今や世界中のありとあらゆるところでサイバー攻撃がおこなわれています。
個人や企業のWebサイトはもちろん、国家のシステムなどにもサイバー攻撃の被害を受けています。
Webサイトの運用するのに、セキュリティ対策は必須です。
セキュリティ対策と聞くと、「専門家の知識が必要」、「素人だけでは不可能」と思われる人も多いと思います。
しかし、そのようなことはありません。
個人でセキュリティ改善も可能です。
今回は、Webサイトに関するセキュリティ対策について紹介します。
いま公開しているWebサイトのセキュリティーツールを見直すなど少し手間をかけるだけで、セキュリティの強度は大幅に向上するので、本記事の内容をもとに必ずチェックしてください。
増え続けるサイバー攻撃の被害
ご存じの人も多いと思いますが、サイバー攻撃の被害は年々増え続けています。
サイバー犯罪に対する警察機関への相談件数は、2017年の上半期だけで過去最大となる6万9,977件を記録。
この数字には不正アクセスやコンピューターウイルス以外にも、詐欺や悪質商法が含まれていますが、インターネットを利用した犯罪は増加傾向にあります。
過去にこのような企業がサイバー攻撃の被害を受けています。
| 年月 | 企業名 | 攻撃手法 | 内容 |
|---|---|---|---|
| 2015年 | エアコンの森Plus | 不正アクセス | 不正アクセスによりクレジットカード情報が流出。 |
| 2015年 | BLUE LUG | 不正アクセス | 自転車サイトへの不正アクセスによりクレジットカード情報が流出。 |
| 2015年 | 龍名館 | 不正アクセス | ホテルの代表メールアカウントが、国内のIPアドレスより不正アクセスを受け顧客情報が流出。 |
| 2015年 | 東京ガスオート | 不正アクセス | 顧客情報最大4400件が漏洩した可能性。 |
| 2015年 | サンリオ | 脆弱性 | サンリオのファン向けコミュニティサイト「サンリオタウン(SanrioTown)」の会員に関する個人情報が、インターネット経由で閲覧可能な状態。 |
| 2014年 | ストリーム | 不正アクセス | 同社が運営するウェブサーバーが不正アクセスを受けた痕跡があり「ECカレント」、「イーベスト」、「特価COM」の顧客情報が流出。 |
このような被害にあわないためにも、セキュリティを最大限強めることがおすすめです。
次の章から具体的な施策を紹介します。
HTTPS化
ユーザーのセキュリティ向上のために必須なのが、HTTPS化です。
HTTPSはアドレスバーの表示に表示され、確認することができます。
弊社のサイトもHTTPS化にしており、アドレスバーに「https」と表示されています。
HTTPSにすることにより、個人情報を入力するフォームで第三者によるデータの盗聴やなりすまし、改ざんなどを防止することができるのがメリットです。
他にもHTTPS化にすることでこのようなメリットがあります。
通信を傍受の防止
最近では、日本を訪れる外国人も増加しており、駅・空港飲食店・カフェ・などで公衆無線LANが利用できる場所が増えました。
しかし、公衆無線LANはセキュリティレベルが低いので、第三者により通信を傍受される可能性があります。
第三者に通信を傍受された状態で、名前・住所・パスワード・クレジットカード番号などを入力すると、そのような情報が全て筒抜けの状態です。
WebサイトをHTTPSにすることで、通信が暗号になり、仮に情報が流失した場合でも情報の解析が難しくなっており、個人情報が流失する可能性が低くなります。
なりすまし防止
第三者が企業になりましてWebサイトを運営することがあります。
最近の事例をあげると、Binanceという仮想通貨の取引所を装った詐欺サイトが第三者によって運営され、被害にあう人がでました。
このような被害を防ぐためにもHTTPSが役に立ちます。
SSL認証局が、サイト運営企業に対して審査をおこない、企業の実在を証明したうえでSSLサーバ証明書を発行する「企業認証SSL」をWebサイトに導入することで、詐欺サイトや不正サイトへユーザーが流れることを防止できます。
また、大手サイトがHTTPS化することを一般的にすることで、ユーザーはHTTPS化していないサイトへ不信感を持つようになり、不正サイトによる犯罪を未然に防げるのがメリットです。
SEOに有利
Googleの公式発表された内容にHTTPSを評価対象にする旨がありました。
ただし、HTTPは付随的な評価になり、主な評価対象は以下の3つです。
・リンク・・内部または外部からの被リンク数、ドメインパワーの強いサイトから被リンクを受けると評価が上がる
・コンテンツ・・コンテンツの内容によって評価する。ユーザーに役立つ情報、文字数、キーワードの数によって評価が変わる
・専門性・・専門生の高いサイトを評価する
通信速度の向上
HTTPSにすることでWebサイトが表示されるスピードが速くなります。
表示スピードは、セキュリティに関係ありませんが、閲覧者を増やすために重要な課題です。
Webサイトの表示スピードが1秒遅いだけで離脱率が20%〜50%ほど高くなります。
たった、1秒違うだけで閲覧者の数が大きく変動します。
「WebサイトのPVを増やしたい」と考えている方にもHTTPS化がおすすめです。
アクセス解析の向上
HTTPSにすることでユーザーがどのサイトから訪れたのかを知ることができます。
WebサイトのPVを増やすためにはこのような情報も必要です。
公式のテーマ・プラグインを使用する
テーマやプライングインを使用することで簡単にWebサイトを作ることができ、便利な機能を搭載することが可能です。
しかし、中にはセキュリティの面で問題のあるテーマやプライングインが存在します。
そのような脆弱性からハッキングされたケースは数え切れません。
なので、できる限り公式のテーマやプライングインを使用するようにしましょう。
公式のテーマやプライングインは、完璧ではありませんが、セキュリティの脆弱性やバグが少ないです。
また、仮に脆弱性やバグがあってもすぐにアップデートされるので、ハッキングされる可能性が低くなります。
非公式のテーマやプライングインは、セキュリティの脆弱性やバグがあってもアップデートされないことが多いです。
そして、そのまま使いづつけるとサイバー攻撃の被害にあってしまいます。
このような事態にならないために、非公式のテーマやプライングインを使用しないようにしましょう。
不要なプラグインは削除する
非公式のテーマやプライングイン使用しないことも大切ですが、それだけでは十分ではありません。
プラグインにセキュリティの脆弱性があり、そこからハッキングされることがあります。
なので、使っていないプラグインがある場合は、そのままにしておくのではなく、必ず削除するようにしましょう。
プラグインを極力少なくすることで、セキュリティ強化に繋がります。
WordPress・テーマ・プラグインは最新バージョンにする
WordPressは世界で最も使用されているCMSです。
そのため、ハッカーから狙われやすいのがデメリットになります。
ハッカーが狙っているのは、テーマ・プラグインに関するセキュリティの脆弱性だけではありません。
WordPress本体の脆弱性も狙っています。
セキュリティの技術は日進月歩で進んでいる状態です。
なので、脆弱性が発見される度にWordPressをバージョンアップして、ハッキングされないための対策をしています。
つまり、最新バージョンのWordPressが一番セキュリティが強く、WordPressのバージョンが古くなれるにつれて、セキュリティが弱くなっています。
新しいバージョンが登場したら、できるだけ速くバージョンアップするようにしましょう。
また、これはWordPress本体に限ったことではなく、テーマ・プラグインにも同じことがあてはまります。
テーマ・プラグインも定期的にバージョンアップされるので、更新できるモノはすぐに更新するようにしましょう。
注意してほしいのが全くバージョンアップのない、テーマ・プラグインです。
このようなテーマ・プラグインは、開発が中止しており、セキュリティの面で問題がある可能性があります。
プラグインの開発元を1度チェックすることがおすすめです。
データベースへのアクセスを防ぐ
バックサイドの機能で絶対にハッキングされてはいけない部分がデータベースです。
データベースがハッキングされてしまうと、コンテンツの内容が改ざんされることや登録しているユーザー情報が盗まれてしまいます。
データーベースのハッキングを防ぐためにセキュリティを強化しなければならないのが、「wp-config.php」のファイルです。
理由は、「wp-config.php」にはデータベースにアクセスするためのアカウント情報が記載されているからです。
アカウント情報がハッカーに知られてしまうと、ハッカーによってデータベースが操作されてしまいます。
なので、このファイルは外部からのアクセスを不可能に設定した上で、パーミッションも厳しく設定することが大切です。
このような手順でパーミッションも厳しく設定します。
1.「wp-config.php」ファイルと同じ階層に「.htaccess」ファイルを作成する
↓
2.「.htaccess」ファイルに以下のコードを記述する
<files wp-config.php>
order allow,deny
deny from all
</files>
このコードを記述することで、外部からのアクセスが不可能になります。
↓
3.「wp-config.php」ファイルのパーミッションを「400」にする
パーミッションの「400」とは、管理者のみが読み取りできる権限を持っています。
パーミッションの基礎
パーミッションの説明でいきなり数字が出てきて驚いた人もいると思います。
ここでは、パーミッションについてもう少し深く説明するので、参考にしてください。
パーミッションの数字はこのようになっています。
・4・・読み込みの権限が与えられている
・2・・ファイルの編集、削除の権限が与えられている
・1・・ファイルを実行する権限が与えられている
全部の権限があるときは「7」になり、全部の権限がないときは「0」になります。
パーミッションには3種類のユーザーが存在します。
・所有者(Owner)・・ファイル、ディレクトリの所有者
・グループ(Group)・・同じシステムを利用するユーザー
・他のユーザ(Other)・・所有者、グループ以外のユーザー
数字の順番にも意味があるので、注意してください。
・左の数字・・所有者の権限を表している
・真ん中の数字・・グループの権限を表している
・右の数字・・他のユーザーの権限を表している
パーミッションの「400」を例に説明すると、このようになります。
・所有者・・読み込みの権限がある
・グループ・・全ての権限がない
・他のユーザー・・全ての権限がない
デフォルトの設定を変更する
ユーザー名をデフォルトのままにしている人も多いのではないでしょうか。
ログインユーザー名にデフォルトの「admin」を使用している場合、必ず名前を変更しましょう。
最低でも以下の3つの項目は変更しておくのがおすすめです。
・user_login
・user_nicename
・display_name
また、ユーザー名だけでなく、テーブルの名前も変更しておきましょう。
デフォルトではテーブル名の前に「wp_」が自動で付いています。
このままだと、ハッキングされやすくなるので、変更するようにしましょう。
管理者アカウントと編集者アカウントつくる
あまり知られていないセキュリティ対策として、管理者アカウントと編集者アカウントを分けて使うことがあげられます。
コンテンツを公開するときなどは、編集者アカウントでおこなうのがおすすめです。
理由は、公開しているコンテンツに作成者のアカウント名が記載されているからです。
(デーマによって違いますが、多くのテーマでこのような仕様になっています。)
こうすることで、管理者アカウント名が外部に漏れることを防ぐことができます。
ハッカーなどの第三者に管理者アカウント名がバレてしまうと、ハッキングするなど悪用される可能性が高くので、注意しましょう。
新しくユーザーを追加する方法はこのようになります。
1.WordPressのサイドメニューにあるユーザークリック
2.「ユーザー名」、「メールアドレス 」を入力した後、権限グループを「編集者」にすれば完了です。
バックアップをとる
WordPress の全てのデータのバックアップを定期的に取ることで、サイバー攻撃されてもバックアップから復旧でき、ゼロから構築する必要がなくなります。
サイバー攻撃後のサイトとバックアップのサイトを比較することで、どのようなところに脆弱性があったのか検証できるのがメリットです。
「BackWPup」というプラグインを使うことで簡単にバックアップをとることができます。
スパムコメント対策をする
サイバー攻撃の1つにスパムコメントを送るという攻撃手段があります。
そのようなスパム攻撃を避けるために使用するプラグインが「Akismet」です。
「Akismet」は、ユーザーからのコメントを通常のコメントとスパムコメントに自動的に振り分けできるプラグインです。
このようなプラグインを利用することでスパムコメントによるサイバー攻撃を防ぐことができます。
最新のWordPressでは、デフォルトでインストールされているので、必ず有効化しておきましょう。
総当たり攻撃に備える
総当たり攻撃をご存知でしょうか。
総当たり攻撃とは、ユーザー名、パスワード、メールアドレスなどログインするために必要となる情報を考えられる組みわせを全て試して、セキュリティを突破する方法です。
例えば、パスワードは、 半角英数字と一部の記号で構成されているのが一般的です。
なので、半角英数字と一部の記号の全ての組み合わせを使って攻撃します。
また、このような総当たり攻撃をするときは、管理者の名前、生年月日などの情報を参考にします。
パスワードを作成するときは、このような情報を含まないようにしましょう。
破られにくいパスワードの作り方は、この記事を参考にしてください。「【あなたのパスワードは大丈夫!?】ハッキングされないパスワードの作り方」
総当たり攻撃に有効な手段は以下の3つです。
・アクセス制限
・アクセスされたログをとる
・複数の方法によるパスワードを設定する
アクセス制限
自分のパソコンだけログインページにアクセスできれば、不正アクセスの被害にあう可能性がなくなります。
「wp-login.php」というファイルは、ログインページのアクセスを設定できます。
なので、このファイルでアクセス制限を設定しましょう。
よりセキュリティを強化するためにも、管理画面にアクセス制限することがおすすめです。
アクセスされたログをとる
サイバー攻撃による被害を未然に防ぐために、アクセスされたログをとることは非常に重要です。
アクセスされたログをとることで、「IPアドレス・ユーザー名・国名」などがわかります。
このような情報がわかることで、以下のような対策ができます。
・「123.123.123.123」からアクセスが異常に多いため、このIPがアクセスできないように制限する
・日本以外の国からのアクセスを制限する
このようにログをとることで、不正アクセスに対する具体的な対策ができます。
「アクセスのログをとるのは難しいそう…」と心配する人も多いと思います。
そのような人におすすめなのが、「Crazy Bone」というプラグインです。
このプラグインを利用することで、「IPアドレス・ユーザー名・国名」を知ることができます。
複数の方法によるパスワードを設定する
総当たり攻撃の対策として、有効なのが色々なパスワードを組み合わせることです。
総当たり攻撃の有効なパスワードを2つ紹介します。
・二段階認証
・画像認証
二段階認証
二段階認証とは、通常のWordPressのログインに加えて、スマートフォンのメールアドレスやSMSに送られくるパスワードを入力することでログインできる仕組みです。
これは、ワンタイムパスワードとも呼ばれており、1回のみ有効となるパスワードになります。
仮に、WordPressに不正ログインされたとしても、もう1つのセキュリティがあるので、安全性が格段に高くなります。
二段階認証の機能は、Googleが提供している「Google Authenticator」というプラグインを使うことですぐに適用できるので、不安に思う人は必ずインストールしてください。
画像認証
画像認証とは、グニャっと曲がった文字を読み取って入力することでログインできる仕組みです。
Googleのサービスにログインするときなど、おそらく皆さんも1度はみたことがあると思います。
ロボット(コンピューター)は、画像内の文字列を認識することはできないので、ロボットによるログインを防ぐことが大きなメリットです。
この機能も「SI CAPTCHA Anti-Spam」というプラグインを導入することで簡単に実装することができます。
両方のセキュリティを実装すれば、かなり安全なります。
しかし、ログインするたびにワンタイムパスワードや画像認証を入力するのは、面倒になるので、どちらか1つにすることがおすすめです。
セキュリティを強化できるおすすめのプラグイン
トータル的にセキュリティを強化できるおすすめのプラグインが「SiteGuard WP」です。
主な機能はこのようになっています。
| ログイン履歴 | アクセスされたIPを確認できる |
|---|---|
| ログインページ変更 | wp-login.phpのURLを変更 |
| 画像認証 | 日本語で入力するため、海外からのログインを防ぐことが可能 |
| ログインロック | ログインを短期間に指定回数間違えると、一定時間ログインすることができなくなる |
| フェールワンス | 正しいパスワードを入力してももう一度入力が求められます。 |
| 更新通知 | 更新ファイルがある場合、管理者宛にメール送信する |
無料で使用でき、このプラグイン1つでセキュリティを強化することが可能です。
ただし、注意するべきなのが、相性の悪いプラグインを同時に使用しないようにしましょう。
相性の悪いプラグインが存在する場合、正しく動作しない可能性があります。
対処方法としては、インストールしているプラグインを全て一時停止させ、順番に動作させて正しく動くか確認することです。
セキュリティ診断を受けよう
「いま運営しているWebサイトはどのくらいセキュリティが強いのだろう…」このような疑問を持つ人もいるのではないでしょうか。そのような悩みを持つ人におすすめなのが、セキュリティ診断です。
手軽に使えるセキュリティ診断サービスを紹介します。
WPScans.com
https://wpscans.com/
使い方はとてもシンプルになり、WordPressのURLを入力して、ボタンをクリックすれば診断が始まります。
独自のアルゴリズムによって脆弱性を発見できるのがメリットです。
アカウント登録することでより快適に利用できます。
Observatory by Mozilla
https://observatory.mozilla.org/
Firefoxというブラウザを開発していることで有名なMozillaが提供しているセキュリティ診断ツールです。
WebサイトのURLを入力して、「Scan Me」をクリックするとA+~F評価してくれます。
ただ、診断するだけでなく、評価対象となるポイントや根拠を知ることができ、改善できるところも教えてくれます。
VirusTotal
https://www.virustotal.com/ja/
ファイルやURLにマルウェアが含まれていないかチェックできるツールです。
日本語に対応しており、英語が苦手な人におすすめ。
まとめ
セキュリティはハッキングの技術は日々進歩しています。
サイバー攻撃の被害にあわないためには、常に新しい情報をキャッチすることが大切です。
大切な情報を流失しないようにしっかりとした対策をとりましょう。