HOME  お役立ちブログ  まず実施しておくべきCMSのセキュリティ対策とは!

お役立ちブログ

お役立ちブログ

まず実施しておくべきCMSのセキュリティ対策とは!

ある日突然、ホームページに「変な、おかしな」記事が掲載されたことはありませんか?

今、どのような企業でも、ホームページを持ち会社を紹介するのが普通になってます。

そして、そのホームページを編集するシステムとして、一般的に各社ともCMSを導入しておりますが、

この便利なCMSを使ったサイトが実は、攻撃のターゲットにされ、

ホームページを改ざんしようという危機に晒されていることは、ご存知でしょうか。

このブログでは、大事なホームページを守るために、セキュリティ対策をいくつかご紹介いたします。

 

CMSのセキュリティ対策

世の中には、多岐に渡る色々CMSが存在しますが、どのCMSを使っていても

以下のようなセキュリティ対策を実施しておくことをおすすめ致します。

1.CMSの管理画面へのログインID、パスワードを複雑なものにします

一般的に数字のみ(例えば、1234)や辞書にある単語(例えば、password)で構成されているパスワードは特定が容易で第3者からリスト攻撃を受けた際に簡単に突破されます。

大文字・小文字・英数字を含む8文字以上のパスワードにするのが推奨されております。

参考に「SplashData – 100 Worst Passwords of 2017 & More Password Freebies」において、2017年にサイバー攻撃に使われることが多かったパスワードトップ100を公開しました。

そのうちのトップ10は次のとおりになります。

  • 123456
  • password
  • 12345678
  • qwerty
  • 12345
  • 123456789
  • letmein
  • 1234567
  • football
  • iloveyou

もし、使っているパスワードがありましたら、すぐに変更してください!

2.CMSやCMSの拡張機能のバージョンアップの実施

ITに関する技術は日々進歩しておりますが、どうしても、CMSのセキュリティ対策に関しましては、攻撃側と防御側のいたちごっこになっております。そのため、新しい攻撃に対応したバージョンのプログラムをリリースしたら、なるべく早くバージョンアップをしていくのをおすすめします。

3.管理者権限の設定

これは結構見逃してしまう場合がありますが、重要となります。

どのログインIDにどの権限を割り振ることがしっかり定義しましょう。また、変更が面倒で、一つの管理者権限を使いまわしにしたりデフォルトの管理者権限を利用したりする場合があるかと思いますが、やめましょう。

<参考>

情報処理推進機構IPA

「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」

https://www.ipa.go.jp/security/technicalwatch/20160928-1.html

 

WordPressのセキュリティ対策

WordPressは世界で多くの人々に使われているCMSの一つであります。多くの人々に使われているということは、標的になりやすくので、しっかりとしたセキュリティ対策をおすすめします。Wordpressのセキュリティ対策をいくつかご紹介いたします。

1.最新版にアップデート

CMSのセキュリティ対策でもご紹介しましたが、最新版にアップデートすることが重要であります。

2.テーマやプラグインは公式かから公開されているものを使う

スマートフォンのアプリと同様に、公式に公開されているものは、厳しい審査を経て公開されています。 公式以外で配布されているものは、使わない事をお奨めします。

3.使用していないプラグインは削除

結構忘れてしまうことが多いですが、ウェブサイト制作時には、問題ないプラグインでも、ウェブサイトを公開した後に、使用していないプラグインの脆弱性が見つかる場合があります。必要ないものをインストールしないのが、セキュリティ対策の基本なので、使用してないプラグインは、削除しましょう

4.よく使われているログインIDは、使用しない

パスワード総当たり攻撃の際に使われることがおおいので、管理者IDでよく使われるadminやrootは、使用を避けてください

5.プラグインを利用したセキュリティ対策

様々なセキュリティ対策のプラグインがありますが、代表的なプラグインを

二つ、紹介します。

  • 「SiteGuard」
    日本のセキュリティ会社であるJP-Secureが開発したプラグインであり標準で日本語対応されているため、使いやすいセキュリティプラグインとなります。
    機能としては、

    • 管理ページアクセス制限
    • ログインページ変更
    • 画像認証
    • ログイン詳細エラーメッセージの無効化

    などがあります。

  • 「Wordfence Security」
    Wordfence Securityは、高度なセキュリテイ対策のWordPressプラグインです。
    基本的な設定はOptions内でチェックボックスにチェックを入れる、あるいは選択するかで設定可能という、ユーザビリティの高い作りとなっています
    すべて英語表記で、一部機能が有料版で提供されていますが、無料版のみでも非常に高機能です。
    機能としては、

    • ファイヤーウォール機能
    • ブロック機能
    • スキャン機能

    などがあります。

まとめ

ここには紹介しきれないCMSやwordpressのセキュリティ対策は、まだあります。

サーバやウェブサイトの仕様などによって、対応できないセキュリティ対策もあるかもしれませんが、まずは、実施できるセキュリティ対策から、実施してみてください。


ページトップへ