ウェブサイトを運営する上でセキュリティー対策は必須です。
このため私達が制作させて頂くウェブサイト(CMS)は、サイト規模の大小に関わらずセキュリティーシステムの導入は必須とさせて頂いております。
.htaccess による挙動制御
セキュリティーの説明をする上で、専門的な用語は避けられません。
ここではウェブサイトのデータを格納しているサーバには、基本的なサーバの挙動を制御する .htaccess ファイルというものがある、という事をまず知って下さい。
この .htaccess は、サーバの挙動を制御するだけでなく、セキュリティーの観点からも重要な役割を担わせることができますが、これを適切に記述するのは少し大変です。
4CREATOR JAPAN 推奨のセキュリティー・システムには、この .htaccess に正確な記述を行うためのツールがあり、セキュリティー的な初期設定は万全となります。この記述項目は専門的で多岐にわたり、詳細な情報開示はセキュリティー上好ましくないため、説明を割愛しますが、概要として以下を達成します。
| ファイルの改ざん防止 | 第三者の、ファイルへの直接アクセスをブロック、ファイル改ざんを防止します。 |
|---|---|
| 既知の攻撃をプロテクト | インジェクション攻撃やPHPのイースターエッグ、クリックジャッキング、クロスサイトスクリプティング (XSS)、SVGスクリプト実行の無効化といった、既知の攻撃からウェブサイトを保護します。 |
| CMS プロテクト | フロントエンド(公開側)およびバックエンド(管理コントロールパネル)の保護機能。 |
| 例外規定 | サイト管理運営上、アクセスが必要なディレクトリやファイル・タイプを限定。 |
ファイヤーウォール
本セキュリティー・システムには、不正なアクセスを防ぐファイヤーウォール機能が備わっており、以下のようなシールド(防護壁)を持っています。
| SQLiShield | 一般的なSQLインジェクション攻撃を検出し、ブロックします。 |
|---|---|
| MUAShield | 悪意あるPHPコードをウェブブラウザを介して送信し、ウェブサイトを制御する攻撃を検出し、ブロックします。 |
| RFIShield | リモートURLからPHPコードを脆弱なエクステンションに読み込ませようとする攻撃を検出し、ブロックします。 |
| PHPShield | ハッカーが、PHPストリームワッパーと呼ばれる手法でサイト内ファイルを密かに操作するリクエストを検出し、ブロックします。 |
| UploadShield | ウェブサイト内からアップされるファイルをスキャンし、実行コードを含むファイルをブロックします。 |
| SessionShield | ユーザのセッション復元時を利用して悪意あるコードを実行させる攻撃を検出、ブロックします。 |
Project Honeypot
Project Honeypot は、スパム行為を行なっている IPアドレスを取得し、情報提供を行なうプロジェクトです。本セキュリティー・システムは、この Project Honeypot からの情報を活用し、不正行為を行うIPアドレスからのアクセスからウェブサイトから遠ざけます。
ブラックリスト
本システムによって検出された不正アクセスは、ブラックリストに登録されます。
ブラックリストに登録されたIPアドレスからは、ウェブサイトへのアクセスが遮断されます。
ブラックリストへの登録をはじめ、システムは種々の通知を管理者に届けるので、管理者はタイムリーに検出の事実を把握し、対応することが可能です。
上記は、セキュリティーシステムの一部をご紹介したにすぎません。これ以外にも種々のきめ細やかな不正防止策があります。
