SEOにも効果あり？ブログ運営におすすめのセキュリティ対策

2023年11月17日2024年4月9日

ブログ運営でSEOを意識している人は多いと思いますが、セキュリティも同じくらい重要な対策です。

セキュリティが脆弱なままだと、ワードプレスの管理者アカウントが乗っ取られるばかりか、過去の記事がすべて消去されてしまう場合もあります。

ほかにも、フリーWiFiスポットなどを利用してブログを執筆する場合、通信データが筒抜けになる危険性もありますし、セキュリティ対策が十分でないサイトは、SEOにも悪影響を及ぼす可能性もあります。

この記事では、ブログ運営時におけるセキュリティ上の危険性や、SEOとの関係性、より効果的にセキュリティを向上する方法について解説します。

この記事を書いた人

NTT西日本でMacのサーバ構築やネットワークSEを歴任
WiFiやセキュリティを活用したネットワークソリューションが専門
現在は田舎町でフリーランスとして活動中

ブログ運営時のセキュリティリスク

ブログ運営時にセキュリティが甘いと、さまざまなリスクが発生する可能性があります。

以下では、特に重要と思われるものを４つ紹介します。

不正アクセスされる可能性がある

ワードプレスの管理者アカウントや、レンタルサーバーのログインアカウントの設定が不適切な場合、不正なアクセスされる可能性があります。

不正アクセスが行われると、個人情報が盗まれたり、記事の改竄や不正なコンテンツが掲載されることもあります。

最悪の場合、Web機能が停止したり、過去に投稿した記事がすべて消去されてしまうこともあります。

悪意のあるコードが挿入される

セキュリティが甘いままだと、悪意のある第三者によってサーバーやコンテンツにコードを挿入し、ウェブサイトの機能を妨害したり、訪れた読者に対して攻撃を仕掛ける可能性があります。

例えば、サーバーのシステム内にウィルスやランサムウェアを埋め込んだり、コンテンツ内に不正な広告バナーや不正なリンクを埋め込むなどです。

ランサムウェアは、コンピュータやデータに対して暗号化をかけ、被害者に復号化キーを提供する代わりに身代金を要求する悪意のあるプログラムのこと。

信頼性が低下する

セキュリティが脆弱なサイトは、訪れた読者に対して信頼性が低いと見なされる場合があります。

例えば、SSL通信（HTTPS）に対応していないサイトの場合、読者はもちろんグーグルからの信頼も低くなり、結果的にSEOにも悪影響となります。

法的な問題に発展する可能性も

セキュリティが脆弱な場合、プライバシー法やデータ保護法に違反する可能性もでてきます。

例えば、ブログに訪れた読者の個人情報を不適切に収集、保管、使用すると、個人のプライバシー権の侵害にあたりますし、他人の著作物を無断で使用すると、著作権侵害にあたります。

ブログ運営にあたっては、このような危険性をしっかり理解しておくことが大切です。

セキュリティ対策のSEOへの影響

常時SSL化による影響

最近はほとんどのブログサイトがSSL（HTTPS）対応を行なっていますが、常時SSL化をすることで検索エンジンに評価されやすくなるのは事実です。

なぜなら、セキュリティ確保は、グーグルの「利用者第一主義」の一環だからです。

SSL化することで通信内容は暗号化され、結果的に利用者（読者）のプライバシーが守られます。

SSLでは、WebサーバーとWebサイト訪問者との通信を暗号化することで、情報漏洩から安全性を確保します。

実際にグーグルは、検索順位の評価要因としてSSL化を含めることを明言しています。

Google はランキングシグナルとして HTTPS を使用することにしました。現在のところは、ウェブマスターが HTTPS に切り替えるための移行期間として、このシグナルのウェイトを非常に小さく設定しています（グローバルクエリの 1% 未満にしか影響せず、高品質のコンテンツなど他のシグナルよりウェイトが小さい）。しかし、誰もがウェブを安全に利用できるよう、すべてのウェブサイトの所有者に HTTP から HTTPS への切り替えをおすすめしたいと考えているため、今後このウェイトは大きくする予定です。
引用：Google公式サイトマルウェアや悪意のある動作　「Google ウェブ検索のスパムに関するポリシー」より抜粋

ハッキングによる影響

ブログサイトがハッキングされると、検索エンジンの評価が低下し、検索結果での表示順位が下がる可能性があります。

気づかずに放置しておくと、サイトのアクセス数が減少し、収益にも悪影響を及ぼすことになります。

グーグルは、スパムに関するポリシーの中で、「ハッキングされたコンテンツ」や「マルウェアや悪意のある動作」について以下のように言及しています。

ハッキングされたコンテンツ

ハッキングされたコンテンツとは、サイトのセキュリティ上の脆弱性に付け込まれ、許可なくサイトに配置されたコンテンツのことです。ハッキングされたコンテンツによって、有用でない検索結果がユーザーに表示されるだけでなく、ユーザーのパソコンに悪意のあるコンテンツがインストールされるおそれもあります。

マルウェアや悪意のある動作
Google は、ウェブサイトをチェックし、ユーザーエクスペリエンスに悪影響を及ぼすマルウェアや望ましくないソフトウェアがホストされていないかどうかを確認しています。
引用：Google公式サイト「ランキングシグナルとしての HTTPS」より抜粋

これらのポリシーに違反すると検索順位は下がり、最悪の場合、インデックス登録が解除され、検索結果に表示されなくなってしまうこともあります。

レンタルサーバーのセキュリティ対策

ワードプレス利用にかかせないレンタルサーバーですが、初期設定のまま利用するとセキュリティが脆弱な場合があります。

レンタルサーバーの利用にあたっては、以下の内容を参考に安全性を確認してください。

SSLを導入する

SSLサーバー証明書をレンタルサーバーにインストールすると、HTTPSプロトコルによるSSL通信が利用できるようになります。

インストール方法は、レンタルサーバーにより異なりますが、事前にSSLが利用可能かどうか確認しておくことが大切です。

SSLサーバー証明書は、サイト運営者の実在を確認したことを証明するための電子証明書です。

WAFを有効化する

レンタルサーバーのWAFを有効にすると、事前に設定したパターンに基づき、許可する通信と許可しない通信を自動的に判別してくれます。

通常の利用と異なるリクエストがあると、通信が遮断されデータが守られます。

WAF（Web Application Firewall）とは、Webサーバーやソフトウェア、データベースなどで構成されるWebアプリケーションの保護に特化したセキュリティのための仕組み。

定期的にバックアップする

ワードプレスのコンテンツを誤って削除してしまったり、何らかの理由でワードプレスがうまく機能しなくなった時のために、バックアップはとても重要です。

多くのレンタルサーバーでは、自動バックアップ機能を備えています。

自動バックアップを利用すると、万が一コンテンツや機能に不具合が生じた際に、指定した日時のデータをもとにコンテンツや設定ファイルを復元することができます。

レンタルサーバーを利用する際は、バックアップ機能の有無を確認し、利用する際はバックアップ機能が有効になっていることを確認しておきましょう。

2段階認証を導入する

2段階認証とは、ログインアカウントをセキュリティで保護するために、パスワードとそれ以外の方法を併用してログイン認証する仕組みのことです。

最も利用されているのは、スマホに認証用コードを送信し、パスワードとセットで入力させる方法です。

利用しているレンタルサーバーが2段階認証を採用していれば、積極的に利用するようにしましょう。

これらの対策は、利用者側が意識して利用しなければならないものですが、不正侵入検知や防火・防災、停電対策などレンタルサーバー側が行ってる安全対策もあります。レンタルサーバーの利用にあたっては、どのようなセキュリティ対策がなされているか改めてチェックしておきましょう。

これからレンタルサーバーを申し込むなら、セキュリティ対策が万全のお名前.comレンタルサーバーがおすすめです。

今なら、月額利用料が40％OFFの税込535円で申し込みできます。

ワードプレスのセキュリティ対策

アカウントのセキュリティ強化

ワードプレスのセキュリティ対策で最初にやっておきたいのが、管理画面にログインする際のアカウント情報を強化することです。

パスワードをより複雑なものにするのはもちろんですが、ユーザー名に「admin」を利用しないのも効果的な対策です。

ユーザー名「admin」は、WordPressのインストール時に初期設定されていることが多く、不正アクセスを行うもの（ハッカーなど）に、アカウントIDが類推されやすくなります。

もし現在、「admin+ドメイン名」でログインしているのなら、早めに変更しておくことをおすすめします。

ソフトウェアのアップデート

ワードプレスのバージョンを最新版に更新しておくことも大切です。

マイナーバージョンアップ(X.5 → X.5.1 など)は自動的に更新されますが、メジャーバージョンアップ(X.5.3 → X.6など)は手作業で更新が必要です。

また、利用しているテーマやプラグインも常に最新のバージョンに更新しておくようにしましょう。

使用していないテーマやプラグインはできるだけ削除するようにしてください。無効化されていても悪影響をおよぼすことがあります。

セキュリティプラグインの有効活用

セキュリティ対策用のプラグインはたくさんありますが、ここではひとつのプラグインであらゆる対策を講じることができるおすすめのプラグインをふたつ紹介します。

いずれも無料で利用できます。

All In One WP Security&Firewall

All In One WP Security&Firewallは、セキュリティ機能とファイアウォール機能がひとつになったプラグインです。

簡単にインストールでき、さまざまな機能を提供してくれます。

ユーザーレベルに応じたファイアウォールの設定が可能で、サイトのセキュリティ強度を測定し、可視化することができます。

表示速度にも影響を与えないプラグインです。

ただし、日本語非対応のため、英語が苦手な方には少し設定がが難しいかもしれません。

【公式サイト】All In One WP Security&Firewall

主な機能

ログインロック: 管理画面から IP アドレスの範囲やロックする時間を設定できます。管理画面がロックされたユーザーをメールで通知するこのもでき、ログインページのURL変更も可能です。
セキュリティ通知: ユーザー名が初期設定のままである場合やログイン時のユーザー名とパスワードが同一の場合など、セキュリティ面でのリスクが高い場合は、それを検知し、ユーザーに通知します。パスワード強度ツールで非常に強力なパスワードの作成も容易にできます。
ファイル操作禁止: ワードプレスの動作に関わる重要ファイルを、外部から不正に編集・アクセスできないように設定できます。
ファイアウォール設定: 不正なネットワーク通信を遮断し、Webサイトを保護する設定が可能です。
データベースの自動バックアップ: サイトへのアクセスを制御する.htaccessファイルや、データベースの接続情報などが含まれるwp-config.phpが壊れてしまった場合に備えてバックアップを作成できます。

SiteGuard WP Plugin

SiteGuard WP Pluginは、ブルートフォース攻撃や不正なIDとパスワードリストを用いた不正ログインからユーザーを保護し、悪意のある大量投稿（コメントスパム）なども防止します。

ブルートフォース攻撃は、総当たり攻撃とも呼ばれ、暗号解読方法のひとつとして、可能な組合せを全て試すやり方のこと。

特にログインセキュリティに不安がある方におすすめで、日本企業が開発したため日本語にも対応しています。

シリーズ累計で国内利用サイト数がナンバーワンと信頼性も高く、すべての機能が無料で利用できます。

【公式サイト】SiteGuard WP Plugin

主な機能

ログインロック: ログイン失敗を繰り返してくる接続元を一定時間ロックし、アクセスを禁止することができます。ログイン期間・回数・ロック時間などを管理画面から設定でき、ブルートフォース攻撃 (総当たりログイン攻撃) を防ぎます。機械的な攻撃に対して特に有効です。
管理ページIPアクセス制限: 管理ページへのアクセスにIPアドレスによる制限がかけられます。また許可されたIPアドレス以外からのアクセスがあった場合、404エラーの表示をすることで不正アクセスを回避します。
ログインページのURL変更: プラグインを有効化すると、自動的にデフォルトの(wp-login.php)の名前が変更されます（任意変更可能）。これにより、ログイン画面にアクセスされにくくなります。
画像認証: 管理者画面にログインする際に、ID・パスワードに加え、ひらがなや英数字によるランダムな文字列画像を入力する認証を追加します。不正ログイン対策がより強固になります。