CMS の脆弱性とその対策

 2014/01/17(金) 00:00  

当サイトでオススメしているCMS: Joomla! や、WordPress といったオンライン・アプリケーションを利用する個人、企業が大変増えてきました。
それらアプリケーションの多くは、オープン・ソースというカタチで無料で配布されており、誰もがその利便性を享受出来る素晴らしいものであるのですが、同時に危険な側面もあります。

残念ながら、世の中は善人ばかりではありません。
自己のテクニックを試す目的なのか、金銭目当てなのかは知りませんが、いわゆる「ハッカー」と呼ばれる連中が存在しているのです。

オープン・ソースなので、彼らも等しく CMS のソースを簡単に手に入れられます。
そしてそのソースの脆弱性を発見するや否や、注意喚起してくれるだけならば良いのですが、そこを突いて悪さをしてくる輩がいるのです。

Joomla! や WordPress といったツールを使う場合は、セキュリティー対策も含めてウェブサイトの運用を行なっていく必要があります
私は仕事柄、セキュリティー・プログラムで日々監視をしておりますが、ネットを徘徊しているハッキング行為・スパム行為はおそらくあなたの想像以上です。その多くは自動化され、無差別に襲ってきます。

4CRETOR JAPAN では、これらリスクへの対策として、以下の実行をお勧めしています。

  1. 定期的なバックアップ
  2. 最新バージョンのキープ
  3. セキュリティー・プログラムの利用

定期的なバックアップ

ウェブサイトに新しい記事を追加したり、更新したりするタイミングで、それらを行なう前に必ずバックアップをとる習慣を持ちましょう。この習慣を持てば、外部からの攻撃に対する備えはもちろん、自分でページ追加・更新する際に何か誤ってやってしまう不測の事態、いわゆるヒューマン・エラーにも備えることが出来ます。そんなハズじゃなかった、というミスは誰にでも起こりえます。

加えて、1週間に1度くらいのペースで定期バックアップも行ないましょう。もちろんバックアップ頻度が高ければ、それだけ不測の事態が起きた時への対処が良くなります。

最新バージョンのキープ

現在の Joomla! は、管理コントロールパネルへアクセスすると、バージョンアップを促す通知が出るようになっています。
しかし、全部のエクステンションがこの機能に対応しているわけではありませんので、もし外部エクステンションを利用しているならば、やはり定期的に最新バージョンが出ていないか、チェックをする必要があります( 外部エクステンションがセキュリティー・ホールとなってしまう例があります)。

バージョンアップの通知に対応している、Joomla! 本体やエクステンションは、数回クリックするだけでバージョンアップが完了する仕組みがありますが、もしオリジナル・ソースに何らか手を加えている場合は、バージョンアップする際、ソースが上書きされてしまいますので、手動で行なわなければダメなケースもあります( サイト構築時にソース変更箇所をメモるのは必須です!)。

また、バージョンアップを行なう前には、出来るだけ各デベロッパーのウェブサイトへアクセスし、どんな変更が行なわれたかを事前に確認すると良いです。まれにバージョンアップを行なった後に不具合が出る場合もありますので、バージョンアップは慎重に行ないましょう。特に新機能が追加された場合は、その影響で過去から備わっている機能に問題(バグ)が出ることが稀にあるのです。

セキュリティー・プログラムの利用

日々プログラムを利用している立場から言えば、セキュリティー・プログラムの導入は必須です。
ドメインもサイトも新しいうちは大丈夫ですが、数ヶ月ウェブサイトを運用すれば、あなたのウェブサイトは検索サイトだけでなくハッカーのクローラーにも情報収集されリストされます。無差別攻撃に堪えうるよう防御しておかなくては、せっかく公開したウェブサイトに支障が出るばかりでなく、閲覧者の信用を落とすことにもなりかねません。

随分昔の話になりますが、まだ私が未熟だった頃、いつものように自分のウェブサイトにアクセスしたらページが真っ白で何も表示されない、という事件がありました。ハッキングされ、データが抹消されてしまったのです。
幸い、契約しているホスティング会社が定期バックアップをとってくれるところだったので、見事復活しましたが、そのとき得た教訓は忘れません。

サーバーの PHP 基本設定(php.ini)など、セキュリティーを高める方策をその時かなり勉強しました。


CMS を導入したらバージョンアップは必須!

このところの Joomla! の進化スピードは速まっており、機能アップとセキュリティー対策でバージョンアップが頻繁に行なわれています。メジャー・アップデートが行なわれ、過去のバージョンはサポートされない「End of Life」に指定されたバージョンがいくつかありますので、それらを使うことは自らウェブサイトを危険にさらすことになります(Joomla! 1.5 はもう使ってはダメですよー)。

CMS を導入するということは、バージョンアップに追随していかなくてはならない運命にあるのです。CMS は大変メリットの多い選択ですが、デメリットもしっかりと認識した上で利用しましょう。


SSL もお忘れなく...

問い合わせフォーム等、閲覧者の個人情報を入力させるページを持つウェブサイトには、SSL も必須です。プライバシー・ポリシーに「顧客情報を守る」旨の記載があるのに SSL を入れていないおかしなサイトが多過ぎます。

個人情報が流出してから SSL の導入を考えても手遅れです。


4CREATOR JAPAN でウェブサイト制作をされたクライアント様には、安心の「マンスリーサポート」をご提供させて頂いております(有料)。
初めてのご利用ですか? ご登録はこちら!

ログイン