なぜセキュリティ対策が必要か
店舗ホームページでも、セキュリティ対策は必須です。セキュリティが不十分だと、訪問者や店舗自身に被害が及ぶ可能性があります。
セキュリティが不十分だと起こること
| リスク | 内容 |
|---|---|
| 訪問者への警告表示 | 「安全でないサイト」と表示される |
| 個人情報の漏洩 | 問い合わせフォームの情報が盗まれる |
| サイトの改ざん | 不正なコンテンツに書き換えられる |
| マルウェア配布 | 訪問者にウイルスが感染する |
| SEOへの悪影響 | 検索順位が下がる |
| 信頼性の低下 | 「危険な店」という印象を与える |
「うちは小さい店だから大丈夫」は危険
サイバー攻撃は大企業だけでなく、小規模サイトも標的になります。むしろ、セキュリティ対策が甘い小規模サイトは狙われやすいとも言えます。
SSL(HTTPS)とは
SSL(Secure Sockets Layer)は、サイトと訪問者の通信を暗号化する仕組みです。SSLが設定されたサイトは、URLが「https://」から始まり、ブラウザに鍵マークが表示されます。
HTTPとHTTPSの違い
| 項目 | HTTP | HTTPS |
|---|---|---|
| 通信 | 暗号化なし | 暗号化あり |
| URL | http:// | https:// |
| 表示 | 警告が出る場合あり | 鍵マーク |
| SEO | 不利 | 有利 |
| 信頼性 | 低い | 高い |
SSLがないとどうなるか
ブラウザの警告表示 Chrome などのブラウザは、HTTPサイトに対して「安全ではありません」と警告を表示します。これを見た訪問者は不安になり、離脱してしまいます。
フォーム入力時の警告 HTTPサイトのフォームに入力しようとすると、特に強い警告が表示されます。予約フォームや問い合わせフォームの利用率が下がります。
SEOへの悪影響 GoogleはHTTPSを検索ランキングの要因としており、HTTPサイトは不利になります。
SSL設定の方法
SSLを設定する方法は、使用しているサービスによって異なります。
HP作成サービスの場合
主要なHP作成サービスは、無料でSSLを提供しています。
| サービス | SSL対応 |
|---|---|
| Wix | 無料で自動設定 |
| ペライチ | 無料で自動設定 |
| STUDIO | 無料で自動設定 |
| Jimdo | 無料で自動設定 |
独自ドメインを使用している場合も、管理画面から設定できます。
レンタルサーバー + WordPressの場合
レンタルサーバーでWordPressを使用している場合は、以下の手順で設定します。
-
SSL証明書の取得
- 多くのレンタルサーバーは無料SSL(Let’s Encrypt)を提供
- サーバーの管理画面から有効化
-
WordPressの設定変更
- 設定 → 一般 でサイトURLをhttpsに変更
- またはプラグイン(Really Simple SSL など)で一括変更
-
リダイレクト設定
- httpでアクセスした場合に httpsに転送する設定
- .htaccess に記述、またはプラグインで設定
SSL証明書の種類
| 種類 | 費用 | 認証レベル | 店舗HPの必要性 |
|---|---|---|---|
| DV(ドメイン認証) | 無料〜 | 低 | 十分 |
| OV(企業認証) | 年数万円〜 | 中 | 通常不要 |
| EV(拡張認証) | 年10万円〜 | 高 | 不要 |
店舗HPでは、無料または安価なDV証明書で十分です。
基本的なセキュリティ対策
SSL以外にも、基本的なセキュリティ対策を行いましょう。
パスワード管理
| 対策 | 内容 |
|---|---|
| 強力なパスワード | 12文字以上、英数字記号を組み合わせ |
| 使い回しをしない | サービスごとに異なるパスワード |
| 定期的な変更 | 半年〜1年に1回程度 |
| 二要素認証 | 可能なら設定 |
ソフトウェアの更新
WordPressを使用している場合、以下を最新に保ちます。
- WordPress本体
- テーマ
- プラグイン
古いバージョンには脆弱性があり、攻撃の対象になります。
バックアップ
定期的にバックアップを取り、何かあった時に復旧できるようにします。
| バックアップ対象 | 頻度 |
|---|---|
| データベース | 週1回以上 |
| ファイル(画像など) | 月1回以上 |
HP作成サービスは自動バックアップがある場合が多いですが、確認しておきましょう。
不要なプラグイン・機能の削除
使っていないプラグインや機能は削除しましょう。放置されたプラグインは脆弱性の原因になります。
フォームのセキュリティ
予約フォームや問い合わせフォームのセキュリティも重要です。
スパム対策
| 対策 | 内容 |
|---|---|
| reCAPTCHA | 人間かロボットかを判別 |
| ハニーポット | ロボットだけが入力する隠しフィールド |
| 入力検証 | 不正な入力を弾く |
入力データの保護
- 送信データはSSLで暗号化
- 不要な個人情報は収集しない
- データの保存期間を決める
メール送信の設定
フォームからのメール送信設定を確認しましょう。
- 送信者アドレスのなりすましを防ぐ
- 自動返信メールの内容を確認
- 管理者への通知設定
セキュリティ事故が起きた場合
万が一、セキュリティ事故が起きた場合の対応です。
兆候の発見
以下の兆候があれば、セキュリティ事故を疑います。
- 知らない管理者アカウントがある
- サイトの内容が変わっている
- 知らないファイルがある
- 大量のスパムメールが来る
- ブラウザやセキュリティソフトが警告を出す
対応手順
-
サイトを一時停止
- 被害の拡大を防ぐ
-
原因の特定
- いつ、どのように侵入されたか
-
復旧
- バックアップから復元
- パスワードの変更
- 脆弱性の修正
-
再発防止
- セキュリティ強化
- 定期的な監視
専門家への相談
自分で対処できない場合は、セキュリティの専門家やWeb制作会社に相談しましょう。
セキュリティチェックリスト
定期的に確認すべきセキュリティ項目です。
| 項目 | 頻度 |
|---|---|
| SSL証明書の有効期限 | 月1回 |
| パスワードの変更 | 半年〜1年 |
| ソフトウェアの更新 | 週1回 |
| バックアップの確認 | 月1回 |
| 管理者アカウントの確認 | 月1回 |
| 不審なアクセスの確認 | 週1回 |
セキュリティ対策は「やりすぎ」ということはありません。最低限のSSL設定から始めて、徐々に対策を強化していきましょう。
関連記事
