Webサイトを構築するCMSといえばWordPressが有名ですが、種類によってセキュリティリスクが違うことはご存じですか?
使いやすいCMSほどサイバー攻撃に狙われやすく、手軽なCMSの普及と比例してWebサイトのマルウェアの感染事例も増えています。
CMSはセキュリティリスクも考慮して選び、製品に適した対策をとっていくことが大切です。
今回は代表的なCMS製品のセキュリティリスクを比較しながら、狙われやすい製品のセキュリティ強化方法を解説します。これからCMSを選ぶ人も、すでにCMSを稼働している人も参考になる内容ですので、ぜひご覧ください。
1.CMSは種類によってセキュリティリスクが違う
CMS(Contents Management System)は、Webサイトの画像・テキスト・テンプレートなどの情報を一元管理するシステムのことです。CSSやHTMLなどの専門知識がなくてもWebページの作成・更新が可能になるため多くの企業が導入しています。
ただし、「専門知識が不要」という特性から、CMSのセキュリティ知識がないまま運用してサイバー攻撃の標的にされる事例が増えています。CMSは種類によってセキュリティリスクが異なるので注意しましょう。
CMSは以下の3種類に分かれます。
オープンソース型:セキュリティリスク 高
プログラムのソースが公開されているCMS。安価で誰でも利用しやすい反面、もっともサイバー攻撃で狙われやすい。ベンダーのサポートがないため自主的なセキュリティ対策が必要。
パッケージ型:セキュリティリスク 低
ベンダーが独自開発したCMSを自社サーバーにインストールして利用する。ソースが非公開であり、セキュリティ対策もベンダーが対応するため比較的安全性が高い。自社サーバーをもつ中規模以上のサイト向けが主流。
クラウド型(SaaS型):セキュリティリスク 低
ベンダーが独自開発したCMSをインターネット経由で利用する。パッケージ型と同様に、ソースが非公開でベンターがセキュリティを担当するため比較的安全性が高い。サーバー不要のため個人や小規模企業でも運用しやすい。
使い勝手の良いオープンソース型を利用する場合は、しっかりとしたセキュリティ対策が必須と覚えておきましょう。
CMSのセキュリティリスク|種類ごとの危険性・対策を紹介
2.代表的なCMS製品のセキュリティ比較
日本でよく利用される5つのCMS製品のセキュリティリスクを比較してみましょう。
| CMSの種類 | セキュリティリスク | セキュリティ対応 | |
|---|---|---|---|
| オープンソース型 | WordPress | 最も高い | 自社 |
| Drupal | 高い | ||
| パッケージ型 | Movable Type | 低い | ベンダー |
| SiteCore | |||
| クラウド型 | MTCMS Cloud | ||
WordPress(ワードプレス)
WordPressはオープンソース型でプラグインが豊富な上、80%以上のシェア率があるためもっともサイバー攻撃に狙われやすいCMSといわれています。セキュリティ情報も豊富でますが、利用者の自己対応頼りのため脆弱性が出やすいのが特徴です。
→WordPressのセキュリティリスクについて詳しくはこちら
Drupal(ドゥルーパル/ドルーパル)
Drupal もオープンソース型でセキュリティが自己対応のため脆弱になりやすい面があります。日本で知名度が低いこともあり、セキュリティ情報が少なく万全な対策が難しいCMSです。
Movable Type(ムーバブル・タイプ)
Movable Typeはソース非公開のパッケージ型CMSであり、比較的セキュリティリスクは低いでしょう。純国産でベンダーからのサポートが受けられ、セキュリティ対策やトラブル時の対処も任せられるので安心です。
SiteCore(サイトコア)
SiteCoreは顧客データの保護に特化したパッケージ型CMSです。ベンダーがセキュリティの対策と対処を担当し、24時間体制でセキュリティ監視・脆弱性の管理・外部侵入テストを行っています。
MTCMS Cloud
クラウド型CMS のMTCMS Cloudは、プラットフォームであるAmazon Web Serviceの提供元の㈱スカイアークがセキュリティを担当します。専門家に対策を任せられるため安全性は高いでしょう。
このようにセキュリティに力を入れているCMSを選ぶことでリスクは下げられますが、知識を身につけて利用者自身で対策をすれば、より安全性は高まります。使い勝手の良さを優先したい場合にも役立つでしょう。
次章ではCMSのセキュリティを強化する方法をご紹介します。
3.WordPressのセキュリティを強化する方法
もっとも利用者が多いWordPressは、もっとも狙われやすいCMSだといわれています。以下の方法でセキュリティを強化しておきましょう。
→WordPressのセキュリティ対策について詳しくはこちら
プラグインやテーマ、バージョンを最新に保つ
古いプログラムやツールでは新たなマルウェアに対応できません。常に最新のバージョンにしておくことがセキュリティ対策の基本です。
- CMSの自動更新機能を過信せず自らチェックし、確実にアップデートする。
- 不要なテーマやプラグインは削除する。
- PCも同様にOSやアプリケーションを常に最新バージョンに適用する。
利用者が多いWordPressは、プログラムに脆弱性が見つかったその日に攻撃を仕掛ける「ゼロデイ攻撃」が起きた事例もあります。更新通知がきたらすぐに適用しましょう。
複雑なユーザー名やパスワードに設定する
法則性があるユーザー名やパスワードはセキュリティリスクが高いため複雑なものに設定し直します。10桁以上の英数字を組み合わせたものか、自動生成ツールの活用がおすすめです。使用するPCも同様に設定しましょう。
セキュリティ対策がしっかりしたサーバーを選ぶ
レンタルサーバーのセキュリティ対応は提供会社によって大きな差があります。セキュリティ規約をよく確認し、WordPress専用のセキュリティ対策機能があるなど信頼できるサーバーを利用しましょう。
サイトをSSL化する
「サイトのSSL化」とはデータ通信を暗号化し情報漏洩や改ざんを防ぐ方法です。WordPressの場合はレンタルサーバーにSSL化に対応したプラグインをインストールして利用するのが一般的ですが、サーバーによっては無料提供もあるので活用しましょう。
WAFを導入する
WAF(ウェブ・アプリケーション・ファイアーウォール)はファイアーウォールでは防ぎきれない攻撃に備えるセキュリティソフトです。顧客情報や金融情報を扱う場合は確実に入れた方がいいでしょう。
セキュリティ対策用プラグインを導入する
シェア率が高いWordPressにはセキュリティ対策用プラグインがたくさんあります。ログインページ保護に特化したSiteGuard WP Plugin、サイトのSSL化機能があるiThemes Security、スパムメールを防止するAll In One WP Security & Firewallなど、サイトの特性に合わせて導入しましょう。
設定ファイルへの外部アクセスを防ぐ
設定ファイルへの外部アクセスを防ぐのもセキュリティ強化に有効です。以下の設定をしましょう。
- FTPソフトでファイルの属性(パーミッション)を400にする
- wp-config.phpと同じディレクトリにある「.htaccess」ファイルにorder allow,deny deny from all」を追記する
セキュリティ状況を定期的にチェックする
サイバー攻撃の手口は日々巧妙化しており、プログラムの脆弱性が後から見つかることも珍しくありません。WPScans.com、WPdoctorなどの診断サービスや対策用プラグインのWordfence Securityを使って定期的に脆弱性をチェックして対策を見直すことも大切です。
4.CMSのセキュリティ強化は保守サービスがおすすめ
CMSは事業規模や担当者のスキルに適した製品を選ぶ必要もあり、セキュリティばかり重視するわけにはいかないのが現実です。結果的に使い勝手の良いオープンソース型を選ぶ企業も多いでしょう。
かといって、専門知識を学びながら自社でCMSのセキュリティ対策をしていくのは大変なことです。そんなときは保守サービスの利用がおすすめ。手ごろな費用でCMSのセキュリティを丸ごと依頼できます。
例えば、ECマーケティング株式会社の「WordPress丸ごとお任せ(保守)サービス」では月額3万円から以下のようなサービスが受けられます。
- 独自のAIを用いたセキュリティチェック
- 脆弱性のチェック~更新まで半自動化
- WAFと不正アクセス検知による高いセキュリティ対策
- 充実した監視体制による安定稼働
その他、定期的なバックアップや改ざんチェック、トラブル時のデータの復元まで経験豊かなエンジニアが対応してくれるので安心です。
ECマーケティング株式会社「WordPress丸ごとお任せ(保守)サービス」
WordPressのほか、どんなCMSにも柔軟に対応しておりますので詳しくはお問い合わせください。
CMSを選ぶ際に使いやすさや機能はとても大切です。不安なセキュリティを外部に任せられれば、本当に欲しいCMSを選べるようになるでしょう。
5.まとめ
CMSにはオープンソース型、パッケージ型、クラウド型の3種類があり、ソースが公開されているオープンソース型はセキュリティリスクが特に高いといわれています。
中でも、圧倒的なシェアをもつWordPressはサーバー攻撃の標的にされやすいため利用者自身がセキュリティ強化に積極的に取り組まなくてはいけません。
WordPressのセキュリティを強化するには、プラグインやOSの更新、サイトのSSL化、WAFの導入など様々な方法がありますが、専門知識を持った保守サービスを利用するのが安心です。
セキュリティを保守サービスに委ねることで、CMSの選択肢の幅も広がります。ぜひ検討してみてはいかがでしょうか?
自社サイトのセキュリティに不安がある企業でも安心してサイトを運営できるよう、セキュリティ管理のプロが徹底的にサポートします。
当社の保守サービスではバックアップやアップデートの管理からメールサポートでの疑問解消まで、WordPressの運用・管理をあらゆる角度から支援します。
オプションでサーバー保守・障害時の復旧まで承りますので、まずはお問い合わせください。
