はじめに:なぜ“うちの小さなサイト”が狙われるのか?
「うちは大手じゃないし、狙われることはないだろう」と考える経営者は少なくありません。
しかし実際には、攻撃の大半は自動化されたボットによるスキャンで行われます。狙われているのは“大企業”ではなく、「守りが甘いすべてのサイト」。つまり規模に関係なく無差別に攻撃されるのです。
IPA(情報処理推進機構)の調査でも、中小企業を狙った不正アクセスの報告件数は年々増加しています。ここでは、中小企業のホームページが直面しやすい代表的な5つの攻撃と、その防止策を解説します。
攻撃1:総当たり攻撃(ブルートフォース)と認証情報詐取
典型症状
ログイン失敗の急増、不審IPからのアクセスが続く。
防止策
- 管理者アカウントを最小限に制限
- 多要素認証(MFA)の導入
- ログイン試行回数の制限
- 管理画面のURL変更
WordPressなら「Limit Login Attempts Reloaded」や「WPS Hide Login」などのプラグインで対応できます。
攻撃2:SQLインジェクション
典型症状
データベースエラーが頻発し、顧客情報が漏洩する可能性がある。
防止策
- プレースホルダを利用した安全なSQL実行
- Webアプリケーションファイアウォール(WAF)の活用
- 入力フォームのバリデーション強化
攻撃3:クロスサイトスクリプティング(XSS)
典型症状
サイト上に不審な広告が表示され、ユーザーに不正リンクを踏ませる。
防止策
- 出力のエスケープ(HTMLエンコード)
- CSP(コンテンツセキュリティポリシー)の導入
- 信頼できないプラグインの使用を避ける
攻撃4:マルウェア / ファイル改ざん
典型症状
知らないPHPファイルが増える、Google検索結果にスパムキーワードが表示される。
防止策
- 定期的なマルウェアスキャン(Wordfence, Sucuriなど)
- SFTP/SSHを利用してパスワードを暗号化
- サイト改ざん検知アラートを導入
攻撃5:DDoS(分散型サービス拒否攻撃)
典型症状
アクセスが急増し、サーバがダウンする。
防止策
- CDN+WAF(Cloudflareなど)でトラフィックを分散
- Rate Limitingで異常アクセスを遮断
- キャッシュ最適化で負荷を軽減
5分でできるセキュリティチェック
- 管理者アカウントは最小限か
- MFAを有効化しているか
- プラグインやテーマは最新化されているか
- バックアップは復元テスト済みか
- Google Search Consoleに警告は出ていないか
まとめ
セキュリティは一度導入して終わりではなく、継続的な運用と点検が欠かせません。脆弱性は毎月のように発見されるため、定期的なアップデートや監視体制が重要です。
「専門人材がいない」「時間がない」という場合は、外部の専門家に任せることでコストを抑えながら確実に守ることができます。
FAQ
Q1. 小規模企業でも狙われますか?
はい。攻撃は自動化されており、規模に関係なく対象になります。
Q2. 無料のWAFやCDNでも効果はありますか?
有効です。正しく設定し、運用を続けることが重要です。
Q3. 被害に遭っているかどうかを簡単に確認するには?
管理ログ、不審ファイル、Google Search Consoleの警告を確認してください。
How-To:5分でできる被弾チェック
- ユーザー管理画面で不審なアカウントを削除
- WordPress更新画面からコアとプラグインを最新化
- ログイン試行回数を確認
- Google Search Consoleの「セキュリティの問題」を確認
- バックアップから復元テストを実施
