WordPress堅牢化

そのWordPress
安全ですか?

近年、国や自治体などの重要インフラに対するサイバー攻撃が頻発しており、情報流出やマルウェア感染、コンテンツ改ざんなどの被害が深刻化しています。

WordPressで構築されているサイトは攻撃のターゲットになり易い状況にありますので対策が急務です。

そこで弊社では、内部LAN環境に設置したWordPressからHTMLファイルを生成し、完全な静的サイトとして安全に公開・運用する仕組みをご提案いたします。

お問い合わせ
不正アクセス、サイト改竄、情報流出…

不正アクセスされると、何が起きるのか?

  1. 迷惑メールの送信に利用されてしまう
    第三者が発信元を偽るために利用します。大量の迷惑メールが、あなたのサーバから送信される事態に陥るかもしれません。
  2. コンテンツの書き換えが行われてしまう
    書き換えによって虚偽の情報が配信され、住民に混乱を招いたり、フィッシングサイトにされて個人情報が盗み取られるといった事態が発生するかもしれません。
  3. DDoSの実行ホストにされてしまう
    DDoS(Distributed Deny of Service)とは、複数のサーバが攻撃対象に大量の通信を行い、サービスを正常に提供できなくする攻撃です。
  4. C&Cホストにされてしまう
    C&C(Command & Control)ホストとして、外部からの指示により任意の処理を実行させられるため、様々な用途に利用されます。

ここで重要なのは、外部への攻撃に加担させられてしまった場合、あなたが加害者になってしまうということです。
不正アクセスの被害は、あなただけの問題では済まないのです。

チェックポイントの一例

管理ページにアクセス制限をかけていますか?
誰でもアクセスできる状態ですと、ブルートフォースアタックを受ける可能性があり危険です。
ブルートフォースアタック
pingback機能を無効化していますか?
有効のままですと、DDoS攻撃に悪用される可能性があり危険です。
pingback大量送信

堅牢化対策のご提案

攻撃対象となるWordPressは非公開サーバに設置。静的HTML化したものを公開サーバに設置します。

  1. 1. 同期処理を定期実行
    公開状態のコンテンツを静的コンテンツ(HTML)化し、公開用Webサーバへ一定間隔(10分を想定)に自動同期します。 また、必要に応じて手動での同期も可能です。
  2. 2. 更新は素早く反映
    予約投稿、即時公開、非公開、修正・更新となったコンテンツは、同期処理の開始から90秒以内(注1)に公開用Webサーバに反映します。
    注1:お客様のサーバ環境や回線状況によっては実現できない場合がございます。
  3. 3. 動的ページも個別対応
    問合せフォーム等は静的HTMLでは実現できないため、PHPでリメイクします。また、収集したデータの流出を防ぐため、データは非公開ゾーンに保管し、非公開サーバ側からの暗号化通信によってデータを取得する仕組みをご用意いたします。
堅牢化の仕組み
現状のサーバ環境等を把握した上で、弊社から貴自治体に合った機能要件をご提案いたします。
それをもとに、双方協議の上で最終的な仕様を決定していく流れとなります。