Security
マルウェア感染・脆弱性対策
こんなことでお悩みではありませんか?
ホームページの改ざんや不正アクセスを防ぐためのセキュリティ対策から実際の復旧作業まで、WPPLUSにおまかせください
「診断」、「対策」から「復旧作業」まで、包括的なセキュリティ・脆弱性対応ソリューションを提供いたします
Solution.1
マルウェア感染・脆弱性診断/レポート作成
貴社のWordPress環境を網羅的に調査し、
貴社サイトが抱えるセキュリティリスクを可視化。
詳細なレポートにてご報告いたします。
1.Wordpress本体はもちろん環境全体を診断
WordPress本体の診断はもちろん、テーマ、プラグインも含め、サイト全体に対してのセキュリティ・脆弱性診断を実施いたします。
マルウェア感染診断
サイト全体を網羅的に調査し、マルウェア感染の有無を診断いたします。またマルウェアの感染を検知した場合には、発生事象に応じた対応策をご案内いたします。
WordPress本体、テーマ、
プラグインの脆弱性診断
WordPress本体はもちろん、テーマ、プラグインも含め、現在利用しているバージョンに対しての脆弱性を診断いたします。
サーバー上のフォルダ、
ファイルへのアクセス制御診断
サイトの設定を管理している重要なファイルが、外部からアクセス可能な状態になっていないか、また適切なアクセス制御がなされているかを確認いたします。
不正ログイン、ログイン画面への総当たり攻撃に対する脆弱性の診断
WordPressの管理者ログイン画面に対する、外部からの攻撃を防ぐためのセキュリティ設定が十分であるか、複数の項目にて診断いたします。
メールフォームの脆弱性診断
“入力した情報を抜き取る”、”悪質なサイトへ誘導する”といった、メールフォームを利用した攻撃に対して、有効な対策が取られているかを診断いたします。
レンタルサーバーの設定診断
Webアプリケーションファイアウォール(WAF)や、スパム対策機能等、各レンタルサーバーに用意されているセキュリティ関連の機能が正しく設定されているかを診断いたします
ログインユーザー名、
パスワードの強度診断
推測されにくいログインユーザー名、パスワードになっているか、またログインユーザー名が外部に公開される設定になっていないかを確認いたします。
Webブラウザのセキュリティ設定診断
ユーザーが使用するWebブラウザのセキュリティを強化するための設定(HTTPセキュリティヘッダー)が正しく導入されているかを診断いたします。
ログ解析(Debug.log)
WordPressのエラーログ(Debug.log)の出力内容を解析し、サイトの脆弱性に影響する項目をレポートいたします。
※ 他にも、環境に応じて必要な診断を追加にて実施いたします。
2.詳細な診断レポートを作成
調査結果をわかりやすくまとめた診断レポートを作成。自社のホームページの状況を一目で理解いただけます。
問題のある箇所に関してはその詳細までレポートいたします。
問題のある箇所に関してはその詳細までレポートいたします。
3.具体的な改善アドバイス
さらに、オンライン会議を設定して診断レポートの詳細をご説明いたします。
マルウェア感染の有無やセキュリティリスクの深刻度の説明はもちろん、マルウェアに感染していた場合は、具体的な対応策等についてもご説明いたします。
診断結果についてのご質問も会議内にて回答いたします。
マルウェア感染の有無やセキュリティリスクの深刻度の説明はもちろん、マルウェアに感染していた場合は、具体的な対応策等についてもご説明いたします。
診断結果についてのご質問も会議内にて回答いたします。
マルウェア感染・脆弱性診断サービス
貴社のWordPressサイトをマルウェア感染・脆弱性診断いたします。
Webサイトのセキュリティが心配の皆さま、ぜひお気軽にお申し込みください。
047 – 701 – 5206
【受付時間】9:00 〜 18:00(土日祝日除く)
Solution.2
セキュリティ・脆弱性対策
診断結果を踏まえ、貴社サイトに必要となるセキュリティ・脆弱性対策をご提案。
検証環境におけるテストから、実際のサイトへの設定投入まで一気通貫で対応致します。
ウイルス・マルウェア対策
スパム対応
WAFの導入
不正ログイン対策
# | 対処すべきセキュリティ・脆弱性項目 | 対策案 |
---|---|---|
1 | 使用WordPressバージョンにおける脆弱性 | • 最新版へのアップデート |
2 | 導入しているプラグインの脆弱性 | • 最新版へのアップデート、もしくは代替プラグインへの切り替え |
3 | ウイルス・マルウェア感染 | • ウイルス・マルウェアの除去 |
4 | ホームページ ー 閲覧ユーザー端末間の通信のセキュリティ設定 | • ホームページ全体を常時SSL化 |
5 | サーバ―上のファイル、フォルダへの不正アクセス制御 | • ファイル、フォルダの属性(パーミッション)の変更 • 重要ファイルへのアクセス制限 |
6 | ファイル改ざん検知機能 | • ファイル改ざん検知機能の追加 |
7 | 不正ログインリスク低減、ログイン画面への総当たり攻撃 (ブルートフォースアタック)対策 | • 管理画面アクセスURLの変更 • ユーザー名の変更 • ログイン試行回数に応じたログインロックアウト機能の導入 • 2要素認証やIPアドレス制限の追加 |
8 | クロスサイトスクリプティング(悪質サイトへの誘導)対策 | • WAF (Web Application Firewall)の導入 • HTTPセキュリティヘッダーを追加 • メールフォーム等への入力値を制限するバリデーション処理の追加 • 既存のプログラムへのエスケープ処理の追加 |
9 | ホームページ上の記事に対するスパムコメント対策 | • コメントスパム対策用設定の投入 |
10 | 問い合わせ用メールフォームを利用したスパムメール送信対策 | • スパムメール送信をブロックする仕組みの導入(reCAPTCHA) |
診断からセキュリティ設定までの流れ
診断から脆弱性対策まで
最短1週間で完了させることも可能です
※ サイトの規模により変動します
- お申し込み
下記メールフォームよりお申し込みください
- 事前ヒアリングシートの提出
弊社エンジニアが貴社ホームページのセキュリティ・脆弱性診断を実施いたします。ホームページ自体は稼働させたまま診断を行いますので、ホームページの停止等の心配はございません
- 診断結果レポート
セキュリティ・脆弱性診断評価結果をまとめたレポート作成いたします。レポートでは、診断結果を踏まえた推奨するセキュリティ対策もご案内いたします。
レポートの詳細に関しましては、オンライン会議ツールを使って直接ご説明いたします。 - セキュリティ設計/テスト
診断結果を踏まえ、必要となるセキュリティ設定を洗い出し、テスト環境に検証を行います。
検証時には、お客様にも参加いただき、動作に問題がないかをご確認いただきます。 - 設定の投入
貴社ホームページにセキュリティの設定を投入いたします。
Solution.3
WordPressトラブル対応
実際にハッキング・改ざんの被害を受けたサイトの復旧作業もうけたまわります。
緊急で対応をご希望のお客様もお気軽にご相談ください。
ウイルス・マルウェア除去
スパム攻撃
ページの改ざん
不正ログインによる被害
事例紹介
事例:1
総当たり攻撃により、管理者画面より侵入を許し情報が漏洩
WordPressのログイン画面に対して、パスワードを手当たり次第に入力し、文字列や組み合わせを少しずつ変えながらログインに成功するまで攻撃を繰り返す、“ブルートフォースアタック(総当たり攻撃)”により、管理画面からの侵入を許し、サイトの改ざん、個人情報の漏洩被害が発生。サイト上に表示される”投稿者名”と”ログインユーザー名”が同一であったたこと、パスワードが短かったこと、またその他対策も講じらていなかったため、容易に侵入を許してしまった。
未然に攻撃を防ぐための有効な対策
下記のような対策を複数講じることにより、総当たり攻撃のリスクを低減することが可能です。
- サイト上に表示される”投稿者名”を”ログインユーザー名”以外の名称に変更する
- パスワードを推測しにくい、長めの文字列にて設定する
- 初期設定のログイン画面URL(/wp-login.php)を別のURLに変更する
- ロボットのみが認識できる入力項目(ハニーポット)を設け、入力があった場合は強制的にエラーとする処理を追加する
- スマートフォンに表示されるワンタイムパスワードを必須とする2要素認証を導入する
- ログイン画面にアクセスできるIPアドレスを制限し、社内からのみアクセス可能とする。
事例:2
クロスサイトスクリプティング(XSS)によるユーザー情報の漏洩
クロスサイトスクリプティングとは、Webサイトに悪意のあるスクリプトを挿入することによって、機密データを取得したり、サイトを改ざんしたりする攻撃手法です。
本事例では、訪問者を識別するために使用している“クッキー情報”を抜き取るスクリプトが埋め込まれたことにより、訪問者のアカウント情報が漏洩。攻撃者がこのアカウント情報を利用してサイトに不正ログインしたことにより、サイトに登録されている個人情報の漏洩にまで被害が拡大しました。
本事例では、訪問者を識別するために使用している“クッキー情報”を抜き取るスクリプトが埋め込まれたことにより、訪問者のアカウント情報が漏洩。攻撃者がこのアカウント情報を利用してサイトに不正ログインしたことにより、サイトに登録されている個人情報の漏洩にまで被害が拡大しました。
未然に攻撃を防ぐための有効な対策
下記のような対策を複数講じることにより、総当たり攻撃のリスクを低減することが可能です。
- WordPress及びプラグインを常に最新の状態に保つ
- 通信を全て暗号化(httpsの利用)する
- WAF (Web Application Firewall)を導入する
- HTTPセキュリティヘッダーを追加する
- メールフォーム等の入力値を制限するバリデーション処理を加える
- サイトに表示する情報(出力値)のエスケープ処理を行う (プログラムの中の特殊な記号を「ただの文字」として処理する)
- スマートフォンに表示されるワンタイムパスワードを必須とする2要素認証を導入する
- ログイン画面にアクセスできるIPアドレスを制限し、社内からのみアクセス可能とする。
WordPressトラブル対応 お問い合わせ
「サイトが乗っ取られた」、「Wordpressにログインできない」といった事象でお悩みの皆さま。
まずは下記より診断をお申し込みください。診断内容に応じて、復旧対応をいたします。
047 – 701 – 5206
【受付時間】9:00 〜 18:00(土日祝日除く)
よくあるご質問
- Qどのようなサイトでも診断いただけますか
- Q診断を依頼してからどのくらいで診断結果が届きますか
- Q診断には何が必要となりますか
- Qログインアカウントを貸与することは難しいのですが
- Q診断中にホームページが停止することはありますか
- Qマルウェアに感染しているかを調べてほしい
- Q機密保持契約を結ぶことは可能ですか