「Webサイトのセキュリティ対策、何から手をつければいいか分からない…」 「バックアップは必要だと思うけど、専門知識はないし…」
中小企業の経営者やWeb担当者の方から、このようなご相談をよくお受けします。サイバー攻撃のニュースは後を絶たず、自社のサイトは大丈夫かと不安に感じている方も多いのではないでしょうか。
しかし、ご安心ください。大企業のような完璧なセキュリティ体制をいきなり目指す必要はありません。まずは「最低限これだけは」というポイントを押さえ、継続できる仕組みを作ることが何よりも重要です。
この記事では、特に多くの企業で利用されているWordPressサイトを念頭に、専門知識がなくても今日から始められる、最低限のセキュリティ&バックアップ対策を5つに絞ってご紹介します。この記事を読めば、自社の現状をチェックし、具体的な改善アクションを取れるようになります。
1. WordPressとプラグインは、こまめにアップデートする
基本中の基本ですが、最も重要な対策の一つがアップデートです。
WordPress本体や、機能を追加する「プラグイン」、サイトのデザインを担う「テーマ」は、プログラムでできています。そして、プログラムには「脆弱性(ぜいじゃくせい)」と呼ばれるセキュリティ上の弱点が見つかることがあります。
攻撃者はこの弱点を狙ってサイトに侵入し、情報を盗んだり、サイトを改ざんしたりします。アップデートには、こうした脆弱性を修正するプログラムが含まれているため、常に最新の状態に保つことが、攻撃を防ぐ有効な手段となるのです。
【今日からできること】
- WordPressの管理画面にログインし、ダッシュボードの「更新」をチェックする。
- 更新通知があれば、内容を確認して実行する。(※)
- 利用しているレンタルサーバーが自動更新機能を提供している場合は、設定を検討する。
※ 更新前にバックアップを取っておくと、万が一表示が崩れるなどの不具合が起きても安心です。
2. 「戻せる」ことが重要!自動バックアップを設定する
もしサイトが攻撃されたり、操作ミスでデータが消えてしまったりしても、バックアップがあれば元の状態に復旧できます。しかし、「バックアップを取ったつもり」では意味がありません。重要なのは「いつでも確実に復旧できる状態」にしておくことです。
手動でのバックアップは忘れがちですし、手間もかかります。そこでおすすめなのが、プラグインやサーバーの機能を使った自動バックアップです。
【おすすめのバックアッププラグイン】
- UpdraftPlus:世界中で広く使われている人気のプラグインです。簡単な設定で、Google DriveやDropboxなどのクラウドストレージに自動でバックアップを保存できます。
- All-in-One WP Migration:サイトの引っ越し(移行)ツールとして有名ですが、バックアップ用途にも優れています。初心者にも分かりやすい操作性が魅力です。
これらのプラグインを使えば、「毎週1回、深夜に自動でバックアップを取る」といった設定が可能です。また、多くのレンタルサーバーには標準でバックアップ機能が備わっています。一度、契約しているサーバーの管理画面を確認してみましょう。
【今日からできること】
- バックアップ用のプラグイン(例:UpdraftPlus)を導入し、クラウドストレージへの自動バックアップを設定する。
- 利用中のレンタルサーバーに自動バックアップ機能がないか確認し、あれば有効にする。
3. ログインIDとパスワードを強化する
WordPressサイトへの攻撃で最も多いのが、ログイン画面からの不正アクセスです。特に、以下のようなIDやパスワードは非常に危険です。
ユーザーIDは一度設定すると変更が少し手間ですが、パスワードはすぐに変更できます。内閣サイバーセキュリティセンター(NISC)も、英大文字・小文字・数字・記号を組み合わせた10桁以上のパスワードを推奨しています。
【今日からできること】
- WordPressの管理画面にログインし、全ユーザーのパスワードを「長く、複雑で、推測されにくい」ものに変更する。
- 可能であれば、ユーザーIDを
adminなどの単純なものから変更する。 - パスワード管理ツールなどを活用し、複雑なパスワードを安全に管理する。
4. WAF(Webアプリケーションファイアウォール)を有効にする
少し専門的に聞こえるかもしれませんが、WAF(ワフ)は中小企業にとって非常に心強い味方です。
WAFは、Webサイトへの不正な通信や攻撃を検知してブロックしてくれる、いわば「Webサイト専門の警備員」のようなものです。SQLインジェクションやクロスサイトスクリプティングといった、WordPress本体のアップデートだけでは防ぎきれない種類の攻撃にも効果を発揮します。
以前は高価で導入が難しいものでしたが、近年は多くのレンタルサーバーで、安価または標準機能として提供されるようになりました。
【今日からできること】
- 利用しているレンタルサーバーの管理画面にログインし、「WAF」や「Webアプリケーションファイアウォール」という項目がないか確認する。
- 機能があれば、必ず「有効」にする。
5. 使わない・退職した人のアカウントは必ず削除する
Webサイトの運用を複数人で行っている場合、担当者の退職などに伴うアカウント管理も重要なセキュリティ対策です。
使われなくなったアカウント、特に管理者権限を持つアカウントを放置すると、そのアカウントが万が一乗っ取られた場合に大きな被害につながる可能性があります。また、退職者が悪意を持ってサイトを操作するリスクもゼロではありません。
企業のWebサイトは会社の資産です。人の入れ替わりがあった際は、速やかにアカウントを削除するルールを徹底しましょう。
【今日からできること】
- WordPressの管理画面で「ユーザー一覧」を開き、現在使用されていない不要なアカウントがないか確認する。
- 退職者などの不要なアカウントがあれば、コンテンツの所有権を他のユーザーに引き継いだ上で削除する。
まとめ:完璧より「まず始める」一歩を
今回ご紹介した5つの対策は、どれも専門的な知識がなくても、すぐに着手できるものばかりです。
- こまめなアップデート
- 自動バックアップの設定
- ログインID・パスワードの強化
- WAFの有効化
- 不要なアカウントの削除
「セキュリティ対策は難しそう」と後回しにせず、まずはこの記事をチェックリスト代わりに、自社のサイトがどうなっているかを確認してみてください。そして、一つでも二つでも、できることから始めてみましょう。その一歩が、あなたの大切な会社のWebサイトを未来のリスクから守る、最も確実な方法です。
