CMSの気になるセキュリティーとその対策
![株式会社ケイツー・インタラクティブ [K2-interactive]](https://www.k2-interactive.co.jp/common/images/unit_img/logo.png){kind=logo}
CMSってセキュリティー的にどうなの?
通常の静的HTMLファイルを公開する以上に、CMSツールを使うとWEBサイトが悪意ある攻撃にさらされる可能性が増えます。実際CMSツールを導入する際はどのようなところに気を付ければいいか?また本当に危険なのか?をご紹介します。
ほとんどのCMSの場合、定期的にシステムのバージョンをアップしているので、セキュリティーのリスクを軽減する為に最新版を使うことをお勧めします。CMSツールによってはアップデートが有料になるものもあり、場合によってはアップデートに付随する作業を制作会社に依頼しなければならないこともあります。CMSはセキュリティーを含めた運営計画も導入の前にきちんと検討することをお勧めいたします。
おすすめのCMS運営フローは、CMSはテストサーバーのみで作業して、公開時にテストサーバーから本サーバーへデータをコピーする手法です。その際、テストサーバーにはIP制限をかけ、特定のユーザーしかアクセス出来ないようにします。これをやっておけばかなりの確率でリスクが減ります。
データベースのテーブル名もCMSによっては周知され、書き換えられるリスクがあるので接頭辞を変更し容易にテーブル名を想定できないようにします。
メタタグでどのようなCMSツールを使っているか、バージョンは何なのかを判断できる場合があります。もし外部にわかるような記述があったらすぐに削除するようにしましょう。
CMSによっては様々な機能拡張が出来ます。安易に非公式のプラグイン(拡張機能)を使うのはリスクを増大させることになります。
新規インストールを基本的には出来ないようにしておきます。また投稿画面などでスクリプトの実行が出来ないような対策も必要です。
SSHでアクセス、難しい場合はSFTP または FTPS で接続するようにします。
CMSでどんなに気をつけていても、その土台となるWEBサーバーのセキュリティーが脆弱だと防ぎようがないリスクがあります。WEBサーバーを選定の際もご利用になるCMSと相性がいいか、またCMSに対応したアップデートがなされるかを検証する必要があります。
かんたん更新できるのがCMSの特徴ですが、自由なものには必ずリスクが付きまといます。リスクを軽減する為にまずは導入の段階でしっかりとリスク検討してサーバー及びCMSを選定することが大切です。その上で、日々の運営フローをどのようにすればリスクが軽減できるかを考えていくようにしましょう。
※本情報はページ公開時のものです。情報は常に更新され掲載内容と異なる場合がございます。
