不正アクセスされると、何が起きるのか?
-
- 迷惑メールの送信に利用されてしまう
- 第三者が発信元を偽るために利用します。大量の迷惑メールが、あなたのサーバから送信される事態に陥るかもしれません。
-
- コンテンツの書き換えが行われてしまう
- 書き換えによって虚偽の情報が配信され、住民に混乱を招いたり、フィッシングサイトにされて個人情報が盗み取られるといった事態が発生するかもしれません。
-
- DDoSの実行ホストにされてしまう
- DDoS(Distributed Deny of Service)とは、複数のサーバが攻撃対象に大量の通信を行い、サービスを正常に提供できなくする攻撃です。
-
- C&Cホストにされてしまう
- C&C(Command & Control)ホストとして、外部からの指示により任意の処理を実行させられるため、様々な用途に利用されます。
ここで重要なのは、外部への攻撃に加担させられてしまった場合、あなたが加害者になってしまうということです。
不正アクセスの被害は、あなただけの問題では済まないのです。
チェックポイントの一例
- 管理ページにアクセス制限をかけていますか?
- 誰でもアクセスできる状態ですと、ブルートフォースアタックを受ける可能性があり危険です。
- pingback機能を無効化していますか?
- 有効のままですと、DDoS攻撃に悪用される可能性があり危険です。
堅牢化対策のご提案
攻撃対象となるWordPressは非公開サーバに設置。静的HTML化したものを公開サーバに設置します。
-
- 1. 同期処理を定期実行
- 公開状態のコンテンツを静的コンテンツ(HTML)化し、公開用Webサーバへ一定間隔(10分を想定)に自動同期します。 また、必要に応じて手動での同期も可能です。
-
- 2. 更新は素早く反映
- 予約投稿、即時公開、非公開、修正・更新となったコンテンツは、同期処理の開始から90秒以内(注1)に公開用Webサーバに反映します。
注1:お客様のサーバ環境や回線状況によっては実現できない場合がございます。
-
- 3. 動的ページも個別対応
- 問合せフォーム等は静的HTMLでは実現できないため、PHPでリメイクします。また、収集したデータの流出を防ぐため、データは非公開ゾーンに保管し、非公開サーバ側からの暗号化通信によってデータを取得する仕組みをご用意いたします。
現状のサーバ環境等を把握した上で、弊社から貴自治体に合った機能要件をご提案いたします。
それをもとに、双方協議の上で最終的な仕様を決定していく流れとなります。
それをもとに、双方協議の上で最終的な仕様を決定していく流れとなります。