「うちのサイトくらい、ハッカーに狙われることなんてないでしょ」——そう思っていませんか?
実は、小規模なサイトほど対策が甘いため、自動的に攻撃を試みるプログラムの標的になりやすいのです。今回は、非エンジニアの方でも取り組めるWebサイトのセキュリティ対策を、最低限やっておきたいものに絞ってご紹介します。
なぜ小さいサイトも狙われるのか
不正アクセスの多くは、人間が手動で行っているわけではありません。脆弱性のあるサイトを自動で探し回るプログラム(ボット)が常に動いており、WordPressのバージョンが古いサイトや、パスワードが弱いサイトを片っ端から攻撃しています。
被害を受けると、こんなことが起こります。
- サイトに別の会社の広告や不審なページが埋め込まれる(改ざん)
- 訪問者のパソコンにウイルスをばらまく踏み台にされる
- Googleに「危険なサイト」と判定されて検索結果から除外される
- お客様の個人情報が流出して信頼を失う
最低限やっておきたい5つの対策
① WordPressとプラグインを常に最新版にする
WordPressのアップデートは、多くの場合セキュリティホールを修正するためのものです。「壊れるのが怖くて更新していない」という方も多いですが、更新しないことの方がリスクが高いです。更新前にバックアップを取る習慣をつけましょう。
② ログインパスワードを複雑にする
「admin」「password」「会社名+1234」のような単純なパスワードは、自動ツールで簡単に破られます。WordPressの管理画面のパスワードは、大文字・小文字・数字・記号を組み合わせた12文字以上に設定しましょう。パスワード管理ツール(1Passwordなど)を使うと管理が楽になります。
③ ログインURLを変更する
WordPressの管理画面は、初期設定では「サイトURL/wp-admin/」でアクセスできます。この URLは誰でも知っているため、ここへの攻撃を試みるボットが非常に多いです。プラグイン(例:WPS Hide Login)を使ってログインURLを変更するだけで、攻撃の大半を防げます。
④ SSL(https)を導入する
サイトのURLが「http://」のままになっている場合、通信が暗号化されていないため、入力された情報が第三者に盗まれるリスクがあります。「https://」のSSL化は、今や無料で対応できるサーバーがほとんどです。ブラウザのアドレスバーに鍵マークが表示されているか確認しましょう。
⑤ 定期的にバックアップを取る
万が一の際に最後の砦となるのが、バックアップです。サイトが改ざんされたり壊れたりしても、バックアップがあれば復旧できます。プラグイン(例:UpdraftPlus)を使えば、自動で定期バックアップを設定できます。
5つの対策をまとめると
| 対策 | 難易度 | 優先度 |
|---|---|---|
| WordPress・プラグインを最新版にする | 低い(クリックするだけ) | ★★★ |
| ログインパスワードを強化する | 低い | ★★★ |
| ログインURLを変更する | 中(プラグイン導入) | ★★☆ |
| SSL(https)を導入する | 中(サーバー設定) | ★★★ |
| 定期バックアップを設定する | 中(プラグイン導入) | ★★★ |
「今のサイトのセキュリティ、大丈夫かな?」と気になった方は、ヨコハマラボにご相談ください。現状の診断から対策の実施まで、まとめてサポートします。