なぜセキュリティ対策が重要なのか
Webサイトへの攻撃は年々増加しており、中小企業サイトも標的になっています。セキュリティ対策を怠ると、以下のような被害に遭う可能性があります:
- サイト改ざん:トップページが書き換えられる、不正な広告が表示される
- 情報漏洩:顧客情報、メールアドレスなどが流出
- マルウェア感染:訪問者のPCにウイルスを配布してしまう
- SEO被害:Googleに「危険なサイト」と判定され、検索結果から除外
- 信用失墜:企業イメージの低下、取引先からの信頼喪失
攻撃の実態(2024年データ)
| 攻撃種類 | 被害件数 | 主な被害 |
|---|---|---|
| 不正ログイン | 年間約8万件 | サイト改ざん、情報窃取 |
| SQLインジェクション | 年間約5万件 | データベース情報の漏洩 |
| XSS攻撃 | 年間約3万件 | ユーザー情報の窃取 |
| DDoS攻撃 | 年間約2万件 | サイトダウン、営業停止 |
対策1: 強固なパスワードの設定
最も基本的ですが、最も重要なセキュリティ対策です。
強固なパスワードの条件
- ✅ 12文字以上(16文字以上が理想)
- ✅ 英大文字、英小文字、数字、記号を混在
- ✅ 辞書に載っている単語を使わない
- ✅ 生年月日、電話番号など推測されやすい情報を使わない
- ✅ サービスごとに異なるパスワードを設定
良いパスワード例 vs 悪いパスワード例
| 悪い例 | 理由 | 良い例 |
|---|---|---|
| password123 | 単純すぎる | K9#mP2$vX8@qL5!n |
| tanaka1980 | 名前+生年月日 | Tr7!uK@3pY#9sW2m |
| abc12345 | 連続した文字 | Qw9$Er2@Ty5#Ui8! |
パスワード管理ツールの活用
複雑なパスワードを覚えるのは困難です。パスワード管理ツールを使いましょう:
- 1Password:有料($2.99/月〜)、高機能
- Bitwarden:無料、オープンソース
- LastPass:無料版あり
- KeePass:無料、オフライン管理
対策2: SSL証明書の導入(常時SSL化)
前述のSSL化は、セキュリティ対策の基本中の基本です。
SSL化のメリット
- 通信内容の暗号化(第三者による盗聴を防ぐ)
- Google検索順位の向上
- ブラウザの警告表示回避
- ユーザーからの信頼獲得
未対応の場合: すぐに対応してください。多くのレンタルサーバーで無料SSL(Let's Encrypt)が利用可能です。
対策3: WordPressの定期的なアップデート
WordPress本体、テーマ、プラグインの脆弱性を突いた攻撃が多発しています。常に最新版に保つことが重要です。
アップデート対象
| 対象 | 推奨頻度 | 自動更新 |
|---|---|---|
| WordPress本体 | 即時 | マイナーアップデートは自動 |
| プラグイン | 週1回確認 | 設定で自動化可能 |
| テーマ | 月1回確認 | 設定で自動化可能 |
アップデート前の注意点
- ✅ 必ずバックアップを取る
- ✅ テスト環境で動作確認(可能なら)
- ✅ メンテナンスモードを有効化
- ✅ 更新後、サイトの動作を確認
対策4: セキュリティプラグインの導入
WordPressには、セキュリティを強化するプラグインが多数あります。
おすすめセキュリティプラグイン
| プラグイン名 | 主な機能 | 料金 |
|---|---|---|
| SiteGuard WP Plugin | ログインURL変更、画像認証、ログイン履歴 | 無料 |
| Wordfence Security | ファイアウォール、マルウェアスキャン | 無料(有料版あり) |
| iThemes Security | 総合的なセキュリティ強化 | 無料(Pro版あり) |
| All In One WP Security | 初心者向け、設定が簡単 | 無料 |
SiteGuard WP Pluginの基本設定
- プラグインをインストール・有効化
- 「ログインページ変更」を有効化
- デフォルトの
/wp-admin/から変更 - 例:
/login_abc123/
- デフォルトの
- 「画像認証」を有効化
- ログイン時に画像文字を入力させる
- 「ログイン詳細エラーメッセージの無効化」を有効化
- 「ユーザー名が間違っています」等の詳細を非表示に
- 「ログインロック」を有効化
- 一定回数ログイン失敗したらロック
対策5: 定期的なバックアップ
万が一の被害に遭っても、バックアップがあれば復旧できます。
バックアップ対象
- データベース:記事、コメント、設定情報など
- ファイル:テーマ、プラグイン、アップロード画像など
バックアッププラグイン
| プラグイン名 | 特徴 | 料金 |
|---|---|---|
| BackWPup | 無料、日本語対応、Dropbox連携 | 無料 |
| UpdraftPlus | 復元が簡単、クラウド保存対応 | 無料(Pro版あり) |
| BackupBuddy | 有料だが高機能、サイト移転にも対応 | 有料($80〜/年) |
推奨バックアップ頻度
| サイトの更新頻度 | 推奨バックアップ頻度 |
|---|---|
| 毎日更新 | 毎日 |
| 週数回更新 | 週1回 |
| 月数回更新 | 週1回または月2回 |
| ほぼ更新なし | 月1回 |
対策6: 管理者ユーザー名の変更
WordPressのデフォルトユーザー名「admin」は、攻撃者が真っ先に試す文字列です。
ユーザー名変更手順
- 新しい管理者ユーザーを作成
- 「ユーザー」→「新規追加」
- ユーザー名を推測されにくいものに
- 権限グループ:管理者
- 新ユーザーでログイン
- 古い「admin」ユーザーを削除
- 「ユーザー」→「admin」→「削除」
- 投稿を新ユーザーに引き継ぐ
推奨ユーザー名
- ❌ admin、administrator、root
- ❌ 会社名、サービス名
- ⭕ ランダムな文字列(例:user_k9m2p8)
- ⭕ 推測されにくい独自の文字列
対策7: ファイルのパーミッション設定
適切なパーミッション(アクセス権限)を設定することで、不正な改ざんを防ぎます。
推奨パーミッション設定
| 対象 | 推奨値 | 説明 |
|---|---|---|
| ディレクトリ | 755 | 所有者:読み書き実行、その他:読み実行のみ |
| PHPファイル | 644 | 所有者:読み書き、その他:読みのみ |
| wp-config.php | 400または440 | 所有者:読みのみ(特に重要) |
| .htaccess | 644 | 所有者:読み書き、その他:読みのみ |
パーミッション変更方法
FTPソフト(FileZillaなど)で:
- 対象ファイル/フォルダを右クリック
- 「ファイルのパーミッション」を選択
- 数値を入力(例:755、644)
- 「OK」をクリック
対策8: 不要なプラグイン・テーマの削除
使っていないプラグインやテーマも、脆弱性の入り口になります。
削除対象
- 無効化しているプラグイン
- 使っていないテーマ(有効テーマ以外)
- 何年も更新されていないプラグイン・テーマ
削除手順
- 「プラグイン」→「インストール済みプラグイン」
- 無効化しているプラグインの「削除」をクリック
- 「外観」→「テーマ」
- 使っていないテーマの「削除」をクリック
注意: 削除前に必ずバックアップを取りましょう。
対策9: データベースのプレフィックス変更
WordPressのデータベーステーブルは、デフォルトでwp_という接頭辞がついています。これを変更すると、SQLインジェクション攻撃のリスクが減ります。
変更方法(上級者向け)
注意: 誤った操作でサイトが壊れる可能性があります。必ずバックアップを取り、詳しい人に相談してから実施してください。
- phpMyAdminでデータベースにアクセス
- すべてのテーブルを選択
- 「テーブル名の変更」で
wp_を任意の文字列(例:abc123_)に置換 wp-config.phpの$table_prefixを変更- 特定のテーブル内のデータも置換(
wp_options、wp_usermeta等)
初心者の方へ: この設定は難易度が高いため、専門家に依頼することをおすすめします。
対策10: セキュリティ診断ツールの定期実行
定期的にセキュリティ診断を実施し、脆弱性を早期発見しましょう。
無料セキュリティ診断ツール
| ツール名 | 診断内容 | URL |
|---|---|---|
| WPScan | WordPress脆弱性スキャン | wpscan.com |
| Sucuri SiteCheck | マルウェア、ブラックリスト確認 | sitecheck.sucuri.net |
| VirusTotal | URLのマルウェアスキャン | virustotal.com |
診断の推奨頻度
- 月1回:定期診断
- WordPress更新後:動作確認と同時に診断
- 異常を感じたとき:すぐに診断
セキュリティ対策チェックリスト
| 対策項目 | 実施状況 | 優先度 |
|---|---|---|
| 強固なパスワード設定 | □ | ★★★★★ |
| SSL証明書の導入(常時SSL化) | □ | ★★★★★ |
| WordPressの定期アップデート | □ | ★★★★★ |
| セキュリティプラグイン導入 | □ | ★★★★☆ |
| 定期的なバックアップ | □ | ★★★★★ |
| 管理者ユーザー名の変更 | □ | ★★★★☆ |
| ファイルパーミッション設定 | □ | ★★★☆☆ |
| 不要なプラグイン・テーマ削除 | □ | ★★★☆☆ |
| DBプレフィックス変更 | □ | ★★☆☆☆ |
| セキュリティ診断ツール実行 | □ | ★★★☆☆ |
まとめ:セキュリティは継続的な取り組み
Webサイトのセキュリティ対策は、一度実施すれば終わりではありません。継続的に以下を実施しましょう:
- 強固なパスワードを設定し、定期的に変更
- SSL証明書を導入し、常時HTTPS化
- WordPress本体・プラグイン・テーマを常に最新版に
- セキュリティプラグインで防御を強化
- 定期的にバックアップを取り、復旧に備える
- 不要なファイル・プラグインは削除
- 月1回、セキュリティ診断を実施
AsamiWorksでは、セキュリティ診断から対策実施まで一貫してサポートしています。既存サイトのセキュリティ強化も対応可能。まずは無料相談で、貴社サイトのセキュリティ診断を受けてみませんか?