありません。

ファイル編集を無効にする

WordPress には、WordPress 管理画面からテーマやプラグインのファイルを直接編集できるコードエディターが組み込まれています。

この機能は、不適切な方法で使用された場合、セキュリティリスクとなる可能性があるため、無効にすることをお勧めします。

テーマファイルエディターで子テーマのスタイルシートにカスタム CSS を追加する
wp-config.php ファイルに次のコードを追加するか、WPCode などのコードスニペットプラグイン（推奨）を使用することで、簡単にこれを行うことができます。

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

WordPress 管理パネルからテーマとプラグインのエディターを無効にする方法については、こちらのガイドで手順を詳しく説明しています。

特定の WordPress ディレクトリでの PHP ファイル実行の無効化

WordPress のセキュリティを強化するもう 1 つの方法は、/wp-content/uploads/ など、不要なディレクトリでの PHP ファイル実行を無効にすることです。

メモ帳などのテキストエディタを開き、次のコードを貼り付けることで実行できます。

<Files *.php>
deny from all
</Files>

次に、このファイルを .htaccess として保存し、FTP クライアントを使用してウェブサイトの /wp-content/uploads/ フォルダにアップロードします。

より詳しい説明については、特定のWordPressディレクトリでPHP実行を無効にする方法に関するガイドをご覧ください。

ログイン試行回数の制限

WordPressでは、デフォルトでユーザーがログインを何度でも試行できます。そのため、WordPressサイトはブルートフォース攻撃に対して脆弱な状態になります。ハッカーは、異なるパスワードの組み合わせでログインを試みることで、パスワードを解読しようとします。

この問題は、ユーザーがログインに失敗できる回数を制限することで簡単に解決できます。前述のWebアプリケーションファイアウォールを使用している場合は、自動的に対策が講じられます。

ファイアウォールが設定されていない場合は、以下の手順に従ってください。

まず、無料のプラグイン「Limit Login Attempts Reloaded」をインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。
プラグインを有効にすると、ユーザーのログイン試行回数が制限されます。
デフォルト設定はほとんどのウェブサイトで機能します。ただし、「設定」>>「ログイン試行回数の制限」ページにアクセスし、上部の「設定」タブをクリックしてカスタマイズできます。たとえば、GDPR 法に準拠するには、「GDPR 準拠」チェックボックスをオンにします。

詳細な手順については、WordPress でログイン試行回数を制限する方法と理由に関するガイドをご覧ください。

2要素認証 (2FA) を追加する

2要素認証方式では、ユーザーがログインするために2つの異なる手順が必要です。

最初の手順はユーザー名とパスワードです。
2番目の手順は、スマートフォンなど、ハッカーがアクセスできないデバイスまたはアプリから取得したコードを使用する必要があります。
Google、Facebook、Twitter などのほとんどの主要オンラインウェブサイトでは、アカウントで 2要素認証を有効にすることができます。WordPress サイトにも同様の機能を追加できます。

まず、WP 2FA – 2要素認証プラグインをインストールして有効化する必要があります。Wordfenceの関連プラグインでも2FA機能を提供しています。
ユーザーフレンドリーなウィザードに従ってプラグインを設定すると、QRコードが提供されます。
認証アプリを使用してQRコードをスキャンする必要があります。
Google Authenticator、Authy、LastPass Authenticator などの認証アプリをスマートフォンにインストールしてください。
LastPass Authenticator または Authy は、アカウントをクラウドにバックアップできるため、これらのアプリの使用をお勧めします。これは、スマートフォンを紛失したり、リセットしたり、新しいスマートフォンを購入したりした場合に非常に便利です。すべてのアカウントログイン情報を簡単に復元できます。
これらのアプリのほとんどは同じように動作します。Authy をお使いの場合は、認証アプリで「+」または「アカウントを追加」ボタンをクリックするだけです。
これにより、スマートフォンのカメラを使ってコンピューター上の QR コードをスキャンできるようになります。最初に、アプリにカメラへのアクセスを許可する必要がある場合があります。
アカウントに名前を付けたら、保存できます。
次回ウェブサイトにログインする際は、パスワード入力後に 2 段階認証コードの入力を求められます。
ログイン前に認証コードを入力する必要があります。
スマートフォンの認証アプリを開くと、ワンタイムコードが表示されます。
WEBサイトでそのコードを入力すると、ログインが完了します。

WordPressデータベースのプレフィックスを変更する

WordPressはデフォルトで、WordPressデータベース内のすべてのテーブルのプレフィックスとしてwp_を使用します。

WordPressサイトでデフォルトのデータベースプレフィックスを使用している場合、ハッカーがテーブル名を推測しやすくなります。そのため、プレフィックスを変更することをお勧めします。

セキュリティを強化するためにWordPressデータベースプレフィックスを変更する方法については、ステップバイステップのチュートリアルをご覧ください。

注：データベースプレフィックスを適切に変更しないと、サイトが機能しなくなる可能性があります。コーディングスキルに自信がある場合のみ、変更を行ってください。

WordPress管理画面とログインページをパスワードで保護する

通常、ハッカーはwp-adminフォルダとログインページを制限なくリクエストできます。そのため、ハッキングの手口を試したり、DDoS攻撃を実行したりすることができます。

サーバー側でパスワード保護を追加することで、これらのリクエストを効果的にブロックできます。

WordPress管理画面（wp-admin）ディレクトリをパスワードで保護する方法については、以下の手順に従ってください。

ディレクトリのインデックス作成とブラウジングを無効にする

Webブラウザにウェブサイトフォルダのアドレスを入力すると、index.htmlというWebページが存在する場合はそのページが表示されます。存在しない場合は、代わりにそのフォルダ内のファイルの一覧が表示されます。これをディレクトリブラウジングと呼びます。

ハッカーはディレクトリブラウジングを利用して、既知の脆弱性を持つファイルがあるかどうかを確認し、それらのファイルを利用してアクセスを試みることができます。

ディレクトリブラウジングは、他のユーザーがファイルの閲覧、画像のコピー、ディレクトリ構造の確認など、様々な情報にアクセスするために利用される可能性があります。そのため、ディレクトリのインデックス作成とブラウジングを無効にすることを強くお勧めします。

FTP またはホスティングプロバイダーのファイルマネージャーを使用してウェブサイトに接続する必要があります。次に、ウェブサイトのルートディレクトリにある .htaccess ファイルを見つけます。そこに見つからない場合は、WordPress で .htaccess ファイルが表示されない理由に関するガイドを参照してください。

その後、.htaccess ファイルの末尾に次の行を追加します。

Options -Indexes

.htaccess ファイルを保存して、サイトにアップロードすることを忘れないでください。

このトピックの詳細については、WordPress でディレクトリブラウジングを無効にする方法に関する記事をご覧ください。

WordPress で XML-RPC を無効にする

最近ではホスティング会社でスイッチにより禁止・解除を設定できるところもおおいでしょう。

XML-RPC は、WordPress サイトとウェブアプリやモバイルアプリを接続するための WordPress コア API です。WordPress 3.5 以降ではデフォルトで有効になっています。

しかし、XML-RPC はその強力な性質ゆえに、ブルートフォース攻撃の威力を著しく増幅させる可能性があります。

例えば、ハッカーがウェブサイトで500種類の異なるパスワードを試そうとした場合、従来であれば500回ものログイン試行を繰り返す必要がありました。Limit Login Attempts Reloaded プラグインは、この攻撃を検知してブロックすることができます。

しかし、XML-RPC を使用すると、ハッカーは system.multicall 関数を使用して、例えば20回や50回のリクエストで数千種類のパスワードを試すことができます。

そのため、XML-RPC を使用していない場合は、無効化することをお勧めします。

WordPress で XML-RPC を無効にする方法は3つあり、WordPress で XML-RPC を無効にする方法に関するステップバイステップのチュートリアルですべて解説しています。

ヒント：.htaccess を使用する方法は、リソース消費量が最も少ないため、最も効果的です。その他の方法は初心者にとって簡単です。

あるいは、前述のようにウェブアプリケーションファイアウォール（WAF）を使用している場合は、自動的にログアウトされます。

WordPressでアイドルユーザーを自動的にログアウトする

ログイン中のユーザーは画面から離れることがあり、これはセキュリティリスクとなります。誰かがセッションを乗っ取ったり、パスワードを変更したり、アカウント情報を変更したりする恐れがあります。

多くの銀行や金融機関のサイトでは、非アクティブなユーザーを自動的にログアウトするようになっているのはこのためです。WordPressサイトでも同様の機能を設定できます。

Inactive をインストールして有効化する必要があります。

ログアウトプラグイン。有効化後、「設定」>>「非アクティブログアウト」ページでログアウト設定をカスタマイズできます。

アイドルユーザーをログアウト
ログアウトまでの時間を設定し、ログアウトメッセージを追加するだけです。設定を保存するには、ページ下部の「変更を保存」ボタンをクリックしてください。

詳細な手順については、WordPressでアイドルユーザーを自動的にログアウトする方法についてのガイドをご覧ください。

[トップに戻る↑]

WordPressログイン画面にセキュリティの質問を追加する

WordPressログイン画面にセキュリティの質問を追加すると、不正アクセスがさらに困難になります。

セキュリティの質問を追加するには、2要素認証プラグインをインストールします。有効化後、「多要素認証」>>「2要素認証」ページでプラグインの設定を行います。

これにより、セキュリティの質問を含む、さまざまな種類の2要素認証をサイトに追加できます。

WordPressログイン画面にセキュリティの質問を追加する
詳細な手順については、WordPressログイン画面にセキュリティの質問を追加する方法に関するチュートリアルをご覧ください。

[トップに戻る↑]

WordPressでマルウェアと脆弱性をスキャンする

マルウェアスキャン
WordPressセキュリティプラグインをインストールしている場合、マルウェアやセキュリティ侵害の兆候が定期的にチェックされます。

しかし、ウェブサイトのトラフィックや検索ランキングが急激に低下した場合は、手動でマルウェアをスキャンすることをお勧めします。WordPressセキュリティプラグイン、または優れたマルウェア・セキュリティスキャナーのいずれかを使用してスキャンできます。

これらのオンラインスキャンの実行は非常に簡単です。ウェブサイトのURLを入力するだけで、クローラーがウェブサイト内を巡回し、既知のマルウェアや悪意のあるコードを探します。

ただし、ほとんどのWordPressセキュリティスキャナーは、サイトにマルウェアが含まれている場合に警告することしかできません。マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップしたりすることはできません。

それでは、次のセクション、マルウェアとハッキングされたWordPressサイトのクリーンアップに進みましょう。

[トップに戻る↑]

ハッキングされたWordPressサイトを修復する

多くのWordPressユーザーは、ウェブサイトがハッキングされるまで、バックアップとウェブサイトセキュリティの重要性に気づきません。

ハッカーは影響を受けたサイトにバックドアを設置します。これらのバックドアが適切に修復されない場合、ウェブサイトは再びハッキングされる可能性があります。

冒険心旺盛な方やDIYユーザー向けに、ハッキングされたWordPressサイトの修復に関するステップバイステップガイドをご用意しました。

しかし、WordPressサイトのクリーンアップは非常に困難で時間がかかります。専門家に任せることをお勧めします。

前述のwordfenceセキュリティプラグインを有料でご利用の場合は、ハッキングされたサイトの修復が料金に含まれています。

当社は10年以上にわたりWordPressウェブサイトのクリーニングとセキュリティ対策に携わってきた実績がありますので、ハッキングされたサイトを修復するサービスをご利用いただければ、安心してご利用いただけます。

[トップに戻る↑]

WordPress セキュリティ対策完全ガイド:安全性を数ステップで飛躍的に向上させる（ノーコード、コーディング不要）

WordPressのセキュリティ強化は、特に技術に詳しくない初心者にとって、不安なことかもしれません。でも、ご安心ください。あなただけではありません。

私たちは、何千人ものWordPressユーザーのWordPressセキュリティ強化を支援してきました。

数回クリックするだけでWordPressのセキュリティを強化する方法をご紹介します（コーディングは不要です）。

ポイントアンドクリックさえできれば、誰でもできます！

WordPressバックアップソリューションをインストールする

バックアップは、あらゆるWordPress攻撃に対する最初の防御策です。100%安全なものは存在しないことを忘れないでください。政府のウェブサイトがハッキングされる可能性があるなら、あなたのウェブサイトもハッキングされる可能性があります。

バックアップがあれば、万が一の事態が発生した場合でも、WordPressサイトを迅速に復元できます。

無料および有料のWordPressバックアッププラグインは数多くあります。バックアップに関して最も重要なことは、サイト全体のバックアップを定期的にリモートロケーション（ホスティングアカウントではない場所）に保存する必要があるということです。

Amazon、Dropbox、またはStashなどのプライベートクラウドなどのクラウドサービスに保存することをお勧めします。

ウェブサイトの更新頻度に応じて、1日1回のバックアップまたはリアルタイムバックアップが最適な設定となるでしょう。

幸いなことに、Duplicator、UpdraftPlus、BlogVaultなどのプラグインを使用すれば、簡単にバックアップを行うことができます。これらのプラグインは信頼性が高く、何よりも使いやすい（コーディングは不要）です。

詳しくは、WordPressウェブサイトのバックアップ方法に関するガイドをご覧ください。

信頼できるWordPressセキュリティプラグインをインストールする

バックアップが完了したら、Wordfenceを使ってウェブサイト上のすべての事象を監査・監視する体制を構築しましょう。

Wordfence Securityは、ファイルの整合性監視、ログイン失敗の追跡、マルウェアスキャン、ファイアウォールなど多彩なセキュリティ機能を備えています。

インストールはWordPress管理画面の「プラグイン」から「Wordfence Security」を検索し、インストール・有効化してください。初期設定後、メールアドレスを登録することで、重要なアクションやセキュリティイベントの通知を受け取ることができます。

Wordfenceの主な機能は以下の通りです。

リアルタイムのセキュリティ監視
ファイアウォールによる攻撃ブロック
ファイル改ざんの検知
マルウェアスキャン
ログイン試行回数制限やIPブロック

通知メールの設定では、必要なアラートのみ受信するようカスタマイズすることで、受信トレイの混雑を防げます。

Wordfenceは無料でも十分な機能を持ち、より高度な防御やサポートを求める場合は有料版へのアップグレードも可能です。

Webアプリケーションファイアウォール（WAF）機能も標準搭載されており、悪意あるトラフィックを自動でブロックできます。

このように、Wordfenceを導入・適切に設定することで、WordPressサイトのセキュリティを総合的に強化できます。

Wordfence WordPressセキュリティプラグインの設定

次に、Wordfence Security » 設定ページに移動し、「強化」タブをクリックします。

デフォルト設定はほとんどのウェブサイトで問題なく機能するため、各オプションの「強化を適用」ボタンをクリックして有効化できます。

WordPressブログまたはウェブサイトの強化

これにより、ハッカーが攻撃によく使用する重要な領域をロックダウンできます。

ヒント：データベースプレフィックスや管理者ユーザー名の変更など、ウェブサイトを強化する方法については、この記事の後半でさらに詳しく説明します。ただし、これらはより技術的な内容であり、コーディングの知識が必要になる場合があります。

強化作業の後は、プラグインのその他のデフォルト設定はほとんどのウェブサイトで問題なく機能するため、変更する必要はありません。

カスタマイズをおすすめするのは、設定ページの「アラート」タブにあるメールアラートのみです。

ウェブサイトのセキュリティアラートのカスタマイズ

デフォルトでは、多くのメールアラートが届き、受信トレイが混雑する可能性があります。

プラグインの変更や新規ユーザー登録など、通知を受け取りたい重要なアクションについてのみアラートを有効にすることをおすすめします。

WordPressセキュリティ通知のカスタマイズ

このWordPressセキュリティプラグインは非常に強力なので、すべてのタブと設定を確認し、マルウェアスキャン、監査ログ、失敗したログイン試行の追跡など、その機能をすべて確認してください。

Webアプリケーションファイアウォール（WAF）を有効にする

Webアプリケーションファイアウォール（WAF）を使用することは、サイトを保護し、WordPressのセキュリティに自信を持つための最も簡単な方法です。

ウェブサイトファイアウォールは、悪意のあるトラフィックがウェブサイトに到達する前にブロックします。

DNSレベルのウェブサイトファイアウォールは、ウェブサイトトラフィックをクラウドプロキシサーバーにルーティングします。これにより、正当なトラフィックのみがウェブサーバーに送信されます。
アプリケーションレベルのファイアウォールは、トラフィックがサーバーに到達した後、ほとんどのWordPressスクリプトがロードされる前にトラフィックを検査します。この方法は、DNSレベルのファイアウォールほどサーバーの負荷を軽減する効果はありません。
詳しくは、おすすめのWordPressファイアウォールプラグインのリストをご覧ください。

私たちは長年にわたりWordfenceを使用してきましたが、今でもWordPressに最適なウェブアプリケーションファイアウォールの1つとして推奨しています。最近、エンタープライズクライアント向けの機能を備えた大規模なCDNネットワークが必要になったため、WordfenceとCloudflareを合わせて使用しています。

Wordfenceが30日間でブロックした数を見てください。