サイトのセキュリティチェックリスト
Q: サイトのセキュリティ対策は、何をすればいいですか?チェックリストが欲しいです。
A: 定期更新・強固なパスワード・セキュリティプラグイン・バックアップの4つで、感染率が90%減ります。
まず、例え話で説明します
セキュリティ対策は、家の防犯対策と同じです。
防犯対策のチェックリスト:
- ✅ 鍵をかける(基本)
- ✅ 防犯カメラを設置(監視)
- ✅ センサーライトを設置(抑止)
- ✅ 保険に加入(備え)
サイトのセキュリティ対策:
- ✅ 定期更新(基本)
- ✅ セキュリティプラグイン(監視)
- ✅ 強固なパスワード(抑止)
- ✅ バックアップ(備え)
セキュリティチェックリスト
毎週やること(所要時間:10分)
□ WordPress本体を最新版に更新
□ プラグインを最新版に更新
□ テーマを最新版に更新
□ バックアップが正常に取れているか確認重要度: 最高 効果: 感染リスク80%減
毎月やること(所要時間:30分)
□ セキュリティプラグインでスキャン
□ ユーザー一覧を確認(不正なユーザーがいないか)
□ パスワードを変更
□ サーバーのログを確認
□ バックアップから復元テスト重要度: 高 効果: 不正アクセスの早期発見
3ヶ月に1回やること(所要時間:1時間)
□ 使わないプラグインを削除
□ セキュリティ設定を見直し
□ バックアップの保存先を確認
□ サーバーのプランを見直し重要度: 中 効果: セキュリティの最適化
初回のみやること(所要時間:2時間)
□ セキュリティプラグインを導入(Wordfence Security)
□ バックアップを自動化(UpdraftPlus)
□ 2段階認証を有効化
□ 管理画面のURLを変更(WPS Hide Login)
□ WAFを有効化(サーバーの機能またはCloudflare)重要度: 最高 効果: 感染リスク90%減
基本対策(必須)
対策1:定期的に更新
やること:
- WordPress本体:リリース後、1週間以内に更新
- プラグイン:毎週確認して更新
- テーマ:月1回確認して更新
理由: 古いバージョンには、セキュリティの穴(脆弱性)があります。
参考データ:
- マルウェア感染の80%は、古いバージョンが原因
所要時間: 週10分 難易度: 簡単
対策2:強固なパスワード
推奨パスワード:
- 12文字以上
- 大文字・小文字・数字・記号を含む
- 辞書にない文字列
例:
良い:Xk9!mP#2vQzL8rT$
悪い:password123変更すべきパスワード:
- WordPress管理者パスワード
- FTPパスワード
- データベースパスワード
- サーバー管理画面のパスワード
所要時間: 15分 難易度: 簡単
対策3:セキュリティプラグインを導入
おすすめプラグイン:Wordfence Security(無料)
機能:
- ファイアウォール
- マルウェアスキャン
- ログイン保護
- リアルタイム監視
手順:
- プラグイン「Wordfence Security」をインストール
- 有効化
- 初期設定を実行
所要時間: 30分(初回のみ) 難易度: 簡単
対策4:バックアップを自動化
やること:
- 頻度:毎日
- 保存先:Google Drive、Dropbox
- 世代数:7世代
おすすめプラグイン:UpdraftPlus(無料)
手順:
- プラグイン「UpdraftPlus」をインストール
- 有効化
- Google Driveと連携
- バックアップスケジュールを設定
所要時間: 30分(初回のみ) 難易度: 普通
追加対策(できればやる)
対策5:2段階認証を有効化
やること: WordPressの管理画面に、2段階認証を設定。
手順:
- Wordfence Securityの「Login Security」を開く
- 「2段階認証」を有効化
- スマホアプリで認証コードを生成
所要時間: 10分 難易度: 簡単
効果: パスワードが盗まれても、ログインされません。
対策6:管理画面のURLを変更
デフォルトのURL:
https://example.com/wp-admin/
https://example.com/wp-login.php変更後:
https://example.com/my-secret-login/手順:
- プラグイン「WPS Hide Login」をインストール
- 有効化
- ログインURLを変更
所要時間: 10分 難易度: 簡単
対策7:WAFを導入
WAF=Webアプリケーションファイアウォール
提供元:
- Cloudflare(無料プランあり)
- レンタルサーバーの標準機能(エックスサーバーなど)
手順(エックスサーバーの場合):
- サーバーの管理画面にログイン
- 「WAF設定」を開く
- 有効化
所要時間: 5分 難易度: 簡単
対策8:使わないプラグインを削除
やること: 使っていないプラグインを削除。
理由: 使わないプラグインも、脆弱性の対象になります。
手順:
- 「プラグイン」→「インストール済みプラグイン」
- 使っていないプラグインを削除
所要時間: 5分 難易度: 簡単
やってはいけないこと
❌ 禁止事項1:非公式のテーマ・プラグインを使う
危険なソース:
- 海外の無料配布サイト
- 違法なコピー(nulled)
- 非公式のダウンロードサイト
理由: マルウェアが仕込まれていることがあります。
安全なソース:
- WordPress.org(公式)
- 公式テーマディレクトリ
- 公式プラグインディレクトリ
❌ 禁止事項2:FTPを使う
FTPの問題:
- パスワードが平文で送信される
- Wi-Fiで盗聴される
安全な代替手段:
- SFTP(SSH File Transfer Protocol)
- FTPS
❌ 禁止事項3:管理者権限を多数のユーザーに付与
問題: 管理者が増えると、セキュリティリスクが増えます。
対策: 必要最小限のユーザーにのみ、管理者権限を付与。
セキュリティスコアの目安
スコア計算
✅ 定期更新:30点
✅ 強固なパスワード:20点
✅ セキュリティプラグイン:20点
✅ バックアップ:15点
✅ 2段階認証:5点
✅ 管理画面URL変更:5点
✅ WAF:5点
合計:100点目標:
- 80点以上:優秀
- 60点〜79点:良好
- 60点未満:改善が必要
良い例・悪い例
❌ 悪い例(スコア:20点)
❌ 定期更新:しない(0点)
❌ パスワード:password(0点)
✅ セキュリティプラグイン:なし(0点)
✅ バックアップ:なし(0点)
→ マルウェア感染
→ 復旧不可能✅ 良い例(スコア:85点)
✅ 定期更新:毎週(30点)
✅ パスワード:Xk9!mP#2vQzL8rT$(20点)
✅ セキュリティプラグイン:Wordfence(20点)
✅ バックアップ:毎日自動(15点)
→ マルウェア感染しにくい
→ 感染しても30分で復旧まとめ
結論:定期更新・強固なパスワード・セキュリティプラグイン・バックアップの4つで、感染率が90%減ります。
必須の4つ(スコア:85点):
- 定期更新(毎週10分)
- 強固なパスワード(12文字以上)
- セキュリティプラグイン(Wordfence Security)
- バックアップ自動化(UpdraftPlus)
追加対策(スコア:+15点):
- 2段階認証
- 管理画面URL変更
- WAF導入
- 使わないプラグイン削除
最初の一歩: まずは今日、WordPress本体とすべてのプラグインを最新版に更新しましょう。次に、このチェックリストを印刷して、デスクに貼ってください。毎週・毎月・3ヶ月ごとに確認すれば、セキュリティを維持できます。
次に読むべき記事:
サーバー管理のプロだけど質問ある? いまさら聞けない質問の答えがここにある|svadmin.net
\ 最新情報をチェック /
