KNOWLEDGE K2@WEB相談室
『CMSの気になるセキュリティー対策』について紹介
『CMSの気になるセキュリティー対策』について紹介
WEBスタートアップ は初期費用を抑えてWEBサイト運営に注力したい方向けWEBサイト入門パッケージです。WEBサイト運営の方法がよくわからない、一緒に戦略を考えてくれるブレーンがいないなどお悩みのWEB担当者にもおすすめのサービスです。
通常のホームページは静的なHTMLファイルで作られています。これはアクセスするユーザーによって変更されることが無いテキスト情報(画像/cssへのリンク含む)のみを持ったファイルです。
一方、CMSツールを使ったホームページは、データベースからプログラムによってテキスト・画像情報が取り出され、ブラウザの表示が変わる『動的なホームページ』が多いです。この動的なホームページは通常のホームページよりも運営面でセキュリティに気をつけなければならないことがあります。
このような動的ホームページは悪意あるユーザーにシステムに入り込まれ操作されてしまうと、ホームページがかんたんに書き換えられてしまいます。結果、意図しない情報を表示されてしまったり、悪質なプログラムを埋め込まれ、ユーザー(お客さま)に多大な迷惑をかけてしまうこともあります。
もしCMSツールを導入するノウハウがなくてもご安心ください。ホームページ制作の発注をご検討の際は、私たちが最適なプランをご案内いたします。詳しくは『CMS導入支援』をご覧ください。
ほとんどのCMSツールの場合、定期的にシステムのバージョンをアップが行われています。バージョンアップされたCMSツールはセキュリティーが強化されます。セキュリティーのリスクを軽減する為にもつねに最新版のCMSツールを使うことをお勧めします。
CMSツールによってはアップデートが有料になるものもあり、場合によってはアップデートに付随する作業をWEB制作会社に依頼しなければならないこともあります。CMSはセキュリティーを含めたホームページ運営計画もCMSツール導入の前にきちんと検討することをお勧めいたします。
CMSツールを用いたホームページ運営フローでおすすめしたい手法をご紹介します。
CMSツールはテストサーバーのみで利用して、公開時にテストサーバーから本サーバーへデータをコピーする手法です。その際、テストサーバーにはIP制限をかけ、特定のユーザーしかアクセスできないようにします。この手法でCMSを運用すれば、かなりのりセキュリティリスクが軽減できます。
しかしながら、この手法は WordPress や Joomla! などに代表される動的ホームページを構築するCMSツールでは使えません。Mobable Type など、静的ホームページを構築するCMSツールに有効な手段です。
CMSツールのセキュリティ管理で最も気をつけなけたいのはアカウント情報の管理です。アカウント情報とはCMSツールのシステムにログインするためのIDやPWのことです。
以外かもしれませんが、このアカウント情報が洩れて悪意あるユーザーにシステムを乗っ取られるケースは少なくありません。
データベースのテーブル名もCMSツールによっては周知され、書き換えられるリスクがあるので接頭辞を変更し容易にテーブル名を想定できないようにします。
メタタグでどのようなCMSツールを使っているか、バージョンは何なのかを判断できる場合があります。もし外部にわかるような記述があったらすぐに削除するようにしましょう。
CMSツールによっては様々な機能拡張ができます。安易に非公式のプラグイン(拡張機能)を使うのはリスクを増大させることになります。
新規インストールを基本的にはできないようにしておきます。また投稿画面などでスクリプトの実行ができないような対策も必要です。
SSHでアクセス、難しい場合はSFTP または FTPS で接続するようにします。
もしCMSツールを導入するノウハウがなくてもご安心ください。ホームページ制作の発注をご検討の際は、私たちが最適なプランをご案内いたします。詳しくは『CMS導入支援』をご覧ください。
かんたん更新できるのがCMSツールの特徴ですが、自由なものには必ずリスクが付きまといます。セキュリティーリスクを軽減する為にまずはCMSツール導入の段階でしっかりとセキュリティーリスク検討してサーバー及びCMSツールを選定することが大切です。
最低限のリスクヘッジをしつつも、日々の運営フローをどのように心がければさらにリスク軽減できるかを考えていくようにしましょう。
CMSツールでどんなに気をつけていても、その土台となるWEBサーバーのセキュリティーが脆弱だと防ぎようがないリスクがあります。WEBサーバーを選定の際もご利用になるCMSツールと相性がいいか、またCMSツールに対応したアップデートがなされるかを検証する必要があります。
ご不明な点、ご相談はいつでもお気軽にお問い合わせください。
※本情報はページ公開時のものです。情報は常に更新され掲載内容と異なる場合がございます。
WEBスタートアップ は初期費用を抑えてWEBサイト運営に注力したい方向けWEBサイト入門パッケージです。WEBサイト運営の方法がよくわからない、一緒に戦略を考えてくれるブレーンがいないなどお悩みのWEB担当者にもおすすめのサービスです。
是非、私たちにお悩みご相談ください!
創業から16年の営業活動で得たノウハウを基に、WEBサイトの戦略・制作・運用を三位一体として仕組化することで、お客様のコミュニケーション課題を解決いたします。