「もっと早く対策しておけばよかった」

不正アクセスの復旧をご依頼いただいたお客様から、私たちが最もよくお聞きする言葉です。

被害に遭ってしまってからの復旧作業は、時間も費用もかかります。
しかし、日頃のちょっとした習慣で防げていたはずのケースが、実は少なくありません。

この記事では、専門知識がなくても実践できる不正アクセスの予防策を、3つに絞ってご説明します。
大切なサイトを守るために、できることから始めていきましょう。

お急ぎの場合は電話でご相談ください050-1724-5119受付時間 9:00-18:00 [ 土・日・祝日除く ]

今すぐ相談する【24時間受付】

「うちは小さいサイトだから大丈夫」という誤解

まず知っておいていただきたいのは、不正アクセスの多くが「自動化された攻撃」だということです。

攻撃者が一つひとつのサイトを狙い撃ちしているわけではありません。プログラムが世界中のサイトを機械的に巡回し、脆弱性のあるサイトを見つけては侵入していきます。つまり、サイトの規模や知名度は関係ないのです。「小さい会社のサイトだから狙われない」と考えていると、かえって対策が後回しになり、被害に遭いやすくなってしまいます。

難しい作業は必要ありません。以下の3つの基本を押さえるだけで、リスクは大きく下がります。

対策1:WordPress本体・プラグイン・テーマを最新に保つ

最も基本的で、最も重要な対策です。

WordPress本体やプラグイン、テーマに脆弱性が見つかると、開発者から修正版(アップデート)が配布されます。この更新を放置することは、鍵の壊れたドアをそのままにしておくようなものです。攻撃者は、修正されないまま残された脆弱性を狙ってきます。

特に、プラグインの脆弱性は攻撃の入口として最も狙われやすい部分です。以下の4つは、常に最新の状態を保つようにしてください。

  • WordPress本体
  • プラグイン
  • テーマ
  • PHP(サーバーの管理画面から更新します)

更新する前には、必ずバックアップを取る

アップデートによって、まれに表示崩れや不具合が起きることがあります。更新前にバックアップを取っておけば、万が一のときもすぐに元へ戻せます。「更新通知が来たら、バックアップを取ってから更新する」という流れを習慣にしておくと安心です。

  • サーバーの自動バックアップ機能:エックスサーバーなど多くのサーバーに標準搭載。最も手軽
  • バックアッププラグイン:「BackWPup」「UpdraftPlus」「All-in-One WP Migration」などで管理画面から手軽に取得
  • 手動:FTPでファイル、管理画面からデータベースを保存。確実だが慣れが必要

使っていないプラグイン・テーマは「削除」する

今は使っていないプラグインやテーマも、「無効化」しただけではファイルがサーバーに残り続けます。残っている限り、その脆弱性を突かれる可能性があります。使わないものは、無効化ではなく削除しておきましょう。

対策2:ログイン周りの守りを固める

管理画面へのログインは、攻撃者にとって最大の狙いどころです。あらゆるパスワードを機械的に試す「総当たり攻撃」から守るために、以下の対策をおすすめします。

ユーザー名に「admin」を使わない

「admin」は最も推測されやすいユーザー名です。すでに使っている場合は、新しい管理者アカウントを作成し、そちらに切り替えることを検討してください。

推測されにくいパスワードを設定する

大文字・小文字・数字・記号を組み合わせ、10文字以上の長さにすることが推奨されます。誕生日や会社名など、推測されやすいものは避けてください。他のサービスとの使い回しも危険です。

ログイン画面のURLを変更する

WordPressのログイン画面は、初期設定では誰でもアクセスできるURLになっています。専用のプラグインを使ってURLを変更しておくと、攻撃の入口そのものを見つけにくくできます。

二段階認証を導入する

万が一パスワードが漏れてしまっても、もう一段の認証があれば侵入を防げます。ログインセキュリティを強化するプラグインで設定できます。

対策3:セキュリティプラグインを導入し、放置しない

セキュリティプラグインを導入すると、不正ログインの防御やマルウェアのスキャンなど、基本的な対策をまとめて行えます。日本語に対応した下記のプラグインが代表的です。

おすすめのセキュリティプラグイン

  • CloudSecure WP Security:エックスサーバーが提供する国産・日本語対応の無料プラグイン。管理画面とログインURLの保護に特化。エックスサーバー利用者はインストール時に同時導入も可能
  • SiteGuard WP Plugin:国産の定番。ログインURL変更や画像認証など、導入直後から基本的な保護が有効になり、設定もシンプル
  • Wordfence Security:海外製の高機能プラグイン。ファイアウォールやマルウェアスキャンを備える。設定はやや専門的

ただし、一つ大切なことをお伝えしておきます。プラグインは「入れて終わり」ではありません。

実際に当社へご相談いただいたケースの中には、セキュリティプラグインを導入していたにもかかわらず被害に遭った事例が複数あります。プラグインはあくまで補助的なツールであり、導入しただけで万全になるわけではないのです。次の3点をあわせて意識してください。

  • アラートや通知が来たら、放置せず内容を確認する
  • プラグイン自体も定期的にアップデートする
  • スキャン結果を定期的に見て、異常がないか確認する

それでも「完璧」はありません

ここまでご紹介した対策を行っても、残念ながらリスクをゼロにすることはできません。巧妙に偽装された攻撃や、公開されたばかりの脆弱性を突く攻撃には、事前の対策だけでは防ぎきれないこともあります。

だからこそ、「予防」と「もしものときの備え」の両方が大切です。定期的なバックアップを取っておくこと、そして万が一の際にすぐ相談できる先を持っておくことが、被害を最小限に抑えることにつながります。

万が一の兆候が見られたときの確認方法は、こちらの記事で詳しく解説しています。

WordPressに不正アクセスされたか確認する方法と、被害を最小限に抑える対処法

WordPressに不正アクセスされたときの主な症状 不正アクセスの被害は、気づかないまま進行していることが少なくありません。以下の症状が一つでも当てはまる場合は、不正アクセスの可能性があります。 症状が出ていない場合で […]

よくいただくご質問

Q. 対策が多くて、どれから手をつければいいかわかりません。
まずは「対策1」のアップデートから始めることをおすすめします。最も効果が高く、管理画面から手軽に行える対策です。そのうえで、パスワードの見直しへと進めていくとよいでしょう。

Q. 更新作業が不安です。自分でやって壊してしまわないか心配です。
更新前にバックアップを取っておけば、万が一のときも元へ戻せます。それでも不安な場合や、更新後に不具合が出た場合は、無理をせず専門家にご相談ください。

Q. これらの対策を、自社で継続的に行う時間がありません。
日々の運用に手が回らないというお悩みは、多くの企業のご担当者からお聞きします。セキュリティ対策は一度きりではなく、継続的な運用が大切です。運用ごと専門家に任せるという選択肢もございます。

まとめ・ご相談はこちら

不正アクセスの被害は、気づいたときには拡大していることが少なくありません。しかし、日頃の基本的な対策で、その多くは防ぐことができます。改めて、今日から始められる3つの基本をまとめます。

  • WordPress本体・プラグイン・テーマ・PHPを最新に保つ
  • ログイン周りの守りを固める(ユーザー名・パスワード・URL・二段階認証)
  • セキュリティプラグインを導入し、放置せず運用する

「対策が正しくできているか自信がない」「運用まで手が回らない」と少しでも不安を感じたら、まずはお気軽にご相談ください。業界経験20年のWordPress専門エンジニアが、予防から万が一の復旧まで一貫してサポートいたします。

お急ぎの場合は電話でご相談ください050-1724-5119受付時間 9:00-18:00 [ 土・日・祝日除く ]

今すぐ相談する【24時間受付】