セキュリティチェックリスト

中小企業のための
Webサイトセキュリティ
チェックリスト

サイト乗っ取り・情報漏洩を防ぐ40項目を徹底解説

40項目
優先度付き
WordPress対応
1

中小企業こそ狙われている現実

「うちは小さい会社だから狙われない」は大きな間違いです。 実は中小企業のWebサイトこそ、攻撃者にとって格好のターゲットになっています。

中小企業が狙われる3つの理由

1

セキュリティ対策が甘い

大企業と違い、専任のセキュリティ担当者がいないケースが多い

2

踏み台として利用される

乗っ取ったサイトから大企業への攻撃や、スパムメール送信に悪用

3

自動攻撃ツールの標的

ボットが24時間体制で脆弱なサイトを探している(規模は関係ない)

43%

サイバー攻撃の標的は
中小企業

60%

被害を受けた中小企業が
6ヶ月以内に廃業

毎日

WordPressサイトが
約3万件ハッキング

2

最優先で対応すべき項目(10項目)

まずはこの10項目から。今すぐ確認してください。

1

SSL証明書(HTTPS)を導入しているか

必須

URLが「https://」で始まっていることを確認。Googleも非SSL(http://)サイトを「安全でない」と警告表示します。

確認方法:ブラウザのアドレスバーに鍵マークが表示されているか確認

2

管理画面のパスワードは強力か

必須

「admin」「password」「会社名+123」などは論外。12文字以上で英大小文字・数字・記号を含むパスワードを設定。

推奨:1PasswordやBitwardenなどのパスワードマネージャーを使用

3

WordPress/プラグインは最新版か

必須

古いバージョンには既知の脆弱性があります。攻撃者は脆弱性データベースを見て古いサイトを狙います。

確認方法:管理画面 → ダッシュボード → 更新で確認

4

定期的なバックアップを取っているか

必須

万が一乗っ取られても、バックアップがあれば復旧できます。ファイルとデータベース両方が必要。

推奨:UpdraftPlusなどで週1回以上、外部ストレージ(Dropbox等)に保存

5

使っていないプラグイン・テーマを削除しているか

必須

「無効化」だけでは不十分。使っていないプラグインも攻撃の入り口になります。

対応:無効化ではなく「削除」する。テーマも使用中の1つ以外は削除

6

管理画面のユーザー名は「admin」以外か

必須

攻撃者は最初に「admin」でログインを試みます。推測されにくいユーザー名に変更を。

対応:新しい管理者ユーザーを作成し、古い「admin」ユーザーを削除

7

ログイン試行回数を制限しているか

重要

ブルートフォース攻撃(総当たり攻撃)を防ぐため、ログイン失敗回数に制限を設けましょう。

推奨プラグイン:Limit Login Attempts Reloaded(無料)

8

お問い合わせフォームにスパム対策をしているか

重要

フォームからの自動送信攻撃を防止。reCAPTCHAやハニーポットを導入。

推奨:Google reCAPTCHA v3(ユーザーの操作不要で保護)

9

PHPバージョンは最新か

重要

PHP 7.4以下はサポート終了済み。PHP 8.1以上を推奨。

確認方法:管理画面 → ツール → サイトヘルスで確認

10

ファイル編集機能を無効化しているか

重要

WordPress管理画面からテーマ/プラグインのコードを編集できる機能は、乗っ取り時に悪用されます。

対応:wp-config.phpに define('DISALLOW_FILE_EDIT', true); を追加

3

サーバー・インフラ設定(10項目)

サーバー側の設定も重要です。レンタルサーバーの管理画面から確認できる項目も多いです。

11

WAF(Web Application Firewall)を有効化しているか

重要

SQLインジェクションやXSS攻撃を自動でブロック。多くのレンタルサーバーで無料提供。

対応サーバー:エックスサーバー、ConoHa、さくら、ロリポップ等

12

FTP/SFTPのパスワードは強力か

重要

FTPアカウントが乗っ取られると、サイト全体を改ざんされます。

推奨:FTPではなくSFTP(暗号化通信)を使用。可能なら鍵認証に

13

ディレクトリ一覧表示を無効化しているか

推奨

/wp-content/uploads/ などにアクセスした時、ファイル一覧が見えると情報漏洩のリスク。

対応:.htaccessに Options -Indexes を追加

14

wp-config.phpへのアクセスを制限しているか

重要

データベースのパスワードなど重要情報が含まれるファイル。外部からアクセス不可に。

対応:.htaccessでアクセス拒否設定を追加

15

データベースの接頭辞を変更しているか

推奨

デフォルトの「wp_」のままだと、SQLインジェクション攻撃が成功しやすい。

注意:既存サイトの変更は慎重に(バックアップ必須)

16

セキュリティヘッダーを設定しているか

推奨

X-Frame-Options、X-Content-Type-Options、Content-Security-Policyなど。

確認:securityheaders.comでチェック

17

XML-RPCを無効化しているか

推奨

ブルートフォース攻撃やDDoS攻撃の踏み台として悪用されやすい機能。

対応:プラグイン「Disable XML-RPC」または.htaccessで無効化

18

REST APIの一部を制限しているか

推奨

/wp-json/wp/v2/users でユーザー名が漏洩するリスク。

対応:プラグイン「Disable REST API」で未認証アクセスを制限

19

エラー表示を本番環境で無効化しているか

推奨

PHPエラーがそのまま表示されると、ファイルパスなどの情報が漏洩。

対応:wp-config.phpで define('WP_DEBUG', false);

20

サーバーのアクセスログを定期確認しているか

推奨

不審なアクセス(大量のログイン試行など)を早期発見できます。

確認頻度:最低でも週1回はログをチェック

4

運用・監視(10項目)

セキュリティは「設定して終わり」ではありません。継続的な運用と監視が重要です。

21

セキュリティプラグインを導入しているか

重要

ファイル改ざん検知、マルウェアスキャン、ファイアウォール機能など。

推奨:Wordfence Security(無料版でも十分)またはSucuri Security

22

定期的なマルウェアスキャンを実施しているか

重要

既に感染していても気づかないケースが多い。定期スキャンで早期発見。

頻度:週1回以上。自動スキャン設定がおすすめ

23

ファイル変更を監視しているか

推奨

身に覚えのないファイル変更は改ざんの可能性。アラート通知を設定。

対応:Wordfenceのファイル変更検知機能を有効化

24

Google Search Consoleでセキュリティ問題を確認しているか

推奨

Googleがマルウェアやハッキングを検知すると通知が届きます。

確認場所:Search Console → セキュリティと手動による対策

25

二要素認証(2FA)を導入しているか

重要

パスワードが漏洩しても、2FAがあれば不正ログインを防げます。

推奨:Google Authenticatorまたは「Two Factor Authentication」プラグイン

26

管理者権限を最小限にしているか

推奨

全員に管理者権限を与えない。必要な権限だけを付与(最小権限の原則)。

例:記事投稿だけなら「編集者」か「投稿者」権限で十分

27

退職者のアカウントを削除しているか

重要

退職した社員のアカウントが残っていると、不正アクセスのリスクに。

対応:退職時に即座にアカウント削除・パスワード変更

28

SSL証明書の有効期限を管理しているか

推奨

証明書が切れるとサイトにアクセスできなくなる。自動更新設定を確認。

対応:Let's Encryptは自動更新。有料証明書は更新日をカレンダーに登録

29

アップタイム監視を設定しているか

推奨

サイトがダウンしたらすぐに通知。攻撃の兆候を早期発見。

推奨:UptimeRobot(無料で50サイトまで監視可能)

30

インシデント対応手順を決めているか

推奨

もし被害にあった時、誰が何をするか事前に決めておく。

最低限:バックアップからの復旧手順、連絡先リスト、報告フロー

5

上級者向け・専門家に依頼(10項目)

より高度な対策。自社での対応が難しい場合は専門家に相談を。

31

管理画面のURLを変更しているか

上級

/wp-admin/ → 独自のURLに変更。攻撃者がログインページを見つけにくくなる。

プラグイン:WPS Hide Login

32

IPアドレス制限をかけているか

上級

管理画面へのアクセスを特定のIPアドレスのみに制限。

注意:固定IPがない場合は逆に不便になることも

33

CDN(Cloudflare等)でDDoS対策をしているか

上級

大量アクセス攻撃を軽減。サーバーのIPアドレスも隠蔽できる。

推奨:Cloudflare(無料プランでも基本的な保護可能)

34

脆弱性診断を実施しているか

専門家

専門家による診断で、見落としがちな脆弱性を発見。

頻度:年1回以上。大きな改修後にも実施推奨

35

Content Security Policy(CSP)を設定しているか

上級

XSS攻撃を防ぐためのHTTPヘッダー設定。

注意:設定を誤るとサイトが正常に動作しなくなることも

36

サブリソース完全性(SRI)を実装しているか

上級

外部CDNから読み込むファイルの改ざんを検知。

実装:scriptタグにintegrity属性を追加

37

データベースの暗号化を実施しているか

専門家

個人情報を扱う場合は特に重要。保存データの暗号化。

対応:専門家に相談。AWSのRDS暗号化など

38

ペネトレーションテストを実施しているか

専門家

実際に攻撃を試みて脆弱性を発見する高度なテスト。

対象:ECサイト、会員サイトなど重要なサイト向け

39

SIEM(セキュリティ情報管理)を導入しているか

専門家

複数のログを統合して分析、異常を検知するシステム。

対象:大規模サイト、複数サイト運営企業向け

40

サイバー保険に加入しているか

推奨

万が一の被害に備えた保険。損害賠償、復旧費用をカバー。

検討:個人情報を扱う場合は特に加入を推奨

まとめ:まず今日やるべき5つのこと

1 SSL(HTTPS)が有効か確認
2 WordPress・プラグインを最新版に更新
3 バックアップを取る(今すぐ!)
4 使っていないプラグイン・テーマを削除
5 パスワードを強力なものに変更

この5つを実施するだけでも、多くの攻撃を防ぐことができます。
セキュリティ対策は「完璧」を目指すより「できることから始める」ことが大切です。

セキュリティ診断を受けてみませんか?

自社サイトのセキュリティ状態が不安な方へ。
専門家が現状を診断し、具体的な改善策をご提案します。

無料セキュリティ相談を申し込む
AIに無料相談