記録更新が止まらない DDoS 攻撃から、どうやって WordPress サイトを守るか | WordPressセキュリティ

こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新の Web セキュリティに関する内容を紹介し、企業のサイトを守るための考え方と実践方法をご紹介します。

今回は、DDoS 攻撃について整理しながら、WordPress サイトで起こりがちな落とし穴と、KUSANAGI での現実的な対策をまとめます。

DDoS 攻撃とは?

DDoS とは「Distributed Denial of Service」の略で、日本語では「分散型サービス拒否攻撃」と呼ばれます。大量のアクセスを一斉に Web サイトに送りつけて、サーバをパンクさせる攻撃のことです。

例えば、普段 100 人程度が同時にアクセスしても問題ない Web サイトに、突然 10 万人が一斉にアクセスしたらどうなるでしょうか。サーバーは処理しきれず、正規のユーザーも含めて誰もアクセスできなくなってしまいます。これが DDoS 攻撃の基本的な仕組みです。

「分散型」というのは、例えば一つの IP アドレス・一つのコンピュータから「F5 キーで更新しまくる」「API リクエストなどを送りまくる」というのではなく、世界中の複数のコンピュータから同時に攻撃を仕掛けることを指します。攻撃者は世界中に散らばった大量のコンピュータ(ボットネット)を使って攻撃するため、単純に攻撃してきているアクセス元を遮断するだけでは防ぎきれません。

DDoS 攻撃の最近の傾向

最近は桁違いのトラフィックを一瞬で浴びせる「ハイパー・ボリューメトリック」型が増えています。2025 年 5 月には 7.3Tbps という大規模な攻撃を Cloudflare が自動防御し、9 月には 22.2Tbps / 10.6Bpps と過去最大級の攻撃が報じられました。
参考: Record-Breaking DDoS Attack Peaks at 22 Tbps and 10 Bpps

この数字がどれくらいすごいかというと、ざっくり言うと、1 秒間に数百万台のスマートフォンや PC が一斉に通信してくるような規模、Blu-ray ディスク(25GB)を 0.01 秒で満杯にする勢いです。

ここまでとんでもない攻撃を受けるという可能性は現実的には低いですが、生成 AI からのクロールや、スクレイピングなど、大規模でない Web サイトやサービスにも多くのアクセスがかかってくることが予想されます。

(ここでわざわざスクレイピングを取り上げたのは、「そもそもスクレイピングを利用規約の確認なしに行うことは、サイトに負担をかけてしまうし、場合によっては法に触れる可能性さえある」という意識がまだないくらいのリテラシーの方が、生成 AI によって Selenium や Playwright などのツールを使って自動化されたスクレイピングをしてしまうというケースが少なからず発生してしまうと考えられるためです。)

WordPress で”起こりがち”な DDoS攻撃 3 つの弱点

WordPress は世界中で使われている CMS だからこそ、攻撃者に狙いやすい標的です。ここでは、WordPress サイトで特に狙われやすい 3 つのポイントを紹介します。

1. WordPressログイン画面への総当たり攻撃

WordPress のログイン画面 (/wp-login.php) は、誰でもアクセスできる場所にあります。攻撃者はここに対して、パスワードの総当たり攻撃(ブルートフォース攻撃)を仕掛けてきます。これは、特別そのサイトを狙っているというよりは、よくあるファイル名やパスに対して、自動でディレクトリトラバーサル攻撃、パストラバーサル攻撃などを行い、ログインを試行するというようなことです。

「パスワードが複雑だから大丈夫」と思われるかもしれませんが、問題はそこではありません。大量のログイン試行そのものがサーバーに負荷をかけ、正規のユーザーがアクセスできなくなる可能性があります。

対策としては、そもそもログイン画面で試行させないというアイデアが有効です。例えば、IP アドレスで制限をかけたり、ログイン URL そのものを変更したりする方法があります。

2. XML-RPC の悪用

XML-RPC は WordPress が外部アプリと通信するための機能ですが、古いサイトでは無効化されずに残っていることがあります。特に問題なのは「pingback」という機能で、これを悪用すると、あなたのサイトを踏み台にして他のサイトへの攻撃に加担させられてしまうことがあります。

特定のプラグインを使っている場合は XML-RPC が必要なケースもあるので、単純に無効化できない場合もあります。その場合は、アクセス制限をかけるなどの対策を検討しましょう。その場合は、アクセス制限をかけるなどの対策を検討しましょう。
参考: WordPress pingback 反射 DDoS | SANS ISC

3. スクレイピングや AI クローラーによるサーバ過負荷

先ほども触れた、Web スクレイピングや AI の学習用クローラーによる過負荷です。

これらのクローラーは、通常の検索エンジンのクローラーと違って、頻度制限が緩かったり、一度に大量のページを取得しようとしたりすることがあります。結果として、サーバーに想定外の負荷がかかり、正規のユーザーがアクセスしづらくなることがあります。

対策としては、robots.txt で主要な AI クローラー(GPTBot、ClaudeBot、Google-Extended など)を制御したり、User-Agent ベースでアクセス制限をかけたりする方法があります。ただし、robots.txt は「お願い」であり強制力はないため、悪意のあるスクレイピングには別途 WAF やレート制限での対策が必要です。(こちらについては、過去のコラムでも解説しております → AI クローラーの robots.txt 対応って、どこまで対策できる?)

企業の Web 担当が最初にやるべき DDoS 対策

DDoS 対策は、特定のベンダーに依存しない汎用的な方法から始めるのがおすすめです。ここでは、大抵の WordPress 環境でも使える基本的な対策を紹介します。

1. 前段で攻撃を吸収する(CDN / マネージド DDoS / WAF)

一番効果的なのは、サーバの前に「盾」を置くことです。CDN(コンテンツ配信ネットワーク)やマネージド DDoS 対策サービスを導入すると、大量のアクセスがサーバーに到達する前に、悪意のあるトラフィックをフィルタリングしてくれます。

2. Webサーバーで処理する前に落とす(レート制限)

サーバー側でも対策を打つことが重要です。代表的な方法は、Web サーバ(Nginx や Apache)でレート制限(アクセス頻度制限)を設定することです。

例えば、Nginx のレート制限機能(limit_req)を使えば、「1 つの IP アドレスから 1 秒間に 10 リクエストまで」といった制限をかけられます。特に /wp-login.php や xmlrpc.php のような狙われやすいエンドポイントには、厳しめの制限をかけておくのがおすすめです。

こうすることで、アプリケーション(WordPress 本体)に負荷が届く前に、異常なアクセスを遮断できます。

3. WordPress 側の「無駄な入口」を減らす

WordPress 本体やプラグインの設定を見直して、攻撃の入口を減らすことも大切です。具体的には以下のような対策があります。

これらは一見地味ですが、確実に攻撃の成功率や、ターゲットになってしまう確率を下げることができます。

KUSANAGI で「現実的な費用で高機能に」守る

これらの対策は、Google や Cloudflare など、著名なサービスを組み合わせて使っていくことで行うこともできます。すごく知識があるという場合は有効な手段ですが、現実的には難しい作業です。

KUSANAGI Security Edition では、DDoS 対策を含め、多くのセキュリティ事項について、Web 担当者が手離れできるような機能やサービスが提供されています。

また、WordPressとサーバのセキュリティ対策をまるっとお引き受けできるのが「KUSANAGIマネージドサービス」です。

興味がありましたら、ぜひお問い合わせしてみてください!