サイトのセキュリティについて。

サイトのセキュリティについて。

2026年01月24日

WEBサイトのセキュリティを確保する意味とは何でしょう?

ほったらかしサイトを擁護する言い訳

「あまり見る人いないから大丈夫」

「更新しないでおいてあるだけだから大丈夫」

「静的サイトだから大丈夫」

「アップデートすると期待通りに動かなくなるからほっとく」

「完璧なセキュリティなんて無いんでしょ?」

どれもよく聞く言葉です。ある意味、真実でもあります。

時代に合わせてWEBサイトのデーモンやベースとなるCMS、テーマやプラグインをアップデートすることはなかなかに労力と経費がかかります。だからなんとか楽な道を選ぶ言い訳を思いついてしまうのですね。

被害は自分だけではない

「いざ乗っ取られても、バックアップしてあるから大丈夫」

これもよく聞く言葉です。

「あまり重要ではないから、いざとなれば捨ててもいいや」

いや、もう最悪。それならサイトを閉めてしまった方がマシです。

サイトが乗っ取りに遭ったとします。

2000年頃は宗教団体や政治家などのサイトが乗っ取られて、真っ赤な画面にクラッカーの主義主張が表示されるという事件がよくありました。この時はこの時で大騒ぎでしたが、現在とは比べものにならない「ゆるゆるセキュリティ」でした。バックアップに対する認識も甘く、しかし「なんでもプリント」文化が残っていたおかげでプリントを参考にサイトを再現したということもありました。視聴者は「あー、やられてるなあ、このサイト」程度の認識でした。

現在はそのような派手な改変はされず、リモートコントロールウイルスを仕込まれたり、サイトを騙って視聴者を騙したり。場合によってはサイト運営者が視聴者に訴えられることもあり得ます。「騙したのは私ではない!乗っ取ったヤツが悪いんだ!」と言っても、そんなサイトを放置した責任は運営者にありますね。

悪党どもの狙い

ネット上の犯罪者は、現実の強盗のように危ない橋を進んで渡ることはありません。「千三つ」どころか「万一」「億1」で乗っ取りをたくらみ、それを踏み台に次を狙い、自らの痕跡を限りなく薄くしながら手を広げていきます。

主義主張をアピールするためなら大企業や官公庁を狙い撃ちするでしょうけれども、大半は金目当てです。

とにかく落とせる所を落としまくって、都合の良いサイトで視聴者を騙すのです。踏み台にされたサイトは結果的に犯罪の片棒を担がされたカタチになりますが、そのことに気づきすらもしないでしょう。

つまり「セキュリティがちがち」のサイトよりも「ほったらかしサイト」を手軽に数多く落とす方が楽でお得なのです。

WordPressの危険性?

曰く「WordPressは攻撃されやすいんでしょ?」

それはそうですね。世界で最も利用されているCMSですので、母数が膨大です。他のマイナーなCMSとは比べるべくもありません。

攻撃された数が多いだけでなく、利用者が多ければ「ほったらかしサイト」もたくさんあります。既知のセキュリティホールを全世界にさらけ出しているサイトなど、一発で乗っ取られ悪用されます。ひどい時には乗っ取られたまま何年も公開され続けている例すらありました。

注:XServerはクラッキングされたサイトについて通知してくれることもあります。

しかし翻って見るに、それだけ多くの目に晒され、総掛かりでセキュリティ対策が施されているとも言えます。どのプログラムも一長一短なので、誰もテストしてくれない独自プログラムを使うよりは万人の目で磨かれたWordPressをベースとするのが良いと弊社は考えています。

WordPressのセキュリティ対策初歩の初歩

  • 信頼できるサーバを使う。
  • サーバに用意されたセキュリティ設定をオンにする。
  • デーモン(PHP・MySQL)は最新の安定バージョンを設定する。PHPは関数の使い方が変わったりコマンドが廃止されたりすることもあり、アップグレードするとサイトが動かなくなることもあります。それでもその不具合に対処していかなければなりません。
  • WordPressの最新バージョンを使う。
  • プラグインを最新にする。
  • 配布されているテーマを使う場合、最新バージョンにする。WordPress・プラグイン・テーマのバージョンによっては相性問題が発生する場合もあります。その場合は最善策を探します。
  • ファイルのパーミッション(アクセス権)を適切に設定する。
  • 不要なプラグインを設置しない。たとえ無効化してあったとしても、サーバに設置すること自体がリスクになりえます。
  • ブルートフォースアタック(総当たり攻撃)への対策をする。
  • 海外からの管理画面へのアクセスを(通常は)遮断する。
  • 管理者のパスワードを強固なものにする。意味のある単語は絶対に使用せず、無意味な文字列が良い。
  • 不要なユーザーを削除する。
  • 二段階認証を設定する。これは絶対に必要。認証アプリ(Authenticator)による認証がベター。
  • 定期的にデータベースをチェックする。極端な肥大化や、覚えの無いテーブルがあれば調査して対処する。
  • 定期的にFTPでテーマファイルの更新日をチェックする。覚えの無い更新があった場合は中身を確認する。特に狙われやすいのはindex.php。意味不明なコードが見つかったら即時サイトを閉鎖すること。ファイル更新に関する通知機能があれば、積極的に利用する。

ログインURLを変更したりするセキュリティ対策プラグインもありますが、あまり信用していません。二段階認証が設定されていると、利用時に多少の手間はかかりますがクラッカーはだいたい逃げ出します。

その他注意すべきこと

  • ドメインレジストラ、サーバの契約アカウントは二段階認証を設定しましょう。
  • 管理用メールアドレスは1つにまとめ、責任者不明にならないようにしましょう。
  • Googleその他との連携にスマホが必須です。企業の場合、個人スマホに依存せず管理専用端末を用意しましょう。比較検討したところ、使用頻度が低く縛りが無い条件では楽天モバイルが良さそうです。端末はAndroidの最低価格品または中古もアリです。
UMIDIGI スマホ 携帯電話 G9x 4+4GB RAM 64GB ROM 1TBまで拡張 90Hz画面リフレッシュレート 高コスパスマホ Android 14 Go simフリー 6.75インチ 13MP画素メインカメラ デュアルSIM 5000mAhバッテリ-|顔認証|指紋認証|GPS|OTG
created by Rinker
¥12,900 (2026/01/26 21:28:32時点 楽天市場調べ-詳細)

この記事は2026/01/24に公開され、5 views読まれました。

     技術ノート   

維持継続可能なWEBサイトをご希望なら。

ダウンアンダーは視聴者が迷わず・読みやすい、発信者が更新しやすく維持管理しやすいWEBサイトを提供します。

  • アピールしやすい独自のカレンダーシステム。
  • マネージメントシステムとしてWordPressを採用。
  • 柔軟で破綻しにくいレイアウト。
  • バックアップを考慮したシステム構成。

サイトのメンテナンス・セキュリティ対策も承ります。フォームからお問い合わせください。

最近1ヶ月で人気の記事

サイトのセキュリティについて。 - デザイン事務所ダウンアンダー Wordpressはおまかせ。ホームページ・印刷など販売促進のためのデザインを提案します。

Copyright©デザイン事務所ダウンアンダー, All Rights Reserved.

This site is supported by Design Office Downunder(d7r.com) TOKYO.