Security

セキュリティ対策

ホームページの改ざんや不正アクセスを防ぐための
各種セキュリティ設定を行います

近年、中小企業も含めたホームページをターゲットとしたサイバー攻撃のリスクが深刻化しています。サイトの改ざんやサービスの停止、個人情報の漏洩等、攻撃を受けた際に企業が受ける影響・損害は甚大です。
ハッカーにとってセキュリティ対策をしていないホームページは、サイバー攻撃の格好の標的となることから、企業としてもしっかりした対策をとることが必要となっています。

WPPlusでは、作成するすべてのホームページに対して改ざんや不正アクセスを防ぐための各種セキュリティ設定を行っております。また既存のホームぺージに関しても、Web環境のセキュリティ状態を診断した上で、必要となるセキュリティ対策をご提案しております。

また、WP Plusでは無料のセキュリティ診断も実施しております。自社のセキュリティ対策に不安を感じている皆様、ぜひ一度WP Plusにご相談ください。

Solution

具体的なセキュリティ対策の一例をご紹介いたします。
※ お客様の環境に応じて、追加のセキュリティ対策が必要となるケースもございます

セキュリティ対策の一例

サーバー

ホームページ全体を常時SSL化

サーバーにSSLの設定を行うことにより、ホームページへのアクセスをすべて暗号化します。通信内容(個人情報やCookieも含む)の漏洩や改ざん、なりすましを防ぐ効果があります。

ファイル、フォルダの属性(パーミッション)の変更

サーバ―上のファイル、フォルダに対して適切なへのアクセス権を付与し、不正アクセスを防ぎます。

.htaccessへのアクセス/実行制御の設定追加

悪意のあるスクリプトをサーバー上で実行されることを防ぐために、サーバー上の.htaccessファイルに、利用しないスクリプトの拡張子を追記します。

ファイル転送プロトコルの暗号化(FTP → SFTP)

サーバーへのファイル転送時の通信を暗号化(FTP → SFTP)し、情報漏洩を防ぎます。

WAF(Web Application Firewall)の有効化

Webアプリケーションの脆弱性を狙った攻撃の検知及び攻撃元からの通信を遮断します。

セキュリティ対策の一例

WordPress

管理画面アクセスURLの変更

管理画面ログイン時の2段階認証の導入

ログイン試行回数に応じたロックアウト機能の導入

管理画面への不正ログインリスクを低減させるとともに、管理者用ログイン画面への総当たり攻撃(ブルートフォースアタック)を回避する効果があります。

推測しにくいユーザー名への変更

投稿時に表示される別名(ニックネーム)の設定

管理画面への不正ログインや、ログインユーザー名の漏洩リスクを低減させます。

WordPress のバージョン情報の非表示設定

WordPressのバージョンを非表示設定することにより、該当バージョンに存在する脆弱性への攻撃リスクを低減させます。

コメントスパム対策用設定の投入

大量のスパムコメントによるサーバーへの負荷を回避します。

XML-RPCの無効化

XML-RPC経由による管理画面へのログインや、DDoS攻撃(過剰なアクセスやデータを送付するサイバー攻撃)を回避します。

メールフォームからのスパムメール送信制御

ボットによる問い合わせフォームを利用したスパムメール送信対策として、問い合わせフォームに「人間の操作」か「ボットによる操作」であるかを自動で判断するreCAPTCHAを設定いたします。

WordPressデータ(DB含む)の自動バックアップ

サーバー故障等によるデータ破損等に備え、復旧用データバックアップを定期的に取得します。

未使用プラグイン、テーマの削除

プラグインやテーマの脆弱性をついた攻撃リスクを低減させます。

ファイル改ざん検知機能の設定

ハッキングによるページ、ファイルの改ざんを自動で検知する機能を設定します。