まず実施しておくべきCMSのセキュリティ対策とは！

2018/10/15

ある日突然、ホームページに「変な、おかしな」記事が掲載されたことはありませんか？

今、どのような企業でも、ホームページを持ち会社を紹介するのが普通になってます。

そして、そのホームページを編集するシステムとして、一般的に各社ともCMSを導入しておりますが、

この便利なCMSを使ったサイトが実は、攻撃のターゲットにされ、

ホームページを改ざんしようという危機に晒されていることは、ご存知でしょうか。

このブログでは、大事なホームページを守るために、セキュリティ対策をいくつかご紹介いたします。

世の中には、多岐に渡る色々CMSが存在しますが、どのCMSを使っていても

以下のようなセキュリティ対策を実施しておくことをおすすめ致します。

一般的に数字のみ（例えば、1234）や辞書にある単語（例えば、password）で構成されているパスワードは特定が容易で第3者からリスト攻撃を受けた際に簡単に突破されます。

大文字・小文字･英数字を含む8文字以上のパスワードにするのが推奨されております。

参考に「SplashData – 100 Worst Passwords of 2017 & More Password Freebies」において、2017年にサイバー攻撃に使われることが多かったパスワードトップ100を公開しました。

そのうちのトップ10は次のとおりになります。

もし、使っているパスワードがありましたら、すぐに変更してください！

ITに関する技術は日々進歩しておりますが、どうしても、CMSのセキュリティ対策に関しましては、攻撃側と防御側のいたちごっこになっております。そのため、新しい攻撃に対応したバージョンのプログラムをリリースしたら、なるべく早くバージョンアップをしていくのをおすすめします。

これは結構見逃してしまう場合がありますが、重要となります。

どのログインIDにどの権限を割り振ることがしっかり定義しましょう。また、変更が面倒で、一つの管理者権限を使いまわしにしたりデフォルトの管理者権限を利用したりする場合があるかと思いますが、やめましょう。

＜参考＞

情報処理推進機構IPA

「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」

WordPressは世界で多くの人々に使われているCMSの一つであります。多くの人々に使われているということは、標的になりやすくので、しっかりとしたセキュリティ対策をおすすめします。Wordpressのセキュリティ対策をいくつかご紹介いたします。

CMSのセキュリティ対策でもご紹介しましたが、最新版にアップデートすることが重要であります。

スマートフォンのアプリと同様に、公式に公開されているものは、厳しい審査を経て公開されています。　公式以外で配布されているものは、使わない事をお奨めします。

結構忘れてしまうことが多いですが、ウェブサイト制作時には、問題ないプラグインでも、ウェブサイトを公開した後に、使用していないプラグインの脆弱性が見つかる場合があります。必要ないものをインストールしないのが、セキュリティ対策の基本なので、使用してないプラグインは、削除しましょう

パスワード総当たり攻撃の際に使われることがおおいので、管理者IDでよく使われるadminやrootは、使用を避けてください

様々なセキュリティ対策のプラグインがありますが、代表的なプラグインを

二つ、紹介します。