セキュリティ対策

セキュリティがWebサイトにおいてクリティカルな影響を及ぼすようなケースは実際にはそれほど多くありません。
しかし、Webサイトの成果=成約や購入とするケースは増えてきており、個人情報を入力するフォームやCMSを使った顧客情報管理など、高いセキュリティレベルが求められるWebサイトの構築をご依頼いただく機会は年々増えてきています。
そして、対策をしておかなければ時として企業の存続を揺るがすような事態にも発展しかねないため、安全対策を疎かにすることはできません。

セキュリティが重要視されるポイント

Webサイトを運用する企業様においてセキュリティを特に重要視すべきポイントは、悪意のあるユーザーによって不正にアクセスされては困るページです。
予約フォームの情報が第三者にも送られていたり、ログイン情報が漏れてしまい、個人情報が不正に抜き取られてしまっていたりすることで大きな問題に発展した例は少なくありません。

Webサイトのセキュリティ対策

Webサイトでは、すべてのページでセキュリティを強化しておかなければならないわけではありません。
ポイントをしっかりと押さえて管理しておけば、そう簡単に大事に至ることはないと言えるでしょう。
glowでは、特にクリティカルな影響を及ぼす問題が生じないよう配慮し、セキュリティ対策をしています。
すべての企業様に推奨しているものから、条件に応じてしか対応できないものまでありますので、対策を練る上での参考にしてください。

Webサイトの常時SSL

セキュリティ対策におけるSSLの最も重要な役割は、通信の暗号化です。
通信に割り込み、不正に情報を抜き取ることで、予約フォームなどの情報が第三者に漏れてしまう例は、SSL化されていないWebサイトで多く起きています。
そのためgoogleでは、フォームがあるにもかかわらずSSL化されていないWebサイトに対して警告メッセージを出し、一般ユーザーがアクセスしにくいようにしています。
それくらい、Webサイトの通信をSSL化させることは重要であると判断されています。

glowでは、すべてのWebサイトに対し、フォームのページだけでなく、サイト全体をSSL化させる「常時SSL」を推奨しています。
リニューアルなどのタイミングでSSL化をする際は、リダイレクト処理なども対応しています。

IPアドレスによるログイン制限

Webサイトの管理画面にアクセスするユーザーは、一般的に企業様か、開発者のいずれかであるケースがほとんどです。
そのため、外部のユーザーがアクセスできないようにしてしまえば不正にログインされる可能性はなくなります。
特定のIPアドレスからしかログインできないように制限をかけることで、第三者からのアクセスを制限することが可能になります。

非常に有用な対策ですが、実装するにはいくつか条件があります。
IP制限は非常に安全なセキュリティ対策ですが、固定のIPアドレスを取得している企業様にしか、設定することができません。
また、固定のIPアドレスを取得していても、スマートフォンやデザリングなどで社外からアクセスしなければならない場合も設定ができないのでご注意ください。

WordPressにおけるセキュリティ対策

Webサイトのセキュリティにおいて、「脆弱性」がよく話題となるのがWordPressです。
実際には、ほかに比べてWordPressが特別セキュリティが弱いわけではありません。
しかし、世界的に多くのユーザーが使用している無料のオープンソースであるため、ひと度脆弱性が発覚してしまえば、悪意のあるユーザーからターゲットとされやすくなってしまうため、セキュリティ対策を十分に施しておく必要があります。

こまめにアップデートする

Web技術の進化に伴い、昨日まで安全だったものが今日は脆弱性のあるWebサイトになってしまっていることは少なくありません。
そのため、WordPressではこまめにバージョンアップが行われ、その対策が施されています。
対策がされていない旧バージョンのサイトは不正アクセスのターゲットにされやすくなってしまうため、脆弱性によるバージョンアップがあった際には早めに対応する必要があります。

開発環境の実装

WordPressの本体やプラグインのバージョンアップは時としてWebサイトにクリティカルな影響を及ぼします。
特に多いのは、内容に干渉してプラグインなどが機能しなくなったり、レイアウトが大きく崩れてしまったりする例です。
仮にこういった事態が起こっても公開中のWebサイトに影響を及ぼさないために、glowではWebサイトに必ず開発環境を実装しています。

一度開発側で調査した上で、問題がなければ本番環境に実装する。
この流れによって、万が一バージョンアップで不具合が起きてしまった場合でも公開中のWebサイトの安全性が保たれます。

複雑なパスワードの設定

WordPressでは、時として「ログイン時に打ち込むのが面倒」という理由で分かりやすいパスワードを設定しているケースがあります。
安易なパスワードは第三者から推測されやすく、特に管理者権限を持つアカウントは狙われやすい状況にあります。
そのため、パスワードは必ず複雑で覚えにくい、セキュリティレベル「高」のものを設定しています。

ログインページのURL変更

WordPressのデフォルトログイン画面は、必ずhttps://hogehoge.jp/「wp-admin」というURLになっています。
このURLは変更することも可能です。
不正にアクセスしようとした場合にも「ログインID」「パスワード」に加え「フォームのURL」が特定されなければログインできません。
そのため、IPアドレスの制限がかけられない場合でも、URLを変更することセキュリティレベルを向上させることができます。