ホームページがハッキングされるとどうなる?WordPressに不正ログインされないための対策
矢野※この記事は少し専門的な内容も含まれます。当社のホームページ作成サービス「はれとくネット」で方法を作る場合は、この記事でお伝えしているセキュリティ対策はしっかり行っておりますのでご安心ください。
はれとくネットの矢野です。
ホームページはインターネット上に公開されているので、ハッキングされるリスクがあります。
ハッキングは本来、プログラムを解析して改良したり、安全性を検証したりすること言います。
しかし、一般的には不正アクセスなどの不正行為のことをハッキングと呼んでいます。
不正アクセスなどのことを正式には「クラッキング」と言います。
言葉の定義はさておき、この記事では
- ホームページがハッキングされたらどうなるのか?
- ハッキングされないための対策
について解説したいと思います。
冒頭でお伝えしたように、ホームページはハッキングされるリスクがあります。
これはホームページに限ったことではなく、ブログや、Facebook、Twitter、インスタグラムなどの様々なWEBサービスに言えることです。
何年か前に、国内大手の仮想通貨取引所がハッキングされたのは有名ですね。
仮想通貨取引所の場合は、多くの個人情報や、顧客の資産なども管理されているので、ハッキングされると大変なことになります。
ですので、WEBサービスを運営するにはそういったリスクを減らすための対策をしておく必要があります。
ホームページがハッキングされるとどうなる?
ホームページはインターネット上に公開されています。
また、最近では「WordPress」などのCMSと呼ばれるシステムでホームページを作るのがほとんどです。
ブログのように、IDとパスワードを入力して管理画面にログインし、管理画面でページの編集をすることができます。
IDとパスワードを入力すればログインできるということは、IDとパスワードが第三者に漏れたりすると不正ログインされる恐れがあります。
もし、不正ログインされてしまうと、ページを勝手に改ざんされたり、ホームページに不正なプログラムを組み込まれたり、勝手に広告が表示されたり、勝手に別のサイトに転送されたりする恐れがあります。
今まで、私が作成したホームページがハッキングされたことはないのですが、知人のホームページがハッキングされたことがあります。
ハッキングされてどうなったかと言いますと、サーバーがコンピューターウイルスに感染しました。
それで、サーバー会社が強制的にホームページにアクセスできないようにサーバーをブロックしました。ブロックしたことで被害が広がるのを防ぐことができたのですが、ホームページを閲覧することはできなくなりました。
ホームページが閲覧できないということは、復旧するまでの間、ホームページから集客できません。
そうなると、とても困りますよね。
幸い、一般的なホームページだったので、顧客の個人情報などが漏れることはなかったのですが、ネットショップなどのように顧客の個人情報も管理している場合は、個人情報が漏れる可能性もあります。
不正アクセスされると復旧が大変
知人のホームページのように第三者から不正アクセスされると復旧が大変です。
単に不正アクセスされただけなら問題ありません。パスワードを変更して再度不正アクセスできないようにすればいいだけです。
しかし、実際そうはいきません。知人の場合は、不正アクセスされてウイルスに感染してしまいました。
ウイルスに感染してしまうと、サーバーの中身をいったん綺麗に削除する必要があります。ようはサーバーの中身をすべて削除してウイルスがない状態にしないといけないんです。
もし、同じサーバーに複数のホームページを入れていた場合は、他のホームページも削除しないといけません。
ということで、専門的な話になって申し訳ないですが、とにかくハッキングされないようにセキュリティ対策をしっかりとしておく必要があります。
ホームページがハッキングされないためのセキュリティ対策
では、どのようなセキュリティ対策をすれば良いのかを解説します。
※はれとくネットでホームページを作成する場合は、当社のほうでセキュリティ対策を行いますのでご安心ください。ここで解説する対策はあくまでも自分でホームページを作成する時の場合です。
ホームページの管理画面にログインするパスワードは強固なものにする
パスワードを強固にすることはとても重要なことですが、実は結構多くの人はパスワードを簡単なものにしています。
数字8文字とかだとリスクが高いです。ちなみに数字8文字のパスワードは1秒以下で解読できるらしいです。
ですので、数字+アルファベット(大小混合)+記号を組み合わせたできるだけ長いパスワードにしてください。
サーバーのパスワードも強固なものにする
これは自分でホームページを作る場合ですが、自分でホームページを作る場合は、サーバーを契約する必要がありますので、サーバーにログインするためのパスワードも必要になります。
サーバーに不正アクセスされてしまうと、ホームページを勝手に改ざんされてしまう恐れもありまし、ホームページの削除だってできます。
サーバーのパスワードも同じく、強固なものにしてください。
パスワードを安全に管理する
いくらパスワードを長くて強固なものにしても、パスワードの管理がずさんだとパスワードが第三者に漏れる恐れがあります。
例えば、メモ帳(パソコンに入っているソフト)にパスワードを保存していたりすると、パスワードが漏洩する可能性は高くなります。
ですので、できるだけパソコンには保存しないほうがいいですね。
だからといって、パスワードをどこにもメモしていないとパスワードを忘れてしまう恐れもあります。特に長いパスワードにしていると忘れる可能性は高いです。
では、パスワードはどうやって管理したらいいのかと言いますと、私の場合は、外付けのハードディスクに保存して、そのハードディスクにICロックとパスワードをかけて二重ロックいます。そして、そのハードディスクはパソコンから外して保管しています。この方法ですと万が一ハードディスクが盗まれたとしても、まずは中身は見れません。
他にもパスワード管理サービスも利用しています。このサービスはインターネット上で管理されていますがセキュリティは高いです。しかも私の場合はパスワードを自分しか知らない暗号で保存しています。ですので、もしそのパスワード管理サービスがハッキングされてパスワードが漏洩したとしても、パスワードが悪用されることはありません。
WordPressのログインURLを変更する
WordPressでホームページを作っている場合は、WordPressの管理画面にログインするページのURLの最後のほうは共通の文字列になっています。ということはログインページのURLが第三者に簡単にバレてしまい、その分狙われる可能性が高くなるということです。
※はれとくネットの場合は、もちろんログインページのURLは変更しています。
ファイルのパーミッションを変更する
ホームページは様々なファイルで構成されていて、それがインターネットに繋がったサーバーに保存されています。サーバーに保存されているファイルには、管理画面のログイン情報などが含まれているファイルがあります。そのファイルには「読み込み権限」「書き込み権限」などが設定されていて、これをパーミッションと言います。そして、その権限をセキュリティが高いものにしておかないといけません。
少し専門的な話になりますので「はれとくネット」でホームページを作成する場合は、別に理解する必要はないですが、自分でホームページを作成する場合は、ここも理解しておかなくてはいけません。
ログイン画面に画像認証を導入する
不正アクセスの多くは、ボット(自動化されたプログラム)で総当たり攻撃をしてきます。
そこで、下のような画像認証を導入すれば、ボットの総当たり攻撃を防ぐのに効果があります。
画像認証を導入すると、ひらがなを入力しないとログインできません。
SSL化する
SSLとは「データ通信の暗号化」のことです。SSL化することは必須ですので、これからホームページを作る場合は必ずSSL化してください。
詳しくはSSLについて詳しく解説している記事がありますので、そちらをご覧ください。
ということで、この記事ではホームページがハッキングされないためのセキュリティ対策について解説しました。
WordPress以外でホームページを作った場合も同じリスクがありますので、セキュリティ対策はしっかりとしておく必要がありますね。
「はれとくネット」では、上記の他にも、ログインロックやXMLRPCの無効化など、様々なセキュリティ対策を施しています。
