本当のところ、セキュリティってどうなの?

そろそろ梅雨入りしそうな雰囲気!
バイク通勤の私にはちょっと辛い季節です。
こんにちは、コウジです。

今回はホームページのセキュリティについてのお話。
昨今、不正アクセスが急増してセキュリティに対するニーズがとても上がっています。
人気であるがゆえにWordPressなどの利用者数が多いCMSは特に狙われます。
自分だけの被害なら良いのですが、多くはホームページを見に来た人が被害にあいます。
しっかりとしたセキュリティの知識を身につけて身を守りましょう。

不正アクセスの手段

その手段は様々ですが、何らかの形でパスワードを取得し、不正なコードを埋め込むのが常套手段です。
埋め込まれたコードは暗号化されていることも多く、解読することが困難です。
バックドア系もあったりして一度侵入されるとコードを削除しない限りパスワードを変更したとしても意味がない場合もあります。
また改ざんに気付かれて修正されても自動で修復できるようにコードを様々な場所に分散していたりでとても手口は巧妙です。
※バックドアとはバイパスのようなもので、攻撃者が自由に出入りできるように作るセキュリティホールのことです。

規模なんて関係ない

また質が悪いことに、ホームページの規模に関わらず攻撃はされます。
というか、無差別な場合がほとんどなんですよね。
特定のバージョンや対象のプラグインなどがあれば無条件に攻撃してって作業を自動で繰り返しています。

パスワードなんておまけ

弊社は不正アクセスなんて出来ても絶対にしませんが、やろうと思えば簡単にログイン試行のプログラムは作れます。
4桁のパスワードなら数分、8桁の単純なパスワードなら数十分、8桁の複雑なパスワードでも根気よくあたれば突破できます。
やりませんけどね!パスワードなんて言ってしまえばそんなものなのです。
弊社では最低でも12文字以上の英字(大文字・小文字)・数字・記号のランダムで生成されたパスワードを使用しています。
それでも脆弱性が原因で不正アクセスされる場合は簡単に突破されるときはされますし、それをあてにはしていけません。

じゃあどうすれば良い?

アクセス制限

ユーザーが触れる必要のないファイルやフォルダは制限します。
また、とても有効なのが海外からのアクセスを遮断することです。
日本国内からより海外からの攻撃の方が断然多いので、フロント側は制限しなくとも管理画面などの階層を海外から制限することは有効的です。

認証方法の工夫

攻撃は基本的にプログラムで自動で行われています。
なので、認証方法にイレギュラーな動作を入れることで単純な攻撃は回避できます。
画像認証や2段階認証、また、認証回数の制限など低レベルな攻撃から有効的にホームページを守れます。

アップデートを欠かさない

本格的な不正アクセスの脅威から身を守る為に脆弱性の修正が非常に大切です。
脆弱性が原因で不正アクセスされる場合は対策をしっかり行っていても突破されます。
致命的なバグが発見された場合は速やかにアップデートが基本です。

100%の安全なんてありません

基本的に100%のセキュリティはまずありえないと考えて下さい。
どんなに対策してても、どんなに気を付けていても、これだけやったから100%安全です。なんて絶対ありません。

バックアップをとりましょう

守ることと同じくらい重要なのはバックアップを取ること。
不正アクセスにあった場合には被害を拡大させない為に原因であるプログラムを修正しなければいけませんが、バックアップが存在すれば容易にロールバックが可能です。
直近のデータがない場合は最悪1から構築する羽目になります。

ホームページを放置していませんか?
自分は大丈夫だと思わずに、きちんと対策を行いましょう。