セキュリティ対策は大丈夫!? ホームページを自作するなら知るべき基礎知識
サイバー攻撃って何?大企業だけの話?
ホームページのセキュリティ対策って何すれば良いの?
今回は、ホームページのセキュリティ対策に関する、上記のような疑問にお答えします。
本記事の内容
- ホームページのセキュリティ対策とは
- ホームページ自作でできるセキュリティ対策
- WordPressサイトでできるセキュリティ対策
本記事の執筆者
こんにちは、ホームページ自作ラボ管理人のリュウです。
私は、現役のWebデザイナーとして、ホームページ制作会社の代表をしています。
本記事は、以下のような人にオススメです
- ホームページを自作したいけどセキュリティが心配
- 自分でできるセキュリティ対策を知りたい
本記事を読むことで、ホームページのセキュリティ対策について知ることができ、より安全なホームページ運営ができます。
結論を先に言うと
サイバー攻撃されたときのダメージは大きいですが、初心者でも自分でできるセキュリティ対策はたくさんあります。
本記事でご紹介している対策は、すぐに実行して、安全なホームページ運営をしてください。
では、ホームページのセキュリティ対策について徹底解説していきます!
このページの目次
ホームページを自作するならセキュリティ対策は必須
インターネット上に公開しているホームページは、常にサイバー攻撃のリスクにさらされています。
サイバー攻撃とは、悪意を持つ第三者がネットワークを通じて、サーバー・パソコン・スマホなどの情報端末に不正アクセスし、システムの破壊やデータの窃取・改ざんなどを行う行為のことです。
制作会社に依頼してホームページ制作をする場合は、制作会社にお任せできる部分もあります。
しかし、ホームページを自分で作る場合は、自分でセキュリティ対策をしなくてはいけません。
なお、制作会社に依頼する場合でも人任せにするのではなく、基礎的なセキュリティ対策について知り、自分でできることは自分ですることが大切です。
中小企業はサイバー攻撃の対象になりやすい
サイバー攻撃と聞くと「うちは大企業でも官公庁でもないから関係ない」と思う人もいるでしょう。
しかし、サイバー攻撃の対象は大企業や官公庁だけではありません。
むしろ、中小企業のホームページこそ狙われています。
大企業や官公庁は、多額の費用を掛けて強固なセキュリティ対策を行っているので、攻撃するハードルが高いからです。
その反面、中小企業であれば、まだまだセキュリティ対策が甘いのが現状です。
そこで、セキュリティ対策が甘い中小企業のホームページがターゲットにされやすくなります。
つまり、中小企業こそがセキュリティ対策をしっかりする必要があるのです。
サイバー攻撃は、無名のサイトほどターゲットにされやすいです。
と言うことは、ホームページを運営するなら誰でも、セキュリティ対策が必要って訳ですね。
中小企業が大企業など本命への踏み台に利用される
攻撃者が中小企業をターゲットにする理由は、セキュリティ対策が甘いというだけではありません。
本命である大企業や官公庁へサイバー攻撃するための、踏み台として中小企業を利用することも少なくありません。
まずは中小企業のサーバーを乗っ取り、メールを送信することで、大企業へサイバー攻撃を仕掛けていく手口が横行しています。
もし自社のサーバーが乗っ取られると、知らないうちに大企業へのサイバー攻撃に加担してしまう可能性があります。
自分のサーバーが、サイバー攻撃の踏み台にされるって怖いですね。
サーバーを乗っ取って、ホームページにアクセスしたユーザーを不正サイトへ誘導したり、マルウェア感染させたりするケースもあります。
セキュリティ対策不足によるダメージが大きい
サイバー攻撃を受けてしまうと、しばらくホームページが表示されないことによる、売上や信用のマイナスが大きいです。
そして、以下についての手間と費用が掛かり、日常業務が円滑に行えなくなるリスクがあります。
- 被害状況の調査
- 顧客への対応(問い合わせ対応や謝罪など)
- 顧客からの損害賠償請求の対応(裁判費用や損害賠償金)
- ホームページの復旧
セキュリティ対策不足によるダメージは想像以上に大きく、最悪の場合は経営危機に陥ります。
サイバー攻撃を受けると、悪いことだらけですね。
セキュリティ対策が甘かったために、お金に変えられないような大きな被害を受ける可能性があります。
ホームページのセキュリティ対策不足により受ける被害
ホームページのセキュリティ対策不足により受ける被害は以下の通りです。
- 個人情報・機密情報の漏えい
- ホームページの改ざん・サーバーダウン
- マルウェア感染
個人情報・機密情報の漏えい
個人情報や機密情報の漏えいは、サイバー攻撃による被害の代表的なものです。
特に、個人情報保護については世間の目が厳しく、企業にとって大きなダメージとなります。
情報漏えいした個人に対しての金銭的な補償問題だけに収まらず、企業としての社会的信用の失墜は避けられません。
個人情報・機密情報の漏えいによって、取引先との関係悪化も考えられます。
最悪の場合、取引停止が続けば、企業の存続問題にも発展する可能性があります。
個人情報が漏えいすると、多額の損害賠償を支払うリスクがあります。損害賠償額の相場は、1人あたり3,000円〜5,000円程度です。
1人あたり3,000円だとしても、仮に1,000人分なら合計300万円もの損害賠償額に…。しかも、その対応に追われる時間や労力も計り知れないなんて恐ろしすぎです。
ホームページの改ざん・サーバーダウン
ホームページの全部もしくは一部を改ざんされる被害です。
まったく別のサイトに変えられてしまった場合は気づきやすいですが、一部だけだと気づくまでに時間が掛かるケースもあります。
例えば、振込先口座を書き換えられてしまうと、誤った口座へ振り込まれ、金銭的な被害も出る可能性があります。
改ざんなどの不正アクセスを検知したサーバーが、被害拡大を防ぐためにサーバーアカウントの停止措置を取る場合があります。
そうなると、同じアカウントのサーバーに保管されているサイトがすべて表示されなくなり、売上や信用に悪影響です。
サーバーアカウントの停止措置を取られると、サーバー内のWebデータを全削除してから、サイト構築しないといけないので、かなり大変です。
初心者であれば、元の状態に復旧するのは難しいかもしれませんね。
マルウェア感染
マルウェアとは、不利益をもたらす悪意のあるプログラムやソフトウェアの総称です。
有名なマルウェアには、「トロイの木馬」「ワーム」「スパイウェア」などがあります。
マルウェアは「コンピューターウイルス」と呼ばれることも多いですが、正確に言うとウイルスはマルウェアの一種です。
ホームページにマルウェアを仕込み、管理者が何も操作できないようにロックするサイバー攻撃も多発しています。
このサイバー攻撃は、身代金目当てであるのが特徴であり、ランサムウェアとも呼ばれます。
ランサムウェアは、近年増加する傾向にあるサイバー攻撃です。
一般的には「マルウェア」よりも「コンピューターウイルス」の方が馴染みがあると思います。
マルウェアに感染したら自分だけでなく、ホームページにアクセスしたユーザーにも迷惑を掛ける可能性があるってことですね。
ホームページ自作でできるセキュリティ対策
ホームページ自作でできるセキュリティ対策は、以下の通りです。
- サーバーでできるセキュリティ設定を有効にする
- 不要なファイルやプログラムは削除する
- アカウントやパスワードの管理を慎重にする
- ホームページをSSL化する
- 送信フォームにGoogle reCAPTCHAを設置する
サーバーでできるセキュリティ設定を有効にする
利用しているレンタルサーバーのセキュリティ設定を有効にすることは、誰でもすぐにできるセキュリティ対策です。
レンタルサーバーによってセキュリティ設定は異なりますが、少なくともWAF設定ができるようになっていることが多いです。
WAF(Webアプリケーションファイアウォール)が有効であれば、WordPressなどのWebアプリケーションの脆弱性を悪用した攻撃から、Webサイトを保護することが可能です。
また、WordPressサイトを運営する場合は、レンタルサーバーでできるWordPress用のセキュリティ設定も忘れずに行ってください。
セキュリティ設定については、デフォルトで有効になっていることも多いですが、中には自分で有効にしないといけない設定もあります。
必ずレンタルサーバーの管理画面で確認してください。
レンタルサーバーのセキュリティ設定を有効にするのに、難しい知識は不要です。必ず有効にしておきましょう。
自分が使っているレンタルサーバーのセキュリティ機能を、ちゃんと確認しておかないといけませんね。
不要なファイルやプログラムは削除する
ホームページを制作する際に「いつか使うかもしれない」と、あれもこれもとファイルやプログラムを追加しがちです。
また、ホームページを運営している途中で使わなくなったファイルやプログラムを、そのまま放置していることもありがちです。
不要なプログラムが多いほどセキュリティホールも多くなり、サイバー攻撃を受けるリスクが高まってしまいます。
不要なファイルやプログラムは、すぐに削除することが大切です。
日頃から、不要なファイルやプログラムは削除する習慣を、身に付けておきましょう。
不要なファイルやプログラムが多くなると、より整理整頓のハードルが上がるので、日頃からマメに行うことが大切ですね。
アカウントやパスワードの管理を慎重にする
サーバーやWordPressなどのアカウントの情報管理は慎重にしてください。
特に、複数人でホームページを管理している場合は要注意です。
アカウント情報を一律に教えるのではなく、可能であれば、スタッフ用や外注用に別アカウントを作成しましょう。
そして、アカウントごとに必要な権限のみを付与し、不要になったアカウントは削除してください。
また、パスワードについては、推測されにくく複雑かつ長めの文字列を設定してください。
英字(大文字・小文字)+数字+記号を組み合わせることも有効です。
ネットのサービスが多すぎて、パスワード覚えるの面倒だから、すべて同じパスワードにしていました。
ホームページ関係のパスワードに限らず、すべてのパスワードは、推測されにくい別のパスワードにすることが鉄則です。
ホームページをSSL化する
SSLとは、送受信しているデータを暗号化する通信技術のことです。
お問い合わせフォームから送信された情報などを保護してくれるので、個人情報漏えいを防ぐことができます。
SSL化はセキュリティ対策はもちろん、SEO対策の一つとしても必須と言えます。
ほとんどのレンタルサーバーでは、無料でSSL対応ができるので、必ず設定しておきましょう。
ちなみに、SSL対応されているホームページのURLは「https://」から始まります。
SSL化は、セキュリティ的にもSEO的にも必須です。
今は、SSL化されていないホームページの方が少数派ですね。
送信フォームにGoogle reCAPTCHAを設置する
Google reCAPTCHAとは、Google社が提供するセキュリティ対策ツールのことで、ボットによるスパムメールを防ぐことができます。
お問い合わせフォームに設置すると、「私はロボットではありません」にチェックしてから送信できます。
すべてのスパムメールを防ぐことができる訳ではないのですが、スパムメールを大幅に抑制することができます。
Google reCAPTCHAを設置していれば「しっかりと運営されているホームページ」という印象を与えることもできます。
SSL化もGoogle reCAPTCHAも、ホームページの信頼感アップのためにも大切ですね。
WordPressサイトでできるセキュリティ対策
WordPressサイトでできるセキュリティ対策は、以下の通りです。
WordPressは特にサイバー攻撃の対象にされやすいので、できることはすべてしておきましょう。
- WordPress・プラグインは常に最新バージョンにする
- セキュリティ対策のプラグインを利用する
- 不要なプラグインは削除する
- サーバーでできるWordPress用のセキュリティ設定を有効にする
WordPress・プラグインは常に最新バージョンにする
セキュリティ対策の強化のためにも、WordPressは頻繁にバージョンアップがされています。
そのため、使用する側としては、常に最新バージョンのWordPressを使用することが大切です。
また、プラグインも常に最新バージョンを使用することで、最新のWordPressに合った仕様で使えるだけでなく、セキュリティ対策になります。
バージョンアップは不定期に行われるので「毎月1日にはバージョンアップする」などと決めて、定期的にメンテナンスをしましょう。
常に最新バージョンのWordPressやプラグインを使用しているだけでも、セキュリティ対策として有効です。
ワンクリックでバージョンアップできるのに、「面倒だから」と言ってしないのは損ですよね。
セキュリティ対策のプラグインを利用する
サイバー攻撃を受けた場合でも、被害を極力防ぐためにセキュリティ対策のプラグインを導入してください。
WordPressのセキュリティ対策プラグインでオススメは「SiteGuard WP Plugin」です。
「SiteGuard WP Plugin」は日本の企業が開発しているプラグインなので、日本語で使用できます。
操作は簡単で、以下のような機能があります。
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を保護。 |
|---|---|
| ログインページ変更 | ログインページ名を変更。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返す。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロック。 |
| ログインアラート | ログインがあったことを、メールで通知。 |
| フェールワンス | 正しい入力を行っても、ログインを一回失敗する。 |
| XMLRPC防御 | XMLRPCの悪用を防ぐ。 |
| ユーザー名漏洩防御 | ユーザー名の漏洩を防ぐ。 |
| 更新通知 | WordPress、プラグイン、テーマの更新を、メールで通知。 |
| WAFチューニングサポート | WAF (SiteGuard Lite)の除外リストを作成。 |
セキュリティ対策プラグイン「SiteGuard WP Plugin」は無料とは思えないほど優秀です。
しかも、日本の企業が開発しているなら、日本語で使えるし安心ですね。
不要なプラグインは削除する
インストールしているプラグインが多いほど、サイバー攻撃の対象が多いとうことなので、リスクが高まります。
インストールしてはいるけど、現在は使用していないプラグインは削除してください。
プラグインは、本当に必要かどうかを検討してからインストールしましょう。
使わなくなったプラグインは、すぐに削除するようにしてください。やっぱり使うことになったときは、また追加すれば大丈夫です。
「またいつか使うかも」と残しておくのは危険ですね。
サーバーでできるWordPress用のセキュリティ設定を有効にする
出典:エックスサーバー
サイバー攻撃の対象にされやすいWordPressのために、WordPressのためのセキュリティ設定を用意しているレンタルサーバーが多いです。
例えば、WordPress利用者に人気のレンタルサーバー「エックスサーバー」であれば、以下のようなセキュリティ設定が用意されています。
| 国外IPアクセス制限設定 | WordPress管理画面などへの不正アクセスは、国外のIPアドレスから行われることが多いです。 そのため、国外IPアクセス制限設定によって国外IPアドレスからのアクセスを制限することで、不正ログインやDDoS攻撃の踏み台になることを防げます。 |
|---|---|
| ログイン試行回数制限設定 | 短時間に連続してWordPressの管理画面にログイン処理(失敗)が行われた場合に24時間アクセスを制限する機能です。 不正アクセスの定番である「パスワード総当り(ブルートフォースアタック)」による不正アクセスを防止することができます。 |
| コメント・トラックバック制限設定 | コメント投稿やトラックバックを制限することができます。 |
特段の事情がない限り、上記の設定はすべて「ON」にしておきましょう。
一度、有効になっているか確認して、有効になっていなければ有効にすれば良いだけの作業です。面倒くさがらず、必ず確認してください。
少しの手間をサボったために、比較にならないほど面倒なことになるかもしれませんよね。
ホームページのセキュリティ対策 まとめ
今回は、ホームページのセキュリティ対策について徹底解説しました。
サイバー攻撃されたときのダメージは大きいですが、初心者でも自分でできるセキュリティ対策はたくさんあります。
本記事でご紹介している対策は、すぐに実行して、安全なホームページ運営をしてください。
