CMSの気になるセキュリティーとその対策/台東区のホームぺージ制作とインバウンド対応支援会社
![株式会社ケイツー・インタラクティブ [K2-interactive]](https://www.k2-interactive.co.jp/common/images/unit_img/logo.png){kind=logo}
私たちは、台東区浅草雷門でホームページ制作・運営代行とインバウンド対応/集客支援をしている会社です。
CMSってセキュリティー的にどうなの?
通常のホームぺージを公開する以上にセキュリティには気をつける必要があります。
通常のWEBサイトは静的なHTMLファイルで作られています。これはアクセスするユーザーによって変更されることが無いテキスト情報(画像/cssへのリンク含む)のみを持ったファイルです。
一方、CMSツールを使ったWEBサイトはユーザーによって表示が変わる動的なWEBサイトとなるケースが多いです。この動的なWEBサイトは通常のWEBサイトよりも運営面でセキュリティに気をつけなければならないことがあります。
ほとんどのCMSツールの場合、定期的にシステムのバージョンをアップが行われています。バージョンアップされたCMSツールはセキュリティーが強化されます。セキュリティーのリスクを軽減する為にもつねに最新版のCMSツールを使うことをお勧めします。
CMSツールによってはアップデートが有料になるものもあり、場合によってはアップデートに付随する作業をWEB制作会社に依頼しなければならないこともあります。CMSはセキュリティーを含めた運営計画も導入の前にきちんと検討することをお勧めいたします。
CMSを用いたWEBサイト運営フローでおすすめしたい手法をご紹介します。
CMSツールはテストサーバーのみで作業して、公開時にテストサーバーから本サーバーへデータをコピーする手法です。その際、テストサーバーにはIP制限をかけ、特定のユーザーしかアクセス出来ないようにします。この手法でCMSを運用すれば、かなりのりセキュリティリスクが軽減できます。
データベースのテーブル名もCMSツールによっては周知され、書き換えられるリスクがあるので接頭辞を変更し容易にテーブル名を想定できないようにします。
メタタグでどのようなCMSツールを使っているか、バージョンは何なのかを判断できる場合があります。もし外部にわかるような記述があったらすぐに削除するようにしましょう。
CMSツールによっては様々な機能拡張が出来ます。安易に非公式のプラグイン(拡張機能)を使うのはリスクを増大させることになります。
新規インストールを基本的には出来ないようにしておきます。また投稿画面などでスクリプトの実行が出来ないような対策も必要です。
SSHでアクセス、難しい場合はSFTP または FTPS で接続するようにします。
CMSツールでどんなに気をつけていても、その土台となるWEBサーバーのセキュリティーが脆弱だと防ぎようがないリスクがあります。WEBサーバーを選定の際もご利用になるCMSツールと相性がいいか、またCMSツールに対応したアップデートがなされるかを検証する必要があります。
かんたん更新できるのがCMSツールの特徴ですが、自由なものには必ずリスクが付きまといます。リスクを軽減する為にまずは導入の段階でしっかりとリスク検討してサーバー及びCMSツールを選定することが大切です。
最低限のリスクヘッジをしつつも、日々の運営フローをどのように心がければさらにリスク軽減できるかを考えていくようにしましょう。
※本情報はページ公開時のものです。情報は常に更新され掲載内容と異なる場合がございます。
