- 「うちの会社のホームページはWordPressでできているけど、セキュリティって何かしないといけないの?」
- 「最近、サイト乗っ取りなんて言葉も聞くし、正直ちょっと不安…」
大阪府下や全国の中小企業の経営者様、Webご担当者様、こんにちは。
ホームページ制作を行っているメイクルです。
今や全世界のWebサイトの43%以上がWordPressで構築されていると言われるほど、非常に人気の高いシステムです。
(出典:W3Techs – Usage statistics of content management systems)
しかし、その人気の高さゆえに、悪意のある攻撃者から標的にされやすいという側面も持っています。
もし、お使いのWordPressサイトのセキュリティ対策を何もしていない場合、ある日突然、
- ホームページが改ざんされ、全く違う内容に書き換えられてしまう
- お客様から預かっている個人情報が盗まれてしまう
- サイトがウイルスに感染し、閲覧したお客様のPCにも被害が及ぶ
といった深刻な事態に陥る可能性があります。
これは、会社の信用を大きく損ない、事業の存続にも関わる重大なリスクです。
しかし、ご安心ください。基本的な対策をしっかりと行うことで、これらのリスクは大幅に軽減できます。
この記事では、ホームページの専門知識がない方でもご理解いただけるよう、今すぐ取り組むべきWordPressの基本的なセキュリティ対策を5つに絞って、分かりやすく解説していきます。
対策1:ユーザー名とパスワードを複雑にする
不正ログインを防ぐための最も基本的かつ重要な対策は、ユーザー名とパスワードを複雑にすることです。
これは、WordPressの管理画面という「会社の金庫室」の鍵を、誰でも簡単に開けられないようにするための第一歩です。
なぜ複雑にする必要があるのか?
攻撃者は、プログラムを使ってあらゆる文字列の組み合わせを試す「ブルートフォースアタック(総当たり攻撃)」という手法で、ログインを試み続けます。
もしユーザー名が「admin」や会社名、パスワードが「123456」や「password」のような単純なものだと、いとも簡単に突破されてしまいます。
具体的な対策
- ユーザー名: 「admin」のような推測されやすい名前は絶対に使用せず、第三者には分かりにくい独自の文字列にしましょう。
- パスワード:
- 12文字以上にする
- 英大文字、英小文字、数字、記号をすべて組み合わせる
- 名前や誕生日、会社名など推測されやすい単語は避ける
覚えきれない場合は、パスワード管理ツールなどを活用するのも有効な手段です。まずは、自社のサイトのログイン情報が簡単なものになっていないか、今一度確認してみましょう。
対策2:WordPressとプラグインを常に最新の状態に保つ
WordPress本体、テーマ、プラグインを常に最新バージョンに保つことは、セキュリティの脆弱性をなくすために不可欠です。
ソフトウェアというものは、どうしても後から「セキュリティ上の欠陥(脆弱性)」が見つかることがあります。アップデートは、その欠陥を修正し、サイトを安全に保つための重要な作業なのです。
なぜ更新が必要なのか?
古いバージョンのWordPressやプラグインを使い続けることは、いわば「鍵のかからないドア」を放置しているのと同じです。攻撃者はその「鍵のかからないドア」を見つけ出し、いとも簡単に侵入してきます。
開発元から提供される更新プログラムには、新たに見つかった脆弱性に対する修正が含まれているため、速やかに適用することがサイトを守ることに直結します。
具体的な対策
WordPressの管理画面にログインすると、更新がある場合にはダッシュボードに通知が表示されます。
基本的には「更新」ボタンをクリックするだけで作業は完了しますが、注意点もあります。
| 注意点 | 理由 |
|---|---|
| 必ずバックアップを取ってから行う | 稀に、プラグイン同士の相性などが原因で、更新後にサイトが正しく表示されなくなることがあります。バックアップがあれば、万が一の際もすぐに元の状態に戻せます。 |
| しばらく使っていないプラグインは削除する | 更新が長年止まっているプラグインは、脆弱性が放置されている可能性が高く危険です。不要なプラグインは削除しましょう。 |
もしご不安な場合は、専門家である私たちにご相談ください。
対策3:ログインURLを変更して不正アクセスを防ぐ
WordPressの管理画面へ入るためのログインページのURLを、初期設定のものから変更することも非常に有効な対策です。
これは、泥棒に「家の玄関の場所」を分からなくするようなもので、攻撃者が攻撃の糸口を見つけるのを困難にします。
なぜログインURLの変更が有効なのか?
WordPressのデフォルトのログインURL(例:http://example.com/wp-login.php)は、世界中の誰もが知っている共通のものです。
そのため、攻撃者はこのURLを狙って自動的にブルートフォースアタック(総当たり攻撃)を仕掛けてきます。ログインURLを変更するだけで、これらの機械的な攻撃のほとんどを防ぐことが可能になります。
具体的な対策
ログインURLの変更は、「WPS Hide Login」といったプラグインを導入することで、専門知識がなくても簡単に行うことができます。
このプラグインをインストールして有効化し、設定画面で新しいログインURLの文字列を決めるだけです。
ただし、変更したURLは忘れないように、厳重に管理する必要があります。
対策4:WAF(Web Application Firewall)を導入する
WAF(ワフ)は、Webサイトを不正な攻撃から守るための「頼れる門番」のようなセキュリティ対策です。
これまでの対策がWordPress内部の守りを固めるものだとすれば、WAFはホームページの手前(外部)に立って、怪しいアクセスがサイトに到達する前にブロックしてくれる役割を果たします。
WAFとは?
WAFは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用した攻撃からサイトを保護するセキュリティ対策の一つです。
ホームページへの通信内容を監視し、SQLインジェクションやクロスサイトスクリプティングといった悪意のある攻撃パターンを検知すると、その通信を遮断してくれます。
導入方法
「なんだか難しそう…」と感じるかもしれませんが、多くのレンタルサーバーでは、サーバーのオプション機能として簡単にWAFを有効にできるようになっています。
月額数百円程度や無料で利用できる場合が多く、費用対効果の非常に高いセキュリティ投資と言えます。
ホームページを制作する際のサーバー選びの段階から、WAFが利用できるかどうかを一つの基準にするのがおすすめです。もちろん、メイクルではサーバー選びからしっかりとサポートさせていただきます。
対策5:定期的なバックアップで万が一に備える
最後の砦となるのが、定期的なバックアップです。
どれだけ万全な対策を施していても、残念ながら攻撃を受けるリスクを100%ゼロにすることはできません。万が一、サイトが改ざんされたり、データが消えてしまったりした場合でも、バックアップさえあれば元の健全な状態に復元することが可能です。
バックアップは「保険」
ホームページのデータは、これまで積み上げてきた会社のブログ記事、施工事例、お客様の声など、すべてが大切な「資産」です。 それが失われた時の損害は計り知れません。
定期的なバックアップは、その大切な資産を守るための「保険」のようなものだとお考えください。
具体的な対策
- サーバーの自動バックアップ機能を利用する: 多くのレンタルサーバーには、自動でバックアップを取得してくれる機能があります。まずは契約しているサーバーの機能を確認してみましょう。
- プラグインを利用する: 「UpdraftPlus」などのバックアップ用プラグインを使えば、自動で定期的にバックアップを取得し、Google DriveやDropboxといった外部のクラウドストレージに保存することも可能です。
重要なのは、「自動で」「定期的に」「サイトが置かれているサーバーとは別の場所に」バックアップデータを保管しておくことです。
まとめ:自社での対策に不安を感じたら、専門家にご相談ください
今回は、中小企業が今すぐ取り組むべきWordPressの基本的なセキュリティ対策を5つご紹介しました。
| 対策 | 目的 |
|---|---|
| ユーザー名・パスワードの強化 | 不正ログインの防止 |
| WordPress・プラグインの更新 | 脆弱性の解消 |
| ログインURLの変更 | ブルートフォースアタックの回避 |
| WAFの導入 | 不正アクセスの遮断 |
| 定期的なバックアップ | 万が一の際の復旧準備 |
これらの対策は、どれも安全なホームページ運営には欠かせないものです。
しかし、「専門用語が多くてよく分からない」「日々の業務が忙しくて、そこまで手が回らない」「自分でやってみて、サイトがおかしくなったら怖い」と感じられた方もいらっしゃるのではないでしょうか。
そのような時は、どうぞ私たちメイクルにご相談ください。
私たちの提供する「コミコミ買い切り制作」プランは、月額費用不要でご提供するだけでなく、今回ご紹介したような基本的なセキュリティ対策も考慮した上で制作を行っています。 作って終わりではなく、納品後も安心してお使いいただけるよう、永年無償サポートで貴社のビジネスに寄り添います。
ホームページは、会社の顔であり、未来の売上を作る大切な「資産」です。その資産を脅威から守り、安心して事業を成長させていくためのお手伝いを、ぜひ私たちにさせてください。
Q&A
Q1. WordPressはセキュリティが弱いと聞きましたが、本当ですか?
A1. WordPress自体が特別に弱いわけではありません。世界中で圧倒的なシェアを誇るため、攻撃者のターゲットになりやすいのが実情です。しかし、今回ご紹介したような基本的な対策をしっかりと行えば、安全に運用することが可能です。
Q2. セキュリティ対策は、すべて自分でやらないといけませんか?
A2. ご自身で対策することも可能ですが、専門的な知識が必要な部分もあります。万が一のトラブルを避けるためにも、不安な方は制作会社などの専門家に相談することをおすすめします。弊社では、運用サポートも行っておりますのでお気軽にご相談ください。
Q3. 対策を制作会社に依頼する場合、費用はかかりますか?
A3. 制作会社や対策内容によって費用は異なります。私たちの「コミコミ買い切り制作」プランでは、基本的なセキュリティ設定は初期費用に含まれておりますので、追加費用はかかりません。 安心して長く使えるホームページをご提供することをお約束します。