最近、身近な方のWebサイトが何かしらで攻撃を受けて、プログラムを改竄された。
依頼を受けて、その復旧作業を今しているところだ。
私はいくつかのグローバル企業で、WordPressで構築されたコーポレートサイトを保守している。
その中で必須対策なのはセキュリティ対策だと強く感じる。
また、本サイトもそうだが、セキュリティ対策をして監視をしていると、いくつか攻撃を受けていることがわかる。
自分の小ないサイトでも大丈夫、と言うことはないと言うこと。
サイトの大小に関わらず、サーバーを悪用としようとする人はいると言うことだ。
もちろん、大企業になればなるほど、攻撃の標的になる率は上がりますけどね。
実際に経験したのは、ブルートフォース攻撃(パスワード総当たり)や、DoS攻撃を受けてサーバーをダウンさせられたりしたことだ。
どちらの場合でもあまりにも低いサーバースペックの場合は、大量のリクエストでCPUを占拠され、サーバーがダウンする。
仮にサーバースペックを引き上げてダウンを免れたとしても、AWSなら従量課金になるため使用料があがる。根本解決にはならない。
自前でWebサイトを作る場合は、特に意識をしないといけないことだ。
Webサイト制作プラットフォーム(StudioやWIXなど)を使う場合はプラットフォームがセキュリティを担保してくれているのでそこまで意識する必要はない。ただし、コストや柔軟性はプラットフォームに依存するデメリットはある。
さて、グローバル企業のWebSiteを保守している身としては、事前に防ぐ対応を打つべきである。
セキュリティに完璧はないが、それに近いところに持っていけるようにするべきである。
・定期的なコアアップデート(WordPress本体・テーマ・プラグイン)
・定期的なバックアップ
・ブルートフォース対策
・DDos対策
・定期的なマルウェアスキャン
・2FA
この辺の対処はやはり必要である。
WordPressであればプラグインで対応できるので、ささっとやってしまおう。
具体的には下記のようなプラグインを入れるだけで強固なセキュリティになる。
Webは誰でもアクセスできる便利なテクノロジーだが、同時に悪意を持った人もいてリスクもあることを認識して対応をした方が良い。