どうしたらマルウェア感染を防げますか?
Q: マルウェア感染を防ぐには、何をすればいいですか?
A: 定期更新・強固なパスワード・セキュリティプラグインの3つで、感染リスクが90%減ります。
まず、例え話で説明します
マルウェア対策は、インフルエンザ予防と同じです。
インフルエンザ予防:
- 手洗い・うがい(基本対策)
- 予防接種(ワクチン)
- 栄養・睡眠(免疫力)
- マスク(バリア)
マルウェア予防:
- 定期更新(基本対策)
- セキュリティプラグイン(ワクチン)
- 強固なパスワード(免疫力)
- WAF(バリア)
1つだけでは不十分。複数の対策を組み合わせることが重要です。
マルウェア感染を防ぐ3つの基本対策
対策1:定期的に更新(最重要)
やること:
- WordPress本体:リリース後、1週間以内に更新
- プラグイン:毎週確認して更新
- テーマ:月1回確認して更新
理由: 古いバージョンには、セキュリティの穴(脆弱性)があります。
参考データ:
- マルウェア感染の80%は、古いバージョンが原因
所要時間: 週10分 難易度: 簡単
対策2:強固なパスワード
推奨パスワード:
- 12文字以上
- 大文字・小文字・数字・記号を含む
- 辞書にない文字列
例:
良い:Xk9!mP#2vQzL8rT$
悪い:password123参考データ:
- 「password」は3秒で破られる
- 12文字の英数字記号は数年かかる
所要時間: 5分 難易度: 簡単
対策3:セキュリティプラグインを導入
おすすめプラグイン:Wordfence Security(無料)
機能:
- ファイアウォール
- マルウェアスキャン
- ログイン保護
- リアルタイム監視
所要時間: 30分(初回設定) 難易度: 簡単
追加の対策(できればやる)
対策4:バックアップを自動化
やること:
- 頻度:毎日
- 保存先:Google Drive、Dropbox
- 世代数:7世代
理由: 感染しても、すぐに復旧できます。
所要時間: 30分(初回設定) 難易度: 普通
対策5:2段階認証を有効化
やること:
- Wordfence Securityの「Login Security」を開く
- 「2段階認証」を有効化
- スマホアプリで認証コードを生成
メリット: パスワードが盗まれても、ログインされません。
所要時間: 10分 難易度: 簡単
対策6:管理画面のURLを変更
デフォルトのURL:
https://example.com/wp-admin/
https://example.com/wp-login.php変更後:
https://example.com/my-secret-login/やること: プラグイン「WPS Hide Login」をインストールして設定。
メリット: ハッカーがログインページを見つけられません。
所要時間: 10分 難易度: 簡単
対策7:使わないプラグインを削除
やること:
- 「プラグイン」→「インストール済みプラグイン」
- 使っていないプラグインを削除
理由: 使わないプラグインも、脆弱性の対象になります。
所要時間: 5分 難易度: 簡単
やってはいけないこと
❌ 禁止事項1:非公式のテーマ・プラグインを使う
危険なソース:
- 海外の無料配布サイト
- 違法なコピー(nulled)
- 非公式のダウンロードサイト
理由: マルウェアが仕込まれていることがあります。
安全なソース:
- WordPress.org(公式)
- 公式テーマディレクトリ
- 公式プラグインディレクトリ
❌ 禁止事項2:FTPを使う
FTPの問題:
- パスワードが平文で送信される
- Wi-Fiで盗聴される
安全な代替手段:
- SFTP(SSH File Transfer Protocol)
- FTPS
❌ 禁止事項3:管理者権限を多数のユーザーに付与
問題:
- 管理者が増えると、セキュリティリスクが増える
- 誰が何をしたかわからなくなる
対策: 必要最小限のユーザーにのみ、管理者権限を付与。
WAF(Webアプリケーションファイアウォール)の導入
WAFとは
WAF=Webアプリケーションへの攻撃を防ぐファイアウォール
防げる攻撃:
- SQLインジェクション
- XSS(クロスサイトスクリプティング)
- DDoS攻撃
WAFの導入方法
方法1:レンタルサーバーの機能を使う
- エックスサーバー:標準搭載
- さくらサーバー:標準搭載
手順:
- サーバーの管理画面にログイン
- 「WAF設定」を開く
- 有効化
所要時間: 5分 難易度: 簡単 料金: 無料
方法2:Cloudflareを使う
- 無料プランあり
- CDN(高速化)も利用できる
手順:
- Cloudflareにアカウント作成
- ドメインを登録
- ネームサーバーをCloudflareに変更
所要時間: 1時間(初回設定) 難易度: やや難しい 料金: 無料〜
セキュリティチェックリスト
毎週やること
□ WordPress本体を最新版に更新
□ プラグインを最新版に更新
□ テーマを最新版に更新
□ バックアップが正常に取れているか確認所要時間: 10分
毎月やること
□ セキュリティプラグインでスキャン
□ ユーザー一覧を確認(不正なユーザーがいないか)
□ パスワードを変更
□ サーバーのログを確認所要時間: 30分
3ヶ月に1回やること
□ バックアップから復元テスト
□ 使わないプラグインを削除
□ セキュリティ設定を見直し所要時間: 1時間
良い例・悪い例
❌ 悪い例
WordPress・プラグインを1年間放置
パスワード:password
セキュリティプラグインなし
バックアップなし
→ マルウェア感染
→ 復旧できない
→ サイトを再構築(数週間)✅ 良い例
毎週、WordPress・プラグインを更新
パスワード:Xk9!mP#2vQzL8rT$(12文字)
Wordfence Securityを導入
毎日自動バックアップ
→ マルウェア感染しにくい
→ 感染しても30分で復旧まとめ
結論:定期更新・強固なパスワード・セキュリティプラグインの3つで、感染リスクが90%減ります。
基本対策(必須):
- 定期的に更新(週10分)
- 強固なパスワード(12文字以上)
- セキュリティプラグイン導入(Wordfence Security)
追加対策(できればやる):
- バックアップを自動化
- 2段階認証を有効化
- 管理画面のURLを変更
- 使わないプラグインを削除
- WAFを導入
やってはいけないこと:
- 非公式のテーマ・プラグインを使う
- FTPを使う
- 管理者権限を多数のユーザーに付与
最初の一歩: まずは今日、WordPress本体とすべてのプラグインを最新版に更新しましょう。次に、Wordfence Securityをインストールして、スキャンを実行してください。これだけで、マルウェア感染のリスクが大幅に減ります。
次に読むべき記事:
サーバー管理のプロだけど質問ある? いまさら聞けない質問の答えがここにある|svadmin.net
\ 最新情報をチェック /
