セキュリティ対応してる？ホームページの必須チェックリスト【女性経営者向け】

「うちのホームページ、セキュリティ大丈夫かな…」
そんな不安、頭の片隅にありませんか？

調べてみると「WAFの導入が必要」「脆弱性診断を実施」など
難しい言葉ばかり。
結局、自分が何をすればいいのかわからない…。

そんな方へ、福岡でホームページ制作をしている Ndesign が、
60件以上の制作・保守経験をもとに、今日からできるチェックリストをお伝えします。

読み終わる頃には、自分のホームページの安全性を自分でチェックできるようになりますよ。

ホームページのセキュリティ対策で最初に確認すべきは「HTTPS化・パスワード強化・システム更新・バックアップ・不要機能の削除」の5項目です。

「うちは小さいから大丈夫」が一番危ない理由

中小企業・個人事業主こそ狙われやすい現実

「うちは小規模だから、ハッカーに狙われることはないでしょ」
そう思っていませんか？

実は、中小企業・個人事業主のホームページこそ狙われやすいのが現実です。

その理由はシンプルです。
大企業はセキュリティ専任の担当者を置いていますが、小規模事業者はそうではありません。
攻撃者は「守りが薄い」ところを狙います。

警察庁サイバー警察局の調査によると、ランサムウェア（パソコンやデータを人質にして金銭を要求する不正プログラム）による被害の多くが中小企業に集中しています。
「狙われるのは大手だけ」という認識は、今や通用しません。

また、WordPressはホームページの世界シェアの約43%を占めるCMS（コンテンツ管理システム）です（W3Techs調べ）。
シェアが高いということは、攻撃の「的」になりやすいということでもあります。
自動化されたツールが、世界中のWordPressサイトを24時間スキャンし続けています。

被害が起きると何が失われるか（売上・顧客信頼・法的リスク）

「もし被害にあったらどうなるの？」と思った方に、具体的にお伝えします。

• ホームページが乗っ取られ、知らないうちに詐欺サイトに改ざんされる
• 顧客のメールアドレスや個人情報が流出する
• 問い合わせフォームがスパム（迷惑メール）送信の踏み台にされる
• Googleに「危険なサイト」と判定され、検索から消える
• 個人情報漏えいによる損害賠償請求のリスクが生じる

特に個人情報保護法の改正（2022年）により、情報漏えい時の報告義務が強化されました。
問い合わせフォームで名前やメールアドレスを受け取っているなら、他人事ではありません。

IPA（情報処理推進機構）の「中小企業の情報セキュリティ対策ガイドライン」でも、
こうしたリスクへの対策が強く推奨されています。
（参照：IPA 中小企業の情報セキュリティ対策ガイドライン）

まず確認！ホームページセキュリティ基本チェックリスト5項目

難しいことは後回しでOKです。
まずはこの5項目を確認しましょう。

①URLが「https://」になっているか（SSL対応）

ブラウザのアドレスバーを見てください。
URLの先頭は「https://」になっていますか？

• URLが「https://」で始まっている
• 鍵マーク（🔒）がアドレスバーに表示されている
• 「保護されていない通信」の表示が出ていない

「http://」のままのサイトは、ChromeやSafariなどの主要ブラウザで「保護されていない通信」と警告が表示されます。
訪問者に不安を与えるだけでなく、フォームに入力した情報が暗号化されずに送信されてしまいます。

SSL（暗号化通信）の設定は、多くのレンタルサーバーで無料で提供されています。
未対応の場合は、今すぐサーバー会社に確認することをおすすめします。

②管理画面のパスワードは複雑か

WordPressなどのCMS（ホームページ管理システム）には、管理画面へのログインがあります。
そのパスワード、以下を満たしていますか？

• 12文字以上の長さがある
• 英大文字・英小文字・数字・記号が混在している
• 他のサービス（SNSやメールなど）と使いまわしていない
• 「admin」「password」「123456」などの単純な文字列を使っていない

ユーザー名も注意が必要です。
「admin」というユーザー名は、攻撃者が最初に試す定番中の定番です。
制作時のままになっていないか、確認してみましょう。

③WordPressや使っているシステムは最新版か

WordPressやプラグイン（機能追加ツール）は、日々セキュリティの弱点（穴）が発見され、修正版がリリースされています。
古いバージョンを使い続けることは、鍵が壊れたドアを使い続けるようなものです。

• WordPressのバージョンが最新になっている
• インストールされているプラグインがすべて最新版になっている
• 使用しているテーマ（デザインテンプレート）が最新版になっている

WordPress管理画面の「ダッシュボード」→「更新」から確認できます。
「更新あり」の表示が出ていたら、早めに対応しましょう。

④定期バックアップは取れているか

万が一、ホームページが改ざんされたり壊れたりしたとき、バックアップがあれば元に戻せます。
バックアップは「保険」と同じです。いざというときに初めてその大切さがわかります。

• 定期的にバックアップが自動で取られている
• バックアップデータがホームページと別の場所に保存されている
• バックアップから復元できることを確認したことがある

「サーバー会社がバックアップしてくれているはず」と思っている方へ：
サーバー会社のバックアップは、あくまでサーバー全体のもので、WordPressのデータが必ず含まれるとは限りません。
WordPress専用のバックアップも別途取っておくことをおすすめします。

⑤不要なプラグイン・機能は削除されているか

「使っていないけど、一応入れてある」プラグインはありませんか？
使っていないプラグインも、更新を怠るとセキュリティの弱点になります。

• 使っていないプラグインを停止・削除している
• 使っていない旧テーマを削除している
• デモコンテンツや初期サンプルを削除している

「念のため残している」も思い切って削除するのが正解です。
不要なものが少ないほど、攻撃の入り口も減ります。

次のステップ：運用面で気をつけるポイント

基本チェックが終わったら、日々の運用でも意識したいポイントがあります。

ログイン履歴・アクセスログを確認する習慣

「いつ・どこから・誰が」ログインしたか、記録が残っていますか？
見覚えのないIPアドレスからのアクセスや、深夜のログインは、不正アクセスのサインかもしれません。

WordPressのプラグイン「WP Activity Log」などを導入すると、ログイン履歴や操作記録を確認できます。
月に1度でも確認する習慣をつけると安心です。

担当者・権限の管理を整理する

ホームページの管理に関わっている人を整理してみましょう。

• 現在ログインできるユーザーの一覧を把握している
• 退職・独立などで不要になったアカウントを削除している
• スタッフには管理者権限ではなく、必要最低限の権限のみ与えている

「昔お願いしていた制作会社のアカウントがまだある」というケースも少なくありません。
一度、管理画面のユーザー一覧を見直してみてください。

問い合わせフォームの安全性を確認する

問い合わせフォームは、スパム（迷惑メール）送信の踏み台にされやすい箇所のひとつです。

• reCAPTCHA（ロボットではないことを確認する仕組み）が設定されている
• スパムメールがフォーム経由で大量に届いていない
• フォームプラグインが最新版になっている

「Contact Form 7」や「MW WP Form」などの定番フォームプラグインも、定期的な更新が必要です。

制作会社・保守業者に確認すべきチェックリスト

「ホームページは制作会社に任せているから安心」と思っている方も多いはずです。
ただし、制作会社に任せているからといって、セキュリティが自動的に守られているわけではありません。

保守契約の内容を今一度確認してみましょう。

保守契約に含まれている対応範囲を把握する

• WordPressやプラグインの定期更新が含まれているか
• バックアップの取得・管理が含まれているか
• 不正アクセスや改ざんが発生した際の対応が含まれているか
• SSL証明書（暗号化通信のための証明書）の更新管理が含まれているか

保守契約書やサービス内容の説明書きを改めて読み直してみてください。
「これは含まれていないんですか？」と確認することは、何も恥ずかしいことではありません。

セキュリティ対応の報告・連絡ルールを確認する

問題が発生したとき、どのような流れで連絡が来るか把握していますか？

• 何か異常が起きたとき、制作会社から連絡が来る仕組みがある
• 自分から問い合わせる窓口（メール・電話など）が明確になっている
• 緊急時（改ざんや情報漏えい）の対応フローが決まっている

Ndesignの保守サポートでの実例をひとつご紹介します。

保守契約中のお客様のWordPressサイトで、あるプラグインに深刻なセキュリティの弱点（穴）が発見されたとき、IPA（情報処理推進機構）のセキュリティ情報を確認次第、即日で対象プラグインを更新対応しました。
お客様には「本日〇〇プラグインにセキュリティ上の問題が発見されたため、更新対応を完了しました」とご報告。
お客様から「自分では気づけなかった。報告してもらえると安心」というお声をいただきました。
こういった小さな積み重ねが、ホームページの安全を守ることにつながっています。

やっておくと安心！プロに相談すべき上級対策

基本チェックを終えたら、余裕のある方は次のステップも検討してみましょう。
ここからはやや専門的な内容になりますが、制作会社に相談すれば対応してもらえることばかりです。

WAF（不正アクセス遮断）の導入

WAF（Web Application Firewall：不正なアクセスを自動的に遮断する仕組み）を導入すると、
攻撃の多くを自動でブロックできます。

XサーバーやConoHa WINGなどの主要レンタルサーバーでは、管理画面からWAFを有効にできます（無料〜月額数百円程度）。
まだ設定していない方は、サーバーの管理画面を確認してみましょう。

定期的なセキュリティ診断

セキュリティ診断（ホームページに脆弱性（セキュリティの弱点）がないかをプロが調べること）を年1回でも受けると、
見落としがちな問題を早期に発見できます。

個人情報を多く扱うサイトや、ECサイト（ネット販売）を運営している場合は特におすすめです。

インシデント（被害発生時）対応フローの準備

「もし今、ホームページが改ざんされたら、最初に誰に連絡しますか？」
すぐに答えられない場合は、対応フローが決まっていないサインです。

• まずホームページを一時的に非公開にする手順を把握している
• 制作会社・保守業者への緊急連絡先を手元に置いている
• お客様への告知文のひな型（テンプレート）を準備している

備えがあると、実際に何かが起きたときパニックにならず冷静に動けます。

セキュリティ対策にかかる費用の目安

「セキュリティ対策ってお金がかかりそう…」と思っていませんか？
実は、無料でできることも多くあります。以下の表を参考にしてください。

無料でできる対策

パスワードの強化、WordPress・プラグイン・テーマの更新、不要プラグインの削除はすべて無料でできます。
SSL化もほとんどのレンタルサーバーで無料で提供されています。
まずここから始めましょう。

月数千円〜でできる対策

バックアッププラグイン（UpdraftPlusなど）やセキュリティ監視プラグイン（Wordfenceなど）の有料版は、月1,000〜2,000円程度から利用できます。
WAF機能も、利用しているサーバーに付属していることが多く、有効化するだけで対策できます。

専門家に依頼する場合の相場

保守契約は、更新対応・バックアップ・セキュリティ監視がセットになったプランが多く、月5,000〜30,000円程度が相場です。
年1回のセキュリティ診断は、サイト規模にもよりますが1〜10万円程度が目安です。

Ndesignが提供するホームページ保守サポートについて

福岡・地元密着でセキュリティをまるごと対応

Ndesignは福岡を拠点に、地元の中小企業・個人事業主のホームページ制作・保守をサポートしています。

「セキュリティのことをちゃんと見てくれる地元の相談相手が欲しい」という声をよくいただきます。
60件以上の制作・保守実績のなかで、「問題が起きてから相談」ではなく「問題が起きる前に備える」サポートを心がけています。

保守サポートに含まれる主なセキュリティ対応

• WordPress本体・プラグイン・テーマの定期更新
• バックアップの定期取得と管理
• セキュリティ情報（IPAやWordPress公式）のモニタリングと緊急対応
• 不正アクセスや改ざんが発生した場合の復旧対応
• SSL証明書の更新管理
• 月次の簡易レポート（更新内容・気になる点のご報告）

「何をどこまでやってもらえるのかわからない」という方も、まず気軽にご相談ください。
現在の状況をヒアリングしながら、必要なサポートをご提案します。

まとめ：今日から始められる3つのアクション

長い記事をお読みいただき、ありがとうございました。
最後に、今日から始めてほしい3つのアクションをお伝えします。

• URLを確認する：ブラウザでホームページを開き、「https://」になっているか確認する
• 管理画面のパスワードを変える：12文字以上の複雑なパスワードに変更する
• WordPress・プラグインを更新する：管理画面の「更新」ページを開いて、最新版に更新する

完璧にやろうとしなくていいです。
まず1つから。それが一番大切なことです。

「自分でやるのは不安」「まとめてお任せしたい」という方は、ぜひ Ndesign にご相談ください。

一緒に進める人、いますか？

Ndesign では、ホームページの保守・セキュリティ対応をまるごとお任せいただけます。
「何から始めればいいかわからない」という段階でも、
一緒に確認しながら進めますよ。

まずは気軽にご相談ください。

よくある質問（FAQ）

ホームページのセキュリティ対策は自分でできますか？

基本的なチェックは自分でできます。URLの確認（https化）、パスワードの変更、WordPress・プラグインの更新は、管理画面から操作できます。
一方、WAF（不正アクセス遮断）の設定や、セキュリティの弱点の診断などはやや専門的な知識が必要なため、保守業者への依頼をおすすめします。

制作会社に任せていれば、セキュリティは安心ですか？

制作会社はホームページを「作る」専門であり、「守る」保守サポートは別契約になっていることがほとんどです。
保守契約の内容を確認し、セキュリティ対応が含まれているかを必ずチェックしましょう。
「作ってもらって終わり」の場合、その後のセキュリティ管理はご自身の責任になります。

無料でできるセキュリティ対策はありますか？

はい、たくさんあります。パスワードの強化、WordPress・プラグインの更新、不要プラグインの削除はすべて無料でできます。
SSL（https化）もほとんどのレンタルサーバーで無料提供されています。
まずはこれらの基本対策から始めることをおすすめします。

ホームページが攻撃されたかもしれません。どうすればいいですか？

まず落ち着いて、以下の順で対応しましょう。
①ホームページを一時的に非公開（メンテナンスモード）にする
②パスワードをすぐに変更する
③制作会社・保守業者に連絡する
バックアップがあれば、クリーンな状態に戻すことができます。対応に不安がある場合は、すぐに専門家にご相談ください。

WordPressを使っていないホームページでもセキュリティ対策は必要ですか？

はい、必要です。WordPressに限らず、ホームページが公開されている以上、SSL化・パスワード管理・バックアップは基本対策です。
特に問い合わせフォームで個人情報を受け取っている場合は、暗号化通信（https化）は必須です。
制作会社やサーバー会社に「今の状態で大丈夫か」を確認してみましょう。