(2022.2.1)
こんにちは。
WEBディレクターのT鈴木と申します。
余寒厳しき折ですが、いかがお過ごしでしょうか。
ぽかぽかと暖かい湯たんぽが、手放せない時期かと思います。
レンジでチンするタイプがお勧めです。
さて昨今、WEBサイトを対象とするサイバー攻撃が増加しております。
NICTER観測レポート2020によると、2020年のサーバー攻撃の関連通信は前年より1.5倍に増えています。10年前に比べると110倍にも達しており、サイバー攻撃は年々激化していると言えます。
サイバー攻撃によって、具体的にはどのような被害が考えられるのでしょうか。
・WEBサイトの改ざん
・ユーザーを悪質なサイトへ誘導
・情報漏洩(個人情報も)
・復旧コストや損害賠償
顧客や取引先など多くの関係者とインターネットで繋がる現在では、セキュリティ対策も企業の社会的責任(CSR)として求められています。
皆さまのWEBサイトでは、対策はとられていますか?
今回は、圧倒的シェアのCMS『WordPress』における、セキュリティ対策をご紹介します。
WordPressはオープンソースであり、古いバージョンのまま放置することでセキュリティ・リスクが高まります。そのため定期的に、サーバー環境のPHP、WordPress本体やプラグインのバージョンを更新することで対処します。
不用意なバージョンアップはサイトの機能に不具合を起こしかねないため、必ず事前にバックアップをしてから実施します。
定期的にWEBサイトのバックアップを丸ごととることで、問題の無い状態にいつでも戻せるように備えます。
3-1. ログインURL変更
デフォルトだと推測されやすいログインURLを、複雑な文字列に設定します。
3-2. IDとパスワードを推測されにくいものに
一般に推測されやすいIDを避け、パスワードも推測できない複雑なものを設定します。
3-3. 画像認証の導入
ログイン画面に画像認証を導入することで、不正ログインを試行するプログラムから防御します。
3-4. ログインのアラート設定
ログインがあった際に通知されることで、怪しいアクセスに気づける状態にします。
WordPressの重要ファイルに対し、外部からのアクセスを防ぐ設定、書き換えや実行を防ぐ設定を行います。
サーバー側でWAFをONにすることで様々な攻撃を自動で検知し防ぐことが可能です。
上記は代表的なもので、これで万全と言い切ることはできませんが、WordPressのセキュリティ上の弱点をある程度カバーできると言えます。
気になる方はぜひご相談ください。