WordPressサイトのセキュリティとAI技術を用いた次世代セキュリティの導入について

mixhostでは、お客様のWebサイトを安全に保護する為、AI技術を活用した次世代のセキュリティ機能を導入いたしました。
このセキュリティ機能は、全てのお客様に標準・無料でご提供いたします。

現在mixhostをご利用中のお客様の環境につきましては、すでに新しいセキュリティ機能が有効化されています。

近年、WordPressサイトの改ざん被害が急増している為、注意勧告も兼ねて情報を公開させていただきます。

セキュリティの重要性について

毎月世界中のWebサイトの1%〜5%が改ざん及び乗っ取られ、一般的にSPAMメールの送信やDDoS攻撃などの踏み台として悪用されていることをご存知でしょうか。
近年サイトに対する攻撃が急増しており、決して他人事ではないのが現状です。
また、ECサイトなど機密情報を扱うWebサイトの場合、データの損失や漏えいなど深刻なリスクに晒されることもあります。

WordPressサイトのセキュリティについて

改ざん被害にあうサイトの中でも、特にWordPressサイトが被害にあうケースが多く、大半は古いバージョンのWordPressでの運用や、脆弱性のあるプラグインやテーマの使用、また簡単なパスワードによる管理画面へのアクセスによるものです。
全世界で運営されているWordPressサイトの約半分にセキュリティリスクが存在するとの調査結果もあるほど、WordPressサイトのセキュリティは深刻な問題です。

WordPressはプラグインで簡単に機能追加が実現できたり、あるいはテーマで簡単に見た目をカスタマイズできることが大きな特徴ですが、様々なプラグインやテーマにおいて、日々様々な脆弱性が発見され続けており、様々なセキュリティ上のリスクが存在するのが現状です。

mixhostの対応について

WordPressサイトのセキュリティにつきましては、Webサイトの管理者様におきまして、最新バージョンのWordPressの使用や、脆弱性のあるプラグインやテーマなどを使用しない、複雑なユーザー名やパスワードを使用するなどといった、基本的な対策を実施していただくことが必要不可欠です。

弊社のお客様でもWordPressサイトが改ざん被害にあうケースが多く、その一環として、弊社ではサイトを元の状態に復元できるよう、無料のバックアップ機能の期間を過去30日間に延長し、対応を行っておりました。

これにより、万が一改ざんされた場合でも元の状態に復元できるなど、一定の効果はありましたが、バックアップ機能の充実は改ざん問題の根本的な解決とはなっておらず、お客様のWebサイトを保護する為、弊社においても何らかの対策を実施する必要がありました。

AI技術を活用した次世代型セキュリティのご提供について

お客様のWebサイトを攻撃から保護する為、弊社においては従来からご提供しておりますWAF(ウェブ・アプリケーション・ファイアウォール)に加え、AI技術を用いた次世代のIPS/IDS(不正侵入検知・防御システム)を導入いたしました。
お客様のWebサイトに対しての攻撃が検知されると、自動的にファイアウォールにより接続を遮断することにより、被害の発生を未然に防ぐことが可能となっております。

レンタルサーバー専用に開発されたこのファイアウォールにより、世界規模で新しい攻撃に対する膨大な情報を収集することにより、最新の攻撃からも継続的に保護することが可能となり、分散ブルートフォース攻撃などセキュリティ上の脅威から強力に保護いたします。

マルウェアへの対策について

万が一お客様のWebサイトが改ざんされ、マルウェアがWebサイトに設置された場合も、自動的にマルウェアを検出し隔離する機能もご提供いたします。

旧バージョンのPHPのセキュリティについて

サポートが終了した古いバージョンのPHPについては、セキュリティホールが存在する為、利用しないようにすることが一般的です。
しかしながら、以前に作成されたPHPプログラムなどで、最新のバージョンのPHPで動作しない為、止むを得ず古いバージョンのPHPで動作させるケースも存在すると思われます。

そこで、弊社でご提供中の全てのPHPバージョンにおきまして、サポートが終了したものであってもセキュリティパッチを適用し、セキュリティホールが塞がれた安全なものをご提供しております。

お客様での対応について

弊社でも様々なセキュリティ機能をご提供しておりますが、これらはWebサイトの安全を保証するものではなく、セキュリティに問題を抱えるWebサイトを可能な限り保護するためのものです。
最も重要な対策は、お客様におきましてもセキュリティ対策を行っていただくことです。

以下は一般的な事項になりますが、最低限のセキュリティを確保するために必要な内容となっておりますので、ぜひご参考にしていただければと思います。

WordPressは常に最新バージョンを使用する

古いバージョンのWordPressには脆弱性が存在する場合があります。
理由を問わず常に最新のWordPressを使用することは最も重要なセキュリティ対策です。

プラグインは常に最新バージョンを使用する

プラグインについても日々新しい脆弱性が発見されています。
更新により脆弱性が修正されている場合も多くありますので、必ず最新バージョンをご利用ください。

また、長期間に渡ってメンテナンスされていないプラグインの使用は、セキュリティホールが放置されている可能性もある為、推奨することはできません。

不要なプラグインは削除する

プラグインを無効にしているだけでは、外部からの攻撃のターゲットとなってしまう場合があります。
使用しないプラグインは、必ず削除することをお勧めいたします。

テーマは常に最新バージョンを使用する

テーマの脆弱性により、WordPressサイトが改ざんされるケースもございます。
常に最新バージョンを使用することにより、セキュリティホールが修正されている場合もございますので、可能な限り最新バージョンを利用することをお勧めいたします。

なお、長年更新されていないテーマについては、プラグインと同様に使用をお勧めすることはできません。

簡単なユーザー名/パスワードを使用しない

古典的な攻撃ではありますが、WordPressに対するブルートフォースアタック(総当たり攻撃)は非常に多いのが現状です。

「admin」や「サイト名」などの一般的なユーザー名は攻撃に対するリスクが高い為、サイトには関係ないユーザー名を設定することをおすすめいたします。

また、パスワードについても一般的な単語や、他のサイトと共通のパスワードを使用することはせず、大文字、小文字、記号、数字などを含む複雑なものを設定することをおすすめいたします。

Jetpackのプロテクトを有効化する

Jetpackを使用している場合は、非常に簡単に導入でき、ブルートフォースアタックからの保護に対しても非常に有効ですので、プロテクトを必ず有効化することをおすすめします。

セキュリティプラグインを導入する

SiteGuard WP Pluginなどのセキュリティプラグインの導入も、簡単にセキュリティを強化できる為おすすめです。