ホームページのセキュリティ対策チェックリスト|中小企業が無料でできる基本10項目から解説

中小企業向けホームページセキュリティ対策チェックリストの記事アイキャッチ。基本10項目を点検するイメージ

中小企業のホームページに必要なセキュリティ対策の土台は、①更新 ②ログイン保護 ③バックアップ ④SSL化 ⑤気づける仕組みの5つです。このうち大半は、追加費用ゼロで今日から始められます。

セキュリティの記事は「WAF」「IPS」など専門用語と高額なツールの紹介になりがちですが、実際の被害の多くは基本の不備——古いままのWordPress、弱いパスワード、戻せないバックアップ——から起きています。この記事では、WordPressで自社サイトを運営する経営者向けに、「無料でできる基本」から「仕組み化」「プロの活用」まで、優先順位のついたチェックリスト形式で解説します。

目次

なぜ中小企業のホームページが狙われるのか

結論だけ先に言うと、攻撃の多くはプログラム(ボット)による無差別スキャンであり、会社の規模や知名度は選定基準になっていないからです。攻撃者にとって中小企業のサイトは「守りが薄く、踏み台(ウイルス配布・迷惑メール送信の拠点)として使いやすい資源」です。「うちには盗まれるものがない」という感覚は、盗む側の目的とずれています。狙われる構造の詳細は別記事で解説しています。(関連記事:WordPressの脆弱性とは?放置リスクと経営者が取るべき対策

セキュリティ対策の3段階(無料の基本→仕組み化→プロの目)のステップ図解

【第1段階】無料でできる基本対策チェックリスト10項目

まずお金をかけずにできることから。各項目に、経営者が担当者・制作会社に確認するときの聞き方を添えました。

チェック項目経営者の確認ポイント(聞き方)
1. WordPress本体・テーマ・プラグインが最新か「最後に更新したのはいつですか」
2. 使っていないプラグイン・テーマを削除したか「入っているプラグインは全部使っていますか」
3. ログインユーザー名が「admin」等になっていないか「ユーザー名は推測されにくいものですか」
4. パスワードが長く複雑で、使い回しがないか「他のサービスと同じパスワードを使っていませんか」
5. 二段階認証を設定したか「パスワードが漏れてもログインされない仕組みはありますか」
6. サイト全体がhttps(SSL)になっているかブラウザで自社サイトを開き、警告が出ないか自分で見る
7. バックアップが定期的に取れていて、復元テスト済みか「バックアップから戻すテストをしたことがありますか」
8. 利用者ごとにアカウントを分け、権限を最小にしているか「退職した人のアカウントは削除されていますか」
9. 更新作業に使うパソコンにウイルス対策があるか「サイトを触るPCは会社管理のものですか」
10. Google Search Consoleに登録し警告を受け取れるか「Googleからの警告は誰に届きますか」

10項目すべて、追加費用は不要です(かかるのは手間だけ)。特に1・4・7の3つは、被害原因の大半を塞ぎます。総務省も、ホームページ改ざんの主原因として「安易なパスワード」と「既知の脆弱性の放置」を挙げています。

「セキュリティ保護なし」と表示されたら——SSL化ができていないサイン

自社サイトを開いたとき、アドレスバーに「セキュリティ保護なし」「保護されていない通信」と表示される場合、サイトがSSL化(通信の暗号化=https化)されていないか、設定が不完全です。

放置すると何がまずいのか

  • 訪問者が逃げる——ブラウザが警告を出すため、初見の訪問者には「危ないサイト」に見えます
  • 問い合わせフォームの内容が暗号化されない——氏名・連絡先が平文で流れ、盗聴のリスクがあります
  • 検索評価でも不利——GoogleはHTTPSを検索順位の評価要素のひとつにしています

直し方(多くの場合、費用はかかりません)

主要なレンタルサーバーは無料のSSL証明書を提供しており、手順は「サーバー側でSSLを有効化→WordPressのURL設定をhttpsに変更→httpからの転送設定」の3段階です。制作会社・保守会社に頼めば通常は短時間で終わる作業です。SSL化済みなのに警告が出る場合は、ページ内の画像などが古いhttpのURLで読み込まれている「混在コンテンツ」が原因のことが多く、これも修正可能です。

【第2段階】仕組みで守る——人の注意力に頼らない対策

基本ができたら、「人が頑張る」から「仕組みが守る」に移行します。ここも低コストで始められるものが中心です。

  • レンタルサーバーのWAFを有効にする——WAF(不正な通信を自動遮断する防御壁)は、主要レンタルサーバーなら管理画面からワンクリックで有効化でき、追加費用なしのことが多い機能です。まず自社サーバーにあるか確認を
  • 死活監視を入れる——サイトが落ちたら通知が来る仕組み。無料・低額のサービスで十分始められます
  • ログイン試行の制限——パスワード総当たり攻撃を自動でブロックするセキュリティプラグインの基本機能
  • バックアップの自動化と世代管理——手動バックアップは必ず途切れます。自動で複数世代残る設定に(関連記事:WordPressバックアップの正しい方法

注意点をひとつ。セキュリティプラグインは「入れれば安心」の道具ではありません。古いプラグインに開いた穴そのものは塞げないため、第1段階(更新)の代わりにはならない——この順序だけ間違えないでください。

【第3段階】プロを使う——診断と保守

第1・第2段階を実施しても、「本当にできているか」は自分では確認しづらいものです。そこで第3段階は、外部の目を入れることです。

まず無料の脆弱性診断で現在地を確認する

当サイトの無料診断は、URLを入力するだけで、外部から確認できる17項目(設定ファイルの露出・ユーザー名の漏洩・HTTPS設定・セキュリティヘッダなど)を点検し、危険度スコアを表示します。このページのチェックリストの「答え合わせ」としても使えます。

継続的な保守に任せる

チェックリストを毎月確実に回す体制が社内に作れない場合は、保守の外注が現実的です。相場は月額1〜3万円が中心帯で、更新・バックアップ・監視をまとめて任せられます。保守の中身と選び方は別記事で解説しています。(関連記事:WordPress保守とは?作業内容・費用相場・判断基準)(関連記事:ホームページの保守費用はいくら?月額相場と内訳

なお、IPA(情報処理推進機構)は中小企業向けに「SECURITY ACTION」という自己宣言制度や情報セキュリティ対策ガイドラインを提供しています(2026年7月時点)。取引先への信頼提示にも使えるため、体制づくりの参考にしてください。

よくある質問

Q. 何から始めればいいですか?

「更新」「パスワード」「バックアップの復元テスト」の3つです。この3つが被害原因の大半を塞ぎます。次に無料診断で外側から穴がないかを確認し、残りのチェックリストを順に潰してください。

Q. セキュリティプラグインを入れるだけではだめですか?

だめです。セキュリティプラグインはログイン保護や監視には有効ですが、古いプラグイン・テーマに存在する脆弱性そのものは塞げません。「更新」とセットで初めて機能します。

Q. 「セキュリティ保護なし」のサイトを見るのは閲覧者にとっても危険ですか?

閲覧するだけなら直ちに危険とは限りませんが、そのサイトに氏名・連絡先・カード情報などを入力するのは避けるべきです。自社サイトに警告が出ている場合、訪問者からそう見られているということなので、早急なSSL化をおすすめします。

Q. WAFとは何ですか?導入すべきですか?

WAF(Web Application Firewall)は、サイトへの不正な通信パターンを自動で遮断する防御壁です。主要なレンタルサーバーでは追加費用なしで有効化できることが多いため、「導入する」というより「まずONになっているか確認する」が正解です。

Q. もう被害に遭っているかもしれません。どうすればいいですか?

見た目が正常でも侵入されていることがあります。Search Consoleの警告、身に覚えのない管理者ユーザー、検索結果の不審なページなどの兆候と、被害時の初動手順(やってはいけないことを含む)は改ざん対応の記事にまとめています。(関連記事:Webサイトの改ざんとは?被害事例・気づき方・復旧手順

まとめ——セキュリティは「高い買い物」ではなく「習慣」

中小企業のホームページセキュリティは、高額なツールの購入ではなく、無料でできる基本の徹底から始まります。第1段階(基本10項目)→第2段階(仕組み化)→第3段階(プロの目)の順で、できるところまでで構いません。今日やるべきことは次の3つです。

  1. チェックリスト10項目を担当者と一緒に確認する——特に更新・パスワード・バックアップの3つ
  2. 自社サイトを自分のスマホで開いてみる——警告が出ないか、経営者自身の目で見る
  3. 無料診断で答え合わせをする——URLを入れるだけ。外側から見える穴を確認する
Spyral(スパイラル)のロゴ

この記事を書いた人

Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之

2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →

本記事は2026年7月時点の情報に基づいています。SSLやWAFの提供条件はレンタルサーバー各社の最新の公式情報をご確認ください。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次