個人サイトに必要なセキュリティ対策は？　HTML製サイト・WordPressサイトなど種別に解説

サイトを運営するにあたって気になるのがセキュリティ対策です。個人サイトでもセキュリティ対策を行う必要はあるのでしょうか？

結論から言うと、個人サイトは攻撃の対象にはなりにくいです（攻撃したところで一般的にメリットが少ないから）。しかし、基本的なセキュリティ対策はしておきましょう。特にWordPressなどのCMSを使っているサイトは、きちんと対策をする必要があります。

セキュリティ対策をしないとどうなるの？

そもそもセキュリティ対策をしないとどういったことが起こるのでしょうか？

• サイトの内容を改竄されてしまう。
• 個人情報を抜かれてしまう。
• サイトやサーバーを乗っ取られてしまう。
• サーバーを乗っ取られて、他者への攻撃に利用されてしまう。

最悪の場合、せっかく作った自慢のサイトの内容が全て削除されてしまうと言うことも起こりえます。また、セキュリティ対策を怠り攻撃を受けることで、サイト運営者自身の信用を失ってしまう危険もあります。

サイトの作りによって必要な対策は異なります

では、具体的にどのような対策が必要なのでしょうか？　個人サイトで必要なセキュリティ対策は、サイトがどのように作られているかによって異なります。

HTMLベタ打ちサイトはセキュリティ上の心配が少ない

テンプレートで作られているなど、HTMLベタ打ちのサイトでは、セキュリティ上の心配は少ないです。攻撃の糸口になるポイントが少ないからですね。

とはいえ、何もしなくていいというわけではありません。可能であれば以下のような対策を取りましょう。

• 対策1：SSL証明書を導入する（できればでOK）
• 対策2：各種ログインパスワードを適切に設定する（サーバーのコントロールパネルなど）
• 対策3：メールフォームなどはセキュリティ対策対応済みのものを使用する

各項目の詳細はこの記事の中で解説しています。

WordPress、他CMSを使っているサイトは気を付けるべきことが多め

WordPressなどCMSを導入しているサイトでは、気をつけるべきことが多くなります。特にWordPressは全世界で最も多く利用されているCMSですので、攻撃の標的にもなりやすいです。

WordPressなどCMSを導入しているサイトでできる対策は、以下の通り。

• 対策1：SSL証明書を導入する
• 対策2：各種ログインパスワードを適切に設定する（WordPressログインパスワード、サーバーコントロールパネルなど）
• 対策3：メールフォームなどはセキュリティ対策対応済みのものを使用する
• 対策4：CMS本体やテーマ、プラグインは最新版に保つ。使っていないプラグイン等は削除する
• 対策5：ログインに必要な情報を漏らさない（パスワードはもちろん、ユーザー名も隠すのが望ましい）

さすがにちょっと多いですね。でも、できるところから着手していけば大丈夫ですよ。

対策1：SSL証明書を導入する

SSL証明書とは、訪問者がサーバーと情報やりとりするときに情報を暗号化するために必要なものです。

個人サイトでよく使われる無料のレンタルサーバーでは、SSL証明書を導入するのが難しいことがありますが、有料サーバーだと追加料金なしでSSL証明書を導入できる場合があります。お使いのサーバーを確認して、できそうであれば導入するのが無難です。特にWordPressなどのCMSを使っているサイトでは、導入しておきましょう。

SSL証明書の詳細については、以下の記事を参考にしてください。

対策2：各種ログインパスワードを適切に設定する

基本的な話ですが、ログインパスワードは適切に設定しましょう。

• サーバーのコントロールパネルへのログインパスワード
• WordPressなど、CMSへのログインパスワード
• その他、パスワードが必要な場面ではどこでも！

具体的には以下の通り。

同じパスワードを使いまわさない

パスワードの使い回しは厳禁です。面倒でも、全てのログインパスワードを異なる文字列にしておきましょう。今はパスワードマネージャーなど便利なツールもありますので、ひとつひとつ自分で記憶する必要はありません。

12文字以上で、大文字・小文字・数字・記号が使われたパスワードを使う

パスワードを設定する際には、英語の大文字・小文字、数字、そして記号が入り乱れた12文字以上のパスワードを使うのが最適です。

悪意のある人が不正ログインを試みるとき、ランダムな文字列を自動的かつ高速で生成するツールを利用して、総当たり形式でパスワードの突破を試みることがあります。この場合、12文字以上で、大文字・小文字・数字・記号の全てが使われたパスワードを設定していると、総当たりで正解のパスワードを当てるまでの平均的な時間がぐんと長くなるそうです。突破までに年単位かかるという試算もあります。

セキュリティソフトで有名なトレンドマイクロ社がパスワードのランダム生成ツールを公開しているので、こちらを活用すると良いでしょう。

二段階認証を設定できる場合はぜひ設定を

CMSではあまり見かけませんが、サーバーのコントロールパネルへのログインでは、二段階認証を設定できることがあります。パスワードを入力するだけではログインできず、もう一段階アクションが必要になるというものです。例えば、登録しているメールアドレス宛に6桁の数字が送られて、それを入力するなどのアクションが必要になります。

ログインが少々手間にはなりますが、セキュリティ上の意義は大きいです。ぜひ活用してください。

対策3：メールフォームなどはセキュリティ対策対応済みのものを使用する

サイトにメールフォームなどを設置する場合は、セキュリティ対策のしっかりしたものを選びましょう。

といっても、どういったものがしっかりしているか判断がつきにくいかもしれません。その場合は、プログラムの最終更新日を参考にしてください。プログラムの最終更新日が、あまりに古い場合は、セキュリティ上の懸念があるかもしれません。避けるのが無難でしょう。

個人的なオススメは、HTMLベタ打ちサイトなら「MailForm01」（無料のPHPプログラムで、設置もカンタンです）。

WordPressサイトなら、「Contact Form 7」が良いでしょう。（WordPressプラグインにしては珍しく日本人が制作者で、追加のプラグインなしにGoogle reCAPTCHAを設定できます）

対策4：CMS本体やテーマ、プラグインは最新版に保つ

CMS本体やテーマプラグインの更新はこまめに行いましょう。古いバージョンのまま使い続けているとセキュリティ上の問題が発生する場合があります。

何か理由があって古いバージョンのまま使い続けているものがあれば、他のプラグインなどで代替できないか考え直してみましょう

使っていないテーマ、プラグイン等は削除する

インストールしているけど使っていない……そんなテーマやプラグインはないでしょうか？　こういったプログラムは、インストールしてあるだけでセキュリティの穴となる可能性もあります。使っていないテーマやプラグインはこまめに削除しましょう。

対策5：ログインに必要な情報を漏らさない

パスワードはもちろんのことですが、ログインに必要なユーザー名などの情報も外部に漏らさないように気をつけましょう。

CMSではよくあることですが、使用しているWordPressテーマやその他CMSのテンプレートによっては、投稿者のユーザー名（＝ログインに必要な情報）がサイト上に表示されてしまう場合があります。そのようなテーマやテンプレートを使用するのは避けるのが無難です。

どうしても使いたい場合は、可能であれば、自分で編集してユーザー名を表示しないようにカスタマイズしましょう。

WordPressの場合、ログインURLを変更する

WordPressの場合、ログインURLを変更することも非常に有用なセキュリティ対策です。

一般的にWordPressでは、ログインURLは共通して「https://（サイトURL）/wp-login.php」です。つまりサイトのURLさえわかっていれば、誰でもログイン画面にアクセスできてしまうのです。

ログインURLを変更することのできるプラグインがいろいろ公開されていますので、活用しましょう。

WPS Hide Loginは、ログインURLを変更するだけのシンプルなプラグインです。設定すべき項目が最低限で明快なので、とりあえず対策したい方向け。

もっと多彩なセキュリティ対策をしたいなら、SiteGuard WP Pluginがオススメ。日本の企業が公開しているプラグインで、ログインURLの変更ができるほか、一定期間に一定回数ログインに失敗した場合にログイン操作を受け付けなくする機能や、ログイン通知を行う機能などが利用できます。

またWordPressテーマによってはログイン画面へのリンクがサイトのどこかに表示されている場合もあります。そのようなテーマを使用するのを避けることも重要です。

適切な対策をして安全なサイト運営を！

個人サイトでは攻撃の対象になるリスクは大きくはないですが、最低限の対策はやはり必要です。この記事を参考にして必要な対策を行い、安心で快適な個人サイト活動を楽しんでください。