【2024年6月27日更新】WordPressのセキュリティプラグイン『XO Security』に、「2要素認証」の機能が追加されたので、記事の内容を更新しました。
この記事のレベル
| 初心者 | (4.0) |
| 重要度 | (4.0) |
| 難しさ | (2.5) |
こんにちは、編集長のカワウソです!
「ホームページにセキュリティ対策って必要?具体的に何をすればいい?」と悩んでいませんか?
確かに、ホームページ開設後のことを考えると、不安に駆られてしまいますよね。
そこで今回は、これからホームページを開設する方向けに、セキュリティ対策について解説します。
カワウソ
この記事は次のような人におすすめ!
- 初めてホームページを作る人
- WordPressでホームページを作る人
- ホームページのセキュリティリスクを知りたい人
- ホームページのセキュリティ対策方法を知りたい人
この記事を読めば、ホームページを開設するうえで、最低限必要なセキュリティ対策が分かります。
初心者の方でも簡単にできる、おすすめのセキュリティ対策方法を紹介しているので、ぜひチェックしてください。
それではどうぞ!
ホームページにセキュリティ対策が必要な理由
セキュリティ対策が施されていないホームページは、以下のようなリスクを抱えるおそれがあります。
それぞれ解説します。
個人情報の漏洩
まず、ホームページはサイバー攻撃が原因で、個人情報が漏洩するおそれがあります。
たとえば、「SQLインジェクション」という攻撃手段について、考えてみましょう。
SQL(エスキューエル)という言語のプログラムを悪用し、ホームページのデータベースを不正に操作(消去や改ざん)する攻撃方法です。個人情報を含め、ありとあらゆるデータが盗まれる危険性もあります。
ECサイトや会員サイトは、顧客情報、商品情報、注文情報などといった機密性の高い情報がデータベースに格納されているため、SQLインジェクションの標的になりやすいです。
このようなサイバー攻撃により、個人情報が漏洩してしまうと、主に以下2つのリスクが発生するので、覚えておきましょう。
賠償責任が発生する
個人情報が漏洩してしまうと、賠償責任が発生するおそれがあります。
賠償額の相場は過去の判決事例から見て、1人当たり3,000円~5,000円程度と言われており、「情報漏洩した項目」や「二次被害の有無」によって、さらに高額になるケースも。
個人情報が漏洩すると、管理が不適切であったとして、企業が賠償責任を負うことになるのです。
会社の信頼を失う
もう一つの個人情報漏洩リスクは、会社の信頼を失うおそれです。
自分の個人情報が流出したユーザーは、その原因となる企業に対して、不信感を抱くでしょう。
一度失った信頼を取り戻すのは、そう簡単なことではありません。
そのため、まずは個人情報を流出させないための企業努力が必要になるのです。
なお、2022年4月より、個人情報の漏洩が発生し、個人の権利利益を害するおそれがあるときは、「個人情報保護委員会」と「個人」への通知が義務化されました。
ホームページ運営に関わらず、企業として必要な知識になるため、チェックしておきましょう。
- 要配慮個人情報(※1)が含まれる事態
- 財産的被害が生じるおそれがある事態
- 不正の目的をもって行われた漏えい等が発生した事態
- 1,000人を超える漏えい等が発生した事態
(参考:個人情報保護委員会「漏えい等報告・本人への通知の義務化について」)
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報。
ホームページの改ざん
ホームページは、サイバー攻撃により、内容を書き換えられてしまうおそれがあります。
ホームページが改ざんされてしまうと、以下のような被害が発生するかもしれません。
それぞれ解説します。
自社と関係のないメッセージが書き込まれる
ホームぺージが改ざんされたときに書き込まれるメッセージは、さまざまです。
単にいたずら目的のメッセージもあれば、政治や宗教など個人的な主張を公にするためのメッセージもあります。
とくに大企業や政府系組織サイトは影響力が高いため、狙われやすいです。
ホームページを閲覧したユーザーに、直接的な被害はないものの、企業としてのブランド力は著しく低下してしまうでしょう。
不正サイトへの誘導
改ざんといっても、ホームページの見た目が変わるものだけではありません。
見た目では分からなくても、不正な内容が追加されることもあります。
後者の場合、ユーザーを不正サイトに誘導するための「リダイレクト(転送)用のスクリプト(プログラム)」が、ホームページに埋め込まれていることが多いです。
たとえば、ユーザーが「フィッシングサイト(偽サイト)」に誘導されたとしましょう。
クレジットカード情報、個人情報、パスワードなどを盗むために用意されたサイトで、本物とは区別がつかないことから、ユーザーが騙されるケースが増えています。
本物そっくりに作られたサイトのため、ユーザーは気づかずに、ID、パスワード、クレジットカードなどの情報を入力してしまいます。
その結果、それらの個人情報が漏洩してしまうのです。
ほかにも、不正サイトに誘導されてしまったがために、マルウェアに感染するケースも珍しくありません。
マルウェアについては、次で解説します。
マルウェア感染
改ざんにより、自社のホームページに「マルウェア(コンピューターウイルス)」が仕込まれてしまうこともあります。
マルウェアの種類例は、以下のとおりです。
| ランサムウェア | ファイルを暗号化して、データ復元のための身代金を要求する |
| スケアウェア | マルウェア感染を偽装し、解決策として偽アプリケーションを購入させる |
| スパイウェア | 個人情報やインターネットの閲覧情報などを悪用する |
| アドウェア | ユーザーが特定の行動をしたときに、ポップアップなどで広告を表示させる |
マルウェアに感染すると、自社のホームページが、悪意ある第三者のサイバー攻撃に加担することになります。
ユーザーをマルウェアの危険にさらさないために、ホームページにはセキュリティ対策が必要なのです。
サーバーダウン
ホームページのデータを格納しているサーバーは、サイバー攻撃により機能が停止するおそれがあります。
サーバーダウンを起こす例のひとつが「DDoS攻撃(ディードス攻撃)」です。
一度に複数のパソコンからサーバーにアクセスを集中させて、ダウンさせるサイバー攻撃の手法です。
サーバーがダウンすると、ホームページは閲覧できなくなってしまいます。
とくに、サービスサイトやECサイトなどを運営している場合は、営業そのものが困難になるため、被害も大きくなるでしょう。
サービスによっては、ユーザーの生活や企業の営業活動にまで、悪影響を及ぼしてしまうおそれだってありますよね。
自社だけでなく、ユーザーにもサイバー攻撃の被害が及んでしまうのです。
ホームページのセキュリティ対策5つ
ホームページのセキュリティについて、絶対的に安心できる対策はありません。
しかし、企業としてセキュリティを高める努力は必要です。
ただ、初心者の方であれば、「何」を「どの程度」対策すればよいのか、分かりづらいですよね。
ここでは、ホームページを開設するうえで、最低限抑えておきたいセキュリティ対策を5つ解説します。
詳しく見ていきましょう。
IDやパスワードの管理
IDやパスワードの管理は、セキュリティ対策の基本です。
たとえば、IDやパスワードは以下に使用されます。
- レンタルサーバーやドメインの管理
- WordPressのログイン情報
- FTPソフトの情報(HTMLの場合)
近年、IDやパスワードの脆弱性(セキュリティ上の欠陥)がきっかけで、ホームページやSNSアカウントを乗っ取られる被害が増えています。
前述のとおり、個人情報の漏洩やホームページの改ざんなどの要因になるため、注意が必要です。
ログイン用パスワードは、「英大文字小文字+数字+記号混じりで 10 桁以上」が推奨されています(参考:内閣サイバーセキュリティーセンター「インターネットの安全・安心ハンドブック<中小組織向け抜粋版>」。
パスワードは複雑な文字列で長いほど、「総当たり攻撃」に対して有効です。
暗号解読方法の一つで、パスワードなど考えられるパターン(組み合わせ)を手あたり次第に試す攻撃です。英語で「brute force(強引な)」と表現されるように、力づくな攻撃と言えます。
ほかにも、不正に入手したIDやパスワードを活用した「パスワードリスト攻撃」があります。
ログイン自体は正規の手順で行うため、悪用されていることに気づきにくい点が特徴です。
セキュリティを高めるために、定期的にパスワードを更新する方法があります。しかし、頻繁に更新することが目的になってしまい、覚えられる簡単なパスワードを設定してしまうと、逆効果になるので注意が必要です。
重要なデータやファイルは公開領域に設置しない/削除する
重要なデータやファイルは、サーバーの公開領域に設置しないようにしましょう。
サーバーの公開領域に設置されたデータやファイルは、第三者に閲覧されてしまうおそれがあります。万が一、機密情報などが流出すれば、大きな問題に発展してしまうでしょう。
もし、設置している場合は、削除する必要があります。
たとえば、サーバーの公開領域に、以下のようなデータやファイルがあると危険です。
- 個人情報や機密情報を含むデータ(テキストファイルやExcelファイルなど)
- 上記などを含むバックアップデータ
なかには、「URLを知らない限り、データやファイルにはアクセスできない」と誤解されている方もいるのではないでしょうか。
しかし、一般的にディレクトリ名(フォルダ名)やファイル名は単純なものが多く、URLを推測することは難しくありません。仮にURLが分からなくても、サーバーの接続情報が盗まれた時点で、容易にアクセスされてしまいます。
流出すると問題が発生するデータやファイルなどについては、根源を絶つことが一番のセキュリティ対策と、認識しておきましょう。
不要なサービスやアプリケーションは削除する
不要なサービスやアプリケーションは、サーバーから削除しましょう。
使わないサービスやアプリケーションを管理せずにいると、バージョンのアップデートなど、更新作業の対象から外れてしまうことも少なくありません。
アップデートされていないサービスやアプリケーションは、それ自体が脆弱性になってしまいます。
たとえば、このあとで解説するWordPress(ワードプレス)は、テストでインストールしたのち、公開したまま放置されるケースも珍しくありません。
ホームページ開設後は、不要なサービスやアプリケーションがないか、定期的に確認しましょう。
WordPressのセキュリティ対策
WordPress(ワードプレス)は「CMS(コンテンツ・マネージメント・システム)」の一種で、HTMLやCSSなどのWeb制作スキルがなくても、簡単にホームページの作成や更新ができる無料のシステムです。
CMSのなかでも代表的なシステムが「WordPress」であり、2024年6月現在、世界でもNo.1のシェアを誇っています(参考:W3 Techs「Usage statistics of content management systems」)。
利用者が多い反面、ほかのシステムに比べると、WordPressはセキュリティリスクが高いと言われています。
なぜなら、利用者の多いシステムを攻撃したほうが、成功する確率が上がるためです。
とはいえ、WordPressのセキュリティ対策は難しくありません。
以下の3つの対策を施していれば、ある程度リスクは軽減できます。
それぞれ解説します。
WordPress本体、テーマ、プラグインのアップデート
WordPress本体、テーマ、プラグインなどは、常に最新のバージョンにアップデートすることが推奨されています。
WordPressのデザインテンプレート。テーマを使用すれば、デザインがほぼ完成した状態からホームページを作成できます。
WordPressの拡張機能。本来開発が必要な機能でも、プラグインをインストールすれば、簡単に実装できます。
古いバージョンを使い続けると、脆弱性(セキュリティ上の欠陥)により、リスクが高まります。
パソコンのOSのように、最新のアップデートにはセキュリティを向上する内容が含まれているため、特別な理由がない限り欠かさず対応しましょう。
それでは、それぞれのアップデート方法を解説します。
WordPress本体のアップデート
WordPress本体のアップデートは、以下の2種類です。
メジャーアップデート
「WordPress 6.4→ 6.5」のように、数字の2桁目が繰り上がります。
マイナーアップデート
「WordPress 6.5.4→6.5.5」のように、数字の3桁目が繰り上がります。
WordPress 5.6以降をインストールした場合、メジャーアップデートとマイナーアップデート共に自動更新される設定になります。
メジャーアップデートは表示崩れなどの不具合につながりやすいため、必要に応じて手動更新への切り替えを検討しましょう。
上記を踏まえ、以下ではWordPressのメジャーアップデートがリリースされたとき、更新する方法を解説します。
まず、WordPressメニューの「ダッシュボード」にカーソルをあて、「更新」をクリックしてください。
バージョン 6.4-jaに更新をクリックすると、更新できます。
テーマやプラグインのアップデート
テーマやプラグインのアップデートは、WordPress本体のバージョンアップに合わせて提供されることが多いです。
基本的にはWordPressの管理画面で通知されるものの、テーマ提供元のホームページも定期的にチェックしましょう。
テーマやプラグインのアップデートは、WordPressの本体同様、「更新」からできます。
ボックスにチェックを入れて、プラグインを更新をクリックすれば完了です。
テーマも同様の方法で更新できます。
使用していないプラグインを削除
使用していないプラグインは、削除しましょう。
とくにアップデートされていないプラグインは、脆弱性によりサイバー攻撃を受けやすいです。
プラグインは、WordPressの管理画面から簡単に削除できます。
セキュリティ対策プラグインの導入
WordPressのセキュリティ対策は、プラグインでも可能です。
ここでは、おすすめのセキュリティ対策プラグイン『XO Security』を紹介します。
『XO Security』は、WordPressのセキュリティを簡単な設定のみで強化できるプラグインです。
セキュリティを向上するさまざまな機能により、ありとあらゆる角度からWordPressを守れます。
たとえば、デフォルト(初期状態)のWordPressは、不正ログインに弱いのが特徴です。
そこで、『XO Security』の以下の機能を利用すれば、簡単に不正ログイン対策ができます。
| 機能 | 説明 |
| ログイン試行の制限 | ログイン試行回数を制限することにより、人間はもちろん、「総当たり攻撃(パスワードなど考えられるパターンを手あたり次第に試す攻撃)」などのロボットによる不正ログインを防ぎます。 |
| ログインページの URLを変更 |
ファイル名「wp-login.php」を変更することにより、人間やロボットがそもそもログインぺージに到達できないようにする対策です。 |
| 2要素認証 | 「ユーザー名とパスワード」だけでなく、「ワンタイムパスワード(管理者向けに発行される1回限りのパスワード)」の入力も必要にすることで、不正ログインから守ります。 |
| ログインフォームに CAPTCHAを追加 |
画像のテストにより、人間とロボットを振り分ける仕組みです。たとえば、画像に表示された文字を入力しないとログインできないようにすることで、ロボットによる不正ログインを防ぎます。 |
| ユーザー名の非公開 | REST APIや投稿者アーカイブなどから、ユーザー名(ログインID)が取得されるのを防ぎます。 |
また、不正ログイン以外にも、さまざまなサイバー攻撃に対する設定も追加可能です。
初心者の方にも使いやすいセキュリティ対策プラグインなので、ぜひ導入を検討してみてください。
『XO Security』について、詳しくは以下の記事で解説しています。
- セキュリティ関連のプラグインと言えど、アップデートしないと脆弱性が発生してしまいます。どんなプラグインでも、「アップデート」と「使用中以外は削除」を心がけましょう。
- セキュリティ対策は、バランス感覚も重要です。利便性が損なわれてしまうことにもつながるので、内容を精査したうえで導入してください。
SSL化
ホームページの「SSL化」も、重要なセキュリティ対策です。
インターネット上で発生するデータの送受信を暗号化して保護する仕組み。個人情報やクレジットカード情報などの漏洩を防ぐのに貢献しています。
以前は、お問い合わせフォームや注文フォームなど、個人情報を入力するページのみにSSLを適用することが多かったです。
しかし、近年ではGoogleがSSLの有無を検索順位決定のための要素として取り入れた背景もあり、基本的に全ページに適用することが一般的になりました(常時SSL化)。
Google はランキング シグナルとして HTTPS を使用することにしました。
(引用:Google検索セントラル「ランキング シグナルとしての HTTPS」)
SSL化の手順
ホームページをSSL化する手順は、以下のとおりです。
- レンタルサーバーでSSL証明書を取得
- レンタルサーバーでSSLを設定(ドメインとの紐づけ)
- httpのアクセスをhttpsに転送(リダイレクト設定)
WordPressでホームページを作る場合は、管理画面の「設定」にある「WordPress アドレス(URL)」と「サイトアドレス(URL)」をhttpsに変更する必要があります。
詳しくは、以下の記事を参考にしてください。
エックスサーバーならセキュリティ対策機能が無料で使える
初心者の方であれば、レンタルサーバーのセキュリティ対策機能がおすすめです。
とくに難しい操作をすることなく、ホームページを保護できます。
たとえば、弊社の『エックスサーバー』では、以下のセキュリティ対策機能を無料で利用可能です。
それぞれの機能について、簡単にご紹介します。
WAF(ウェブ・アプリケーション・ファイヤーウォール)
「WAF」とは、Web Application Firewallの略で、WordPressなどのWebアプリケーションの脆弱性を狙った攻撃から、ホームページを保護するためのセキュリティ対策です。
WAFは、サーバーにアクセスされる前の段階に設置されており、解析により攻撃であると判断した通信を遮断します。
前述の「SQLインジェクション」はもちろん、脆弱性のある掲示板や入力フォームなどに罠を仕掛ける「クロスサイトスクリプティング(XSS)」に対しても、効果を発揮します。
WAFは、不正アクセスを100%駆除することを保証するものではありません。
あくまでも、Webアプリケーションの脆弱性を狙った攻撃に対する「最低限の予防策」となります。
カワウソ
どんなセキュリティ対策でも、確実に守れるわけではありません。とはいえ、やるに越したことはないでしょう。
WAFについては、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「WAF設定」
国外IPアクセス制限設定
「国外IPアクセス制限設定」は、国外からのアクセスを制限して、WordPressを保護するセキュリティ対策です。
総当たり攻撃などは海外から受けることも多く、一定数効果を発揮します。
海外からWordPressの管理画面にログインする場合は、一時的に解除する必要があります。
国外IPアクセス制限設定については、以下のマニュアルを参考にしてください。
▶『エックスサーバー』マニュアル「国外IPアクセス制限設定」
ログイン試行回数制限設定
「ログイン試行回数制限設定」は、WordPressへのログインを短時間に連続して失敗したときに、制限をかけるセキュリティ対策です。
とくに、前述の総当たり攻撃に効果があります。
制限は24時間で解除されるため、WordPress管理者の負担が少ないです。
万が一、パスワードの入力に失敗して制限がかかっても、翌日にはログインできるようになります。
ログイン試行回数制限設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「ログイン試行回数制限設定」
コメント・トラックバック制限設定
「コメント・トラックバック制限設定」は、ホームページに対する大量コメントやトラックバックスパムが行われたときに、一時的に制限する機能です。
トラックバックとは、他サイトやブログ記事の内容を参照や引用したときに、参照元に通知する機能のこと。トラックバックスパムは、実際に参照や引用されていないのにも関わらず、広告を見せることを目的にした悪質な宣伝行為です。
国外IPアドレスからのコメントやトラックバックを制限する機能もあります。
コメント・トラックバック制限設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「コメント・トラックバック制限設定」
セキュリティの強化なら「ビジネス」プランがおすすめ
『エックスサーバー』のプランは、「スタンダード」「プレミアム」「ビジネス」の3つから選択可能です。
さきほどご紹介したセキュリティ対策機能は、すべてのプランでご利用いただけます。
しかし、さらにセキュリティを強化したい方は、「ビジネス」プランがおすすめです。
ビジネスプランなら、追加で以下2つのセキュリティ対策機能が利用できます。
それぞれ解説します。
Web改ざん検知設定
「Web改ざん検知設定」は、登録したURLに対して、Webページが改ざんされていないか、1日1回検知する機能です。マルウェアの感染やフィッシングサイトへの誘導リンクも検知できます。
もしWebページの改ざんが検知されたら、登録済みのメールアドレスに連絡が来るように設定可能です。
Web改ざん検知設定は、診断開始URLから自動的にリンクを辿る仕組みで、30ページまでが対象です。ページ数が多いホームページはご注意ください。
Web改ざん検知設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「Web改ざん検知設定」
管理者ユーザー設定
「管理者ユーザー設定」は、サーバーパネルを複数人で管理するための機能です。
サーバーパネルの各機能に対する権限を、ユーザーごとに任意で付与できます。
サーバー、メールアドレス、ホームページ、WordPress、セキュリティなどを対象とした『エックスサーバー』の管理画面。
サーバーパネルにアクセスできる人が増えるほど、セキュリティリスクは高まります。
自社はもちろん、ホームページ制作の委託先企業など、複数人でサーバーパネルを管理する場合におすすめの機能です。
管理者ユーザー設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「管理者ユーザー設定」
まとめ
今回の記事では、ホームページのセキュリティが重要な理由や対策方法について解説しました。
- ホームページはサイバー攻撃の対象になるため、「セキュリティ対策」が必要
- 被害の代表例は、個人情報の漏洩、Webページの改ざん、サーバーダウンなど
- ホームページを開設する人は、最低限3つのセキュリティ対策を押さえておく
- 『エックスサーバー』なら、セキュリティ対策が「無料」で使える
- さらにセキュリティを強化したい場合は、「ビジネス」プランがおすすめ
セキュリティ対策をしたからといって、絶対的に安心できるわけではありません。
しかし、セキュリティ対策を施せば、サイバー攻撃を受ける確率を減らせます。
ビジネスの拡大など、状況に応じてセキュリティを強化していきましょう。
以上、最後まで読んでいただき、ありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※のレンタルサーバーであり、20万社の導入実績があります。
2024年8月6日(火)17時まで、サーバーが実質半額で利用できる『半額キャッシュバックキャンペーン』を開催中です!
今なら実質月額495円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2024年5月時点、W3Techs調べ。
Xserverビジネスは、安定性を重視したレンタルサーバーです。
エックスサーバーを法人向けに特化させており、サポートも充実しています。
2024年10月1日(火)17時まで、サーバー初期費用が0円となる期間限定キャンペーンを開催中です!
※マネージド専用サーバー 物理タイプの「エントリー」プランのみ条件が異なります。
今ならお得にホームページを開設できます!
コーポレートサイトでよく使われる「.co.jp」のドメインも永久無料で、大変お得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
『エックスサーバー』と『Xserverビジネス』の違いは、以下の記事で詳しく解説しています。
なお、当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
