この記事を読むと、中小企業のホームページに必要な5つのセキュリティ対策が分かります✨
自分でセキュリティを見直す際のチェックポイントとしても、HP制作会社がどこまで対策してくれているかを見極める判断材料としても使える内容です。
- 💬 セキュリティ対策って大企業の話でしょ?うちは小さいから関係ない
- 💬 ホームページが乗っ取られるって聞くけど、実際どうなるの?
- 💬 何から手をつければいいのか分からない
実は、中小企業のホームページこそサイバー攻撃の標的になりやすいのです。「うちみたいな小さい会社を狙っても意味ないでしょ」と思いがちですが、攻撃者はセキュリティの甘いサイトを自動的に探し出して攻撃しています。会社の規模は関係ありません。
実例:歯科クリニックのHPが攻撃の標的になっていた
以前、兵庫県神戸市の歯科クリニックからホームページのセキュリティについてご相談をいただいたことがあります。
「神戸市 歯医者」「神戸市 歯科医院」で検索すると上位に表示されていたのに、ある日突然サイトが改ざんされ、まったく関係のない海外サイトに転送される状態になっていました。
大阪府大阪市の審美歯科からも同様のご依頼をいただいたことがあります。
「大阪市 矯正歯科」「大阪市 デンタルクリニック」で検索してくるはずの患者さんに、迷惑メールの送信元として自社ドメインが使われていることに気づいたのがきっかけでした。
こうしたケースに共通しているのは、ホームページのセキュリティ対策がほとんど行われていなかったということです。
ここからは、攻撃されるとどうなるのか、そして当サイトが実践している5つのセキュリティ対策をご紹介します。
ホームページが攻撃されると何が起きる?
セキュリティの甘いサイトが攻撃されると、次のような被害が発生します。
- ⚠️ サイトの改ざん:ページの内容が書き換えられ、偽サイトや詐欺サイトに転送される
- ⚠️ 個人情報の流出:お問い合わせフォームに入力された名前・電話番号・メールアドレスが盗まれる
- ⚠️ 迷惑メールの踏み台:自社のサーバーから大量の迷惑メールが送られ、取引先からの信頼を失う
- ⚠️ Googleからのブロック:「このサイトは危険です」という警告が表示され、患者さんがアクセスできなくなる
先ほどの歯科クリニックのケースでは、Googleの検索結果に「このサイトは第三者によってハッキングされている可能性があります」と表示されてしまい、予約数が大幅に減少しました。歯科医院にとって、Webサイトの信頼性は患者さんの安心感に直結します。
当サイトが実践している5つのセキュリティ対策
以下の5つは、すべて当サイトで実際に設定・運用しているものです。
対策①:SSL/HTTPSで通信を暗号化する
ホームページのURLが「http://」ではなく「https://」で始まっているかを確認してください。
SSL(エスエスエル)とは、ホームページとお客様のスマホやパソコンの間の通信を暗号化する仕組みです。これが設定されていないサイトでは、お問い合わせフォームに入力した情報が第三者に盗み見られる可能性があります。
- ⭐ ブラウザのアドレスバーに鍵マークが表示され、患者さんに安心感を与えられる
- ⭐ GoogleがHTTPS対応サイトを検索順位で優遇している
- ⭐ HTTP(暗号化なし)のサイトには「保護されていない通信」と警告が表示される
SSL対応は今やセキュリティの最低ラインです。当サイトではすべてのページをHTTPS化し、HTTPでアクセスされた場合も自動的にHTTPSへ転送する設定にしています。
対策②:セキュリティヘッダーで不正アクセスを防ぐ
あまり聞き慣れない言葉かもしれませんが、「セキュリティヘッダー」とは、ブラウザに対して「このサイトではこういう動作だけ許可します」と指示を出す設定です。
例えるなら、お店の入口に「関係者以外立ち入り禁止」の看板を出すようなものです。
- 💡 X-Content-Type-Options:ファイルの種類を偽装した攻撃を防ぐ
- 💡 X-Frame-Options:自社サイトが偽サイトの中に埋め込まれるのを防ぐ
- 💡 Content-Security-Policy:許可していない外部プログラムの実行を防ぐ
- 💡 Strict-Transport-Security:常にHTTPSで接続するようブラウザに指示する
当サイトでは、これらのセキュリティヘッダーをすべて設定しています。目に見えない部分ですが、サイトの安全性を大きく高める重要な対策です。
対策③:XSS(クロスサイトスクリプティング)を防ぐ
XSSとは、お問い合わせフォームや検索窓などに悪意のあるプログラムコードを入力して、サイトを乗っ取る攻撃のことです。
先ほどの歯科クリニックのケースでも、予約フォームからXSS攻撃が行われた形跡がありました。フォームに入力された内容をそのままページに表示する仕組みになっていたため、攻撃者がプログラムを埋め込めてしまったのです。
- 💡 フォームに入力された内容を無害化(サニタイズ)してから処理する
- 💡 ページに表示する際に特殊文字をエスケープ(プログラムとして実行されないように変換)する
- 💡 Content-Security-Policyヘッダーで外部スクリプトの実行を制限する
当サイトでは、すべてのフォーム入力に対してサニタイズ処理とエスケープ処理を実装しています。お問い合わせフォームや検索機能を持つサイトでは、XSS対策は必須です。
対策④:WordPressの弱点を封鎖する
WordPress(ワードプレス:世界で最も使われているホームページ作成ツール)は便利な反面、利用者が多いため攻撃者に狙われやすいという側面があります。
特に注意が必要なのは、以下のポイントです。
- ⚠️ 管理画面のURLが初期設定のまま(/wp-admin)で誰でもアクセスできる
- ⚠️ WordPressのバージョン情報がソースコードに表示され、既知の脆弱性を突かれる
- ⚠️ 使っていないプラグインが放置され、そこからセキュリティホールが生まれる
- ⚠️ ログイン試行の回数制限がなく、パスワードの総当たり攻撃を受ける
当サイトでは、管理画面URLの変更、バージョン情報の非表示、不要なプラグインの完全削除、ログイン試行制限を実施しています。さらに、WordPressの自動更新を有効にし、常に最新のセキュリティパッチが適用される状態を維持しています。
対策⑤:メールアドレスをスパムボットから保護する
ホームページにメールアドレスをそのまま掲載していませんか?
実は、インターネット上には「スパムボット」と呼ばれるプログラムが巡回していて、サイトに書かれたメールアドレスを自動的に収集しています。収集されたアドレスには大量の迷惑メールが送られてきます。
- 💡 メールアドレスを画像として表示する(プログラムは画像内の文字を読み取れない)
- 💡 JavaScriptでメールアドレスを動的に生成する(ソースコードに直接書かない)
- 💡 お問い合わせはフォーム経由に統一し、メールアドレスの直接掲載を減らす
当サイトでは、メールアドレスの掲載にはJavaScriptによる難読化処理を施しています。人間がサイトを見たときは普通にメールアドレスが表示されますが、スパムボットには読み取れない仕組みです。
あなたのサイトは大丈夫?セキュリティチェックリスト
以下の項目に当てはまるものがあれば、早急な対策が必要です。
- ✅ サイトのURLが「https://」ではなく「http://」で始まっている
- ✅ WordPressの管理画面に /wp-admin でアクセスできてしまう
- ✅ ホームページにメールアドレスをそのまま掲載している
- ✅ お問い合わせフォームに迷惑メールが届くようになった
歯科クリニックのホームページ制作・システム開発をお考えの方へ
当サイトでは、歯科クリニックに特化したホームページ制作・システム開発の詳しいご案内ページをご用意しています。
集客のポイントや導入事例など、歯科クリニックならではの課題と解決策をまとめていますので、ぜひあわせてご覧ください。
まずはここから始めてみませんか?
自分で確認したい方へ
まずは自社サイトのURLが「https://」で始まっているかを確認してみてください。
次に、WordPressをお使いなら「/wp-admin」で管理画面にアクセスできるか試してみましょう。アクセスできてしまう場合は、早急にURLの変更が必要です。
プロに相談したい方へ
「チェックリストに当てはまるけど、自分では直せない」「制作会社にセキュリティ対策を頼みたいが、どこまでやってくれるのが普通か分からない」という方は、お気軽にご相談ください。今のサイトにどんなリスクがあるかを無料で診断いたします。
私たち株式会社grandiosoは、関西エリアを中心に全国の中小企業・個人事業主の皆さまにホームページ制作やシステム開発をご提供しています。
この記事でご紹介した内容も、すべて当サイトで実際に運用しているものです。
相談は無料ですので、お気軽にお問い合わせください✨
