運営サイトのセキュリティ対策

サイバー攻撃や不正アクセスが日常的に発生している今、ホームページのセキュリティ対策は必須です。
ウイルスによってお客様のPCが“踏み台”にされ、外部に不正プログラムを拡散してしまうと、
訴訟や損害賠償といった重大なトラブルに発展する可能性もあります。
まずは大切な運用サイトを守る第一歩として、代表的なサイバー攻撃の種類をご紹介いたします。

ブルートフォースアタック

ログイン時のパスワードを破るために、あり得るすべての文字列を機械的に試すサイバー攻撃です。（パスワード総当たり攻撃）
サイト内に不正プログラムを設置される被害も出ています。

DDoS攻撃（ディードス攻撃）

複数のコンピューターからメールや掲示板へのコメント等で大量のアクセスを送りつけて
サービスを妨害するサイバー攻撃です。

マルウェア（ランサムウェア）

電子メールやSNS、不正サイト、各種添付ファイル等からコンピュータに感染し、データを暗号化して使えなくし、
その復元の対価として金銭を要求するコンピュータ・ウイルス（不正プログラム）です。

フィッシング（なりすまし）

実在する企業を偽装しメールやSMS、サイト内のバナーリンクなどからアクセスさせ、個人情報を騙し取る攻撃です。
国や官庁、金融機関、有名ECサイトなどを偽装したものが多く見られます。

AI技術の進化に伴い、サイバー攻撃はますます多様化・巧妙化しています。
ご紹介した攻撃以外にも、さまざまな手口が存在します。
そこで、御社のホームページや通販サイトを守るために、当社がご提供するセキュリティ対策をご紹介いたします。

ご提案内容

ご利用中のホームページに対して、国外からの不審なアクセスを制限し、第三者による不正ログインを防止するなど、セキュリティを強化するための対策をご提案いたします。
これにより、サイバー攻撃のリスクを軽減し、安心してウェブサイトを運用いただけます。

まず行って頂きたい事

〇 お使いのPC端末のOSの最新化（Windowsのアップデート等）
〇 端末へのウィルスソフトの導入
〇 メールやSNSの添付ファイルを安易に開いたり、本文中のURLをクリックをしない
〇 不要な海外サイトへのアクセスの制限
※場合によっては事務所内のセキュリティ対策のためのUTMの導入やサイバー保険などもご検討ください。

サーバー側の対策

①不正アクセス検知
WAF（ウェブアプリケーションファイアウォール）といい、有害な可能性のあるアクセスを検知する機能です。
設定により不正アクセスを検知することができるようになります。

②ファイル読み込み制限
データベース（php.ini）の個別設定を行うことで、不要な外部ファイルの読みこみや実行を制限します。

③サイト内データ暗号化
SSL通信といい、インターネット上でのブラウザとサーバ間でデータを暗号化して送受信する仕組み。
第三者に情報を盗聴されたとしても、内容を解読することが出来なくなり、個人情報の流出や改ざんなどの深刻な事態を回避できます。
SSL通信により、個人情報やクレジットカード情報などの重要なデータを安全にやり取りすることができます。
SSL化サイトのURLは「http」から「https」に移行します。
安全であるという意味のsecure（セキュア）の頭文字です。

④国外アクセス制限
国外IPアドレスからのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防ぎ、
WordPressサイトのセキュリティを向上させることができます。

⑤ログイン試行回数制限
短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限する機能です。
パスワード総当り(ブルートフォースアタック)による不正アクセスを防止することが出来ます。
アクセス制限は、制限されてから24時間後に解除されます。

⑥コメント制限
・大量コメント・トラックバック制限
コメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限します。
制限は、6時間が経過した後、自動的に解除されます。
・国外IPアドレスからのコメント・トラックバック制限
国外IPアドレスからのコメント投稿、またはトラックバックを制限します。

サイト運営側の対策

①サイト内データ暗号化
SSL通信といい、インターネット上でのブラウザとサーバ間でデータを暗号化して送受信する仕組み。第三者に情報を盗聴されたとしても、内容を解読することが出来なくなり、個人情報の流出や改ざんなどの深刻な事態を回避できます。

②ログイン試行回数制限
短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限する機能です。

③ログインページURL変更
WordPressの管理画面への入り口となるログインページのURLを変更し、ページにたどり着きにくくします。

④ログイン履歴の記録
ログインの履歴が閲覧でき、怪しい履歴がないか確認できます。

⑤ログインページの文字認証
WordPressへのログイン時に、ひらがな等の認証を追加することで、ロボットによる機械的なログイン試行を制限します。

⑥ログインアラートの送信
ログインすると管理者にメール通知が届きます。意図してないタイミングでの不正ログインを把握することができます。

サーバー側とサイト側、両方から対策をする事により、サイトを守れる確率が上がります。

1回きりプラン

オプション

おすすめ安心プラン

[注意事項]
不測の事態に備え、ホームページのバックアップを事前に取得し、使用しているソフトウェアをすべて最新の状態に更新いたします。
ただし、運用中のWordPressサイトの構成や使用テーマ、サーバー環境との互換性により、
最新バージョンへの更新が難しい場合には、動作に支障のない範囲でのアップデートを実施いたします。

セキュリティ対策は必要ですか？

はい、必要です。
近年、企業や個人を問わず、ホームページを狙った不正アクセスやサイバー攻撃は増加傾向にあります。
万が一、情報漏えいや改ざんが発生すると、信用の失墜や損害賠償につながる可能性もあります。
被害を未然に防ぐためにも、事前のセキュリティ対策は非常に重要です。

どんな情報が守られるのですか？

ホームページ上のすべてのデータが対象です。
たとえば、お問い合わせフォームから送られる個人情報、会員サイトのログイン情報、ECサイトの購入履歴や顧客データなどが含まれます。
さらに、改ざんによるページの書き換えやウイルス感染の拡散防止も重要な保護対象です。

対策はどのくらいの頻度で見直していますか？

月額プランをご契約の方は、サイトや運用環境に応じて、随時見直し・更新を行っています。
特に、WordPressやプラグイン、サーバーソフトのバージョンアップに合わせて、適切なタイミングでセキュリティ設定を確認・調整しています。
また、万が一脆弱性情報が公開された場合なども、速やかに対応を検討します。

重要事項

これらの対策は不審なアクセスを検知し、被害の予防に役立つ機能を提供するものですが、不正アクセスを100%防止できることを保証するものではありません。
本対策は、Webアプリケーションの脆弱性に対する基本的かつ最低限の予防措置であり、根本的なセキュリティ維持には、常にソフトウェアを最新の状態に保ち、継続的な対応を行うことが不可欠です。

また、WAF（Webアプリケーションファイアウォール）は、厳格なルールに基づいてアクセスを制御するため、ご利用中のWebアプリケーションの動作に影響を及ぼす場合があります。あらかじめご了承ください。

セキュリティ対策をまだ行っていない方はもちろん、すでに対策済みでもご不安がある場合は、ぜひお気軽に弊社までご相談ください。
お客様のサイト環境に応じた最適なご提案をさせていただきます。