ホームページのセキュリティは大丈夫ですか?
実は日本の4割のサイトが玄関丸開け状態で、いつ情報流出してもおかしくありません。本記事では実践できる5つの防御策を、わかりやすく解説します。ログインURL変更や更新設定など、家の鍵を掛けるのと同じ基本を押さえるだけで、攻撃ロボットの大半はシャットアウト可能です。
あなたの大切なサイトは大丈夫ですか?
WordPressは穴だらけだった!
プライム・ストラテジーが 2025 年3月に発表した調査によれば、日本国内で稼働する約 18 万2,000 件の WordPress サイトのうち、
- 15.3%(約 6 サイトに1 サイト)は、外部からユーザーIDが丸見えの状態
- 41.9%(約10サイトに4サイト)は、ログイン画面に誰でもアクセスできる状態
という結果が明らかになりました。
『この数字が何?』という感じの方も多いと思いますが、ホームページを持っている方、これからホームページを作ろうと思っている方、この数字がどういうことなのか、これからお伝えしていきます。
あなたのホームページは大丈夫?
ご自身でホームページを作った方も、制作会社やデザイン会社にホームページを作ってもらった方も、もしかすると、いつでもサイトが乗っ取られる可能性があるということです。つまりは、第三者がホームページのログインできるかも知れないんです。
それが、何を意味するかというと、
| 実害 | 具体例 | インパクト |
|---|---|---|
| 信頼の失墜 | サイト改ざん、マルウェア | 検索除外、顧客離れ |
| 経済的損失 | KADOKAWAのランサムウェア→23億円の特別損失 | 復旧、補償、訴訟費用 |
| 個人情報漏えい | サイゼリヤ→取引先、従業員の約6万件漏洩 | 法的対応、謝罪、再発防止費用 |
「そんな簡単にPWは分からないでしょ!」と思っているかも知れませんが、意外と簡単に特定されてしまいます。
実際に個人ブログや中小企業も被害に…
弊社に相談があるほとんどが、
- 個人ブログにマルウェアが感染してサイトが見れない
- 突然、サイトが書き換えられ、ログインもできない
ので、どうにかして欲しいというお話が多いです。
しっかりとホームページのセキュリティ対策をしっかりしておけば、発生していなかった事象だと思います。
中には、「ホームページに掲載していたお客様の動画がすべて消えてしまった。どうにか復旧したい」という相談もありましたが、バックアップを取っていないということもあり復旧が難しく、お客様への補填が発生したというフリーランスの方もいました。
実際に、ご相談頂く方の話を聞くと、ホームページに対するセキュリティの脆弱性を放置した結果だと感じます。
初心者がつい信じてしまう “3 つの勘違い”
❌️勘違い① 「制作会社に頼めばセキュリティもお任せで安心」
- 現実:調査では制作会社が作ったサイトでも 10 件中 4 件が無防備。
- イメージ:家を建てても「カギを付けるかどうか」は施主がお願いしないと付かないこともある。
- どうする?:発注前に「ログインURL変更・バックアップ設定は含まれますか?」と具体的に質問する。
❌️勘違い② 「うちは小さいサイトだからハッカーに狙われない」
- 現実:攻撃は “手動” ではなく 自動ロボットによる一斉スキャン がほとんど。
- イメージ:郵便受けを全部ガチャガチャ回して開くポスト荒らしと同じで、目についた順に試されます。
- どうする?:規模に関係なく、最低限のカギ(=基本設定)は全員必須です。
❌️勘違い③ 「セキュリティは高い有料ツールがないと無理」
- 現実:本記事で紹介する対策は 0円 またはレンタルサーバに最初から付属。
- イメージ:自転車用のワイヤーロックは 100 円ショップでも買えるのに、付けないまま放置している状態。
- どうする?:
- 無料プラグイン(SiteGuard など)を入れる
- 自動更新とバックアップを「ON」にする
- ログイン回数制限を設定
最低限のセキュリティ対策5ステップ
ログイン用のページアドレスを変える
- なぜ必要か:標準のままだと、だれでもログイン画面にアクセスできる状態。実際の調査では4割のサイトがこの状態。
- 効果:攻撃用ロボットがログイン画面を見つけられず、不正ログインの試行回数が大幅に減る。
ログイン失敗回数に上限を設ける
- なぜ必要か:パスワードを総当たりで試す「力ずく攻撃」を防ぐため。
- 効果:連続攻撃を自動で遮断でき、推測される確率が極端に下がる。
管理者の利用者名を表示しない
- なぜ必要か:利用者名が分かると、あとはパスワードだけを破ればよい状態になる。
- 効果:ログインID・パスワードの両方を当てる必要があるため、突破難易度が桁違いに上がる。
常に最新の状態にする
- なぜ必要か:古いままだと欠陥(脆弱性)が残り、そこを狙われる。
- 効果:既知の欠陥を自動で塞ぎ、新しい攻撃からも守られる。
総合防御の拡張機能を導入
- なぜ必要か:改ざん監視・攻撃遮断・通知などができるすぐに把握できる。
- 効果:不審な動きをメールで即座に知り、被害を最小限に抑えられる。
まとめ
調査によれば、日本のWordPressサイトの約4割が「ログイン画面を誰でも開ける」、6サイトに1つは「ユーザーIDが丸見え」という、いわば玄関の鍵穴と表札を外から確認できる状態にあります。これは空き巣が留守を狙うのと同じで、自動攻撃ロボットの恰好の標的になります。しかも、被害が出てからかかる復旧費用は、個人では到底難しいものです。
でも、心配は要りません。今回紹介した「ログインURL変更」「失敗回数制限」「ログインIDの秘匿化」「常時最新版」「総合防御プラグイン」という5つの初歩対策は、すべて無料かサーバー標準機能だけで設定完了できます。制作会社が運営するのであれば、さらに「バックアップ」「WAFの設定」など、二重三重の安全網を張ることが重要だと思います。
要するに、ホームページを守るうえで必要なのは高額なツールよりも「知っているかどうか」と「最初に設定するかどうか」です。定期的な更新とバックアップを習慣化すれば、攻撃を受けても慌てずに対処できます。安全なサイト運営こそ、ホームページを長く活用するための最良の保険です。
