皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『Akismet Anti-Spam（以下”Akismet”』というのは随分前から『WordPress』をインストールした際にデフォルトでインストールされるプラグインで、自動的にスパムコメントを振り分けたり、削除したりしてくれるものです。

そして、昨年ご紹介した『SiteGuard』という『セキュリティプラグイン』でもスパムコメントへの対策機能はありますが、この2つは併用した方が良いです。

AkismetとSiteGuardを併用する理由

まず、『Akismet』というプラグインはスパムコメントを『常にスパムフォルダーに振り分ける』か、『最も悪質な種類の広範囲なスパムを自動的に削除』するかを選択でき、どちらかの方法で自動的に対処してくれます。

一方、『SiteGuard』というプラグインは『管理ページアクセス制限』、『ログインページ変更』、『画像認証』、『ログイン詳細エラーメッセージの無効化』、『ログインロック』、『ログインアラート』、『フェールワンス』、『XMLRPC防御』、『更新通知』、『WAFチューニングサポート』の機能があり、スパムコメント以外の管理画面のセキュリティ機能も備えています。

その中の『画像認証』の機能の中に『コメントページ』への対策が設けられています。

この『コメントページ』への『画像認証』は結構効果があり、『ひらがな』の『画像認証』を行う設定にした場合は海外からのスパムコメントに対して非常に有効的でもあります。

ただし、それでも『ひらがな』が理解できてしまう相手に対しては効果がありません。

その場合に効果を発揮してくれるのが『Akismet』というプラグインということになります。

現に、『Akismet』と『SiteGuard』を併用している『WordPressサイト』を見ていましても『Akismet』がブログをスパムから保護した数は結構多くあります。

しかし、『SiteGuard』との併用で『保留中のスパム』はかなり減少させることが期待できますので、併用されることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、ウェブサイトなどへのサイバー攻撃による被害状況をお伝えします。

サイバー攻撃による被害の実態

ウェブサイトなどへのサイバー攻撃による被害の内訳として一番多いのは『情報漏えい』で、実に全体の70%を超える割合となっています。

これは、WordPressなどのCMS（コンテンツ・マネジメント・システム）の脆弱性やそこで使われるプラグインの脆弱性、Webアプリケーションの脆弱性を狙ったものなど、何らかの脆弱性を突かれたものです。

そして、被害状況として一番多い『情報漏えい』の中でも、業種的には『卸売り・小売り』、『情報通信サービスプロバイダ』が50%以上を占めており、個人情報を取り扱うことの多い業種にターゲットが設定されていることが多いようです。

他における被害の状況としては、

・Webの改ざん

・不正アクセス

・スパムメール送信

・不正ファイルの設置

・DDoS攻撃の踏み台

などがあります。

サイバー攻撃への対策

これらのサイバー攻撃への対策として、まずは情報に敏感になることです。

常に最新の情報を収集し、脆弱性があることがわかったら直ぐに対応を行うことが重要になってきます。

また、レンタルサーバにおいても、WAF（ウェブ・アプリケーション・ファイアウォール）などのオプション追加するなど、外部からの攻撃に備えた施策を施しておくことも重要と言えるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の2月、155万以上ものWordPressサイトが改ざん被害にあいました。

参照：WordPressの改ざん被害発生

これらの攻撃を受けてしまうリスクは、どのWordPressサイトにおいても常に存在しています。

WordPressは常に狙われている

ここ最近、この業務改善コンサルティング情報ブログにも狙われた痕跡がありました。

（現状はトルコ、ロシアから。）

とは言っても、ごく一般的なWordPressサイトに対するスキャンではります。

このようなことは、どのWordPressサイトにおいても起きています。

何故か？

攻撃者によって、悪用可能な脆弱性のあるWordPressサイトを常にスキャンしているからです。

WordPressを被害から守るには

WordPressなどのCMS（Content Management System/コンテンツマネジメントシステム）を使っている以上、脆弱性とは恒久的に付き合っていかなければいけません。

システムというのはそういうものでもあります。

そして、常に攻撃対象となってしまうことからは逃れられません。

これらのサイバー攻撃からWordPressサイトを守るには、WordPress本体、プラグイン、どちらも最新バージョンを維持し続けることです。

WordPressなどのアップデート（バージョンアップ）には、機能向上もあればセキュリティ更新もあります。

Windowsのアップデートと同じです。

カスタマイズによってWordPressがアップデートできないサイトの場合は、WAF（Web Application Firewall/ウェブアプリケーションファイアウォール）などを使って保護してください。

不正アクセスをブロックしてくれます。

ただし、これはWordPressがどうしてもアップデートできない状態にある場合の代替案であって、基本は最新を保つことです。

※　完全には守り切れません。

より良い方法としては、どちらも行う（WordPressなどを最新の状態に保ちながらWAFなどでも保護する）ことが望ましいでしょう。

今日は、その原因が判明しましたのでそれをお伝えします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先週ご紹介した共有型レンタルサーバにおける問題の原因が判明しました。

原因はこれです。

WordPressの旧バージョンが狙われた

お客様が契約されている共有型レンタルサーバと同じサーバを契約していた他のユーザーが設置しているWordPressのバージョンがかなり古いバージョンであったため、それに潜在する脆弱性が突かれた、結果サイト内のファイルの改ざんやスパムメールの発信等の機能を備えた不正なファイルが設置されていたことが原因でした。

これによって何らかのスパムメールが配信されてしまい、SPAMHAUSプロジェクトとCBLのデータベースにブラックリスト入りしてしまったものと判明しました。

CBLの説明によると、この感染によって『ボットネット参加している』とされており、昨今急増している『踏み台』にされた可能性があると思われます。

WordPressは常に最新を保て

WordPressなどのCMSは定期的にバージョンアップを行っており、その中には脆弱性に対する修正も当然含まれています。

そのため、ターゲットとならないためには最新の状態を保つことでその確率を減少させることが必要となるのです。

もちろん、これらの本体プログラムのバージョンアップだけではなく、プラグインもそれに伴ってバージョンアップが行われますので、どちらも最新を保たなければいけません。

バージョンアップが困難なもの

しかし、中にはバージョンアップをするのが困難なものもあります。

困難と言っても、できないわけではありません。

カスタマイズの仕方によってはバージョンアップをすることで表示が崩れてしまうものや、プラグインとの兼ね合いで表示が崩れてしまうといったものもあり、それらを改修するにはコストが少々高額になってしまうケースがあります。

そういった意味で簡単にはバージョンアップできないものもあるということです。

このような場合、レンタルサーバのオプションなどでWAF（ウェブ・アプリケーション・ファイアウォール）が使えるのであればそれを利用するのも1つの手です。

ただし、これは簡単にバージョンアップできないような、やむを得ない場合に限っての措置と考えた方が良いでしょう。

WAFが設置されていれば問題は起きないというわけではありません。

あくまでも確率を多少減少させるといったことになりますので、できることならばバージョンアップすることの方が良いです。

やはり、もっとセキュリティに対する意識を高める必要性が全体的にあるようです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭でお書きしたことは、特にWordPressなどのオープンソースのCMSツールを使っている場合のことを意味しています。

以前もWordPressアップデート不可の記事にて書かせていただきましたが、いくつかの理由でWordPressは定期的にアップデートされています。

セキュリティ関連の修正も含まれているため本来はアップデートを行った方が良いわけですが、レンタルサーバーが対応していないなどの理由によりアップデートができないケースが存在するのも事実です。

そのような場合はどのような方法にて対処するのが良いのか？

WAFを用いたセキュリティ対策

アップデートができない以上、何らかの対策を行っていないとウェブが非常に危険な状態にさらされることは言うまでもありません。

その場合、WAF（ウェブアプリケーションファイアウォール）というものを使ってウェブアプリケーションの脆弱性を補っておくことが望ましいです。

このWAFは、通常のファイアウォールやIPSでは対処できない『SQLインジェクション』や『クロスサイトスクリプティング』などの攻撃からウェブアプリケーションを守ってくれるもので、ウェブアプリケーションの脆弱性対策アップデートが行えない以上、これくらいのことをしておくくらいしか正直手段がありません。

レンタルサーバーと自社サーバー

レンタルサーバーの場合、探せばオプションとしてWAFが使えるところはありますので、アップデートができない場合はこのようなオプション契約をされることをお勧めします。

費用的には月額500円程度で利用可能でしょう。

また、自社サーバーの場合はUTMなどの統合型セキュリティを導入されることが望ましいです。

ウェブアプリケーションそのものは脆弱性対策がとられていたとしても攻撃を受けないわけではありませんので、被害の確率を減少させるためにもUTMなどは導入していただきたいものです。