福島市のシステム開発・ホームページ制作会社
セキュリティ対策
私どもはセキュリティ対策の徹底とリスクマネジメントを実施し、お客様の大事な情報資産をお守りします。
私どもが製作するホームページはWordpress(ワードプレス)というCMS(Contents Management System)で作られております。
CMSとは、ホームページの管理や記事の編集をHTMLやCSSといったコーディングをしなくても、テンプレートを使ってテキストや画像を入れることで簡単におこなえるようになるシステムです。
その利便性のおかげでWordpressは世界で一番シェアの高いCMSとなっており、全世界のウェブサイトの39%、CMSという括りでは64%という圧倒的なシェアを誇っています。そして日本国内としては80%以上と、かなりの数のwebサイトがWordpressで作られています。
そこで重要となるのが、セキュリティの問題です。
ホームページを制作するときに、セキュリティ対策を怠ると、不正な攻撃を受けたり、ウイルスの侵入やホームページが改ざんされる等の被害が発生し訴訟問題にもなりかねません。したがって問題が発生する前にしっかりと対策をしくことが重要です。
WordPressのセキュリティリスク
WordPressで不正アクセスされる一番多い要因はブルートフォースアタック(総当たり攻撃)というものです。
ログインIDが分かるとあとはパスワードを総当たりで入れて試してみるという方法でアクセスしてきます。
そのためにもセキュリティ管理としては、基本的なことですが、次の3つが非常に重要です。
1.パスワードの複雑化(大文字、小文字、数字、記号を組み合わせる + 12桁以上にする)
2.Wordpressのテーマやプラグインは常に最新版にしておく
3.データのバックアップ
更に次の14項目の対策を実施することで、WordPressに対する攻撃のリスクを大幅に下げることが可能になります。
ホームページ制作時に行うセキュリティ対策
| リスクアセスメント | NO | 項目 | 内容 |
|---|---|---|---|
| ユーザー・パスワードの漏えい | 対策1 | パスワードの複雑化 | 大文字、小文字、数字、記号を組み合わせる + 12桁以上 |
| 対策2 | ユーザー名の隠ぺい | サイトのURL/?author=1でのユーザー名を見えなくする | |
| 対策3 | ログインURLの隠ぺい | ログインページ(wp-login.php)の変更 | |
| 対策4 | 通信データの保護 | データの暗号化(SSL化) | |
| 不正アクセス | 対策5 | ログインロック | 間違ったパスワードを一定回数間違えると、一定時間アカウントを停止する |
| 対策6 | 二段階認証の設置 | スマートフォンの認証用アプリによるログイン方式 | |
| 対策7 | ログインの通知 | ログインがあったことを管理者に通知する | |
| 対策8 | ログイン履歴の監視 | 定期的にログイン履歴を確認して怪しい接続がないか調べる | |
| 対策9 | WordPressの脆弱性を是正 | プラグインの更新通知があった場合は速やかに更新する | |
| 対策10 | Webサイトの保護 | WAF(Webアプリケーションファイアウォール)の設定 | |
| ファイルの改ざん | 対策11 | FTP接続の制限 | 指定したIPアドレスによる接続制限を設ける |
| 対策12 | wp-config.phpファイルの保護 | パーミッションを「読み取り専用」にする | |
| サービスの妨害 | 対策13 | スパム防止対策 | reCAPTCHA v3による画像認証 |
| 対策14 | DDoS攻撃の防止 | XML-RPC Pingback 機能の無効化 |
ホームページのリスクアセスメントの実施
セキュリティ対策は一度やったから安心ではありません。プログラムの脆弱性は日々発見されていますし、新たな手口のハッキング手法も出てきますので、セキュリティ対策の有効性を確認することは重要と考えております。
私どもは定期的にリスク評価及び有効性の確認を実施し、セキュリティに関する事故の発生を防ぐ取り組みをしています。
