WodPressホスティングプロバイダーを選択する際に考慮すべきセキュリティ要素は何ですか?

公開: 2021-12-03

全面的にWordPressの人気が高まっているため、さまざまなWordPressWebサイトホスティング会社に影響を与えるセキュリティインシデントがますます増えています。

GoDaddyは、WordPressホスティング環境で最近セキュリティ違反が発生したため、最新の例です。 先週、マネージドWordPressホスティング環境への不正な第三者アクセスがあったと発表され、最大120万人のアクティブおよび非アクティブな顧客のデータに影響を及ぼしました

GoDaddyでのWordPressセキュリティ違反

最高情報セキュリティ責任者(CISO)のDemetrius Comesは、11月22日に証券取引委員会(SEC)に提出し、11月17日にGoDaddyのマネージドWordPressサーバーへの不正アクセスを発見したと発表しました。 彼らは、事件が2021年9月6日に始まったと判断し、120万人のアクティブおよび非アクティブなマネージドWordPressの顧客のデータを公開しました。 彼らは、マネージドWordPressホスティング環境で疑わしいアクティビティを特定し、すぐにITフォレンジック会社の助けを借りて調査を開始し、法務当局に連絡しました。 侵害されたパスワードは、攻撃者にシステムへのアクセスを許可しました。

発表は次のことを示しました:

  • 最大120万人のアクティブおよび非アクティブなマネージドWordPressの顧客が、電子メールアドレスと顧客番号を公開しました。 電子メールアドレスの公開は、フィッシング攻撃のリスクをもたらします。
  • プロビジョニング時に設定された元のWordPress管理者パスワードが公開されました。 それらの資格情報がまだ使用されている場合は、それらのパスワードをリセットします。
  • アクティブな顧客の場合、sFTPとデータベースのユーザー名とパスワードが公開されました。 彼らは両方のパスワードをリセットします。
  • アクティブな顧客のサブセットについては、SSL秘密鍵が公開されました。 彼らはそれらの顧客のために新しい証明書を発行してインストールする過程にあります。

最後に、Comesは次のように付け加えました。「この事件とそれがお客様にもたらす懸念を心からお詫び申し上げます。 私たちGoDaddyのリーダーシップと従業員は、お客様のデータを非常に真剣に保護する責任を負い、決してお客様を失望させたくありません。 この事件から学び、保護の層を追加してプロビジョニングシステムを強化するための措置をすでに講じています。」

ご想像のとおり、インターネット上にはGoDaddyを批判するメッセージがたくさんあります。これは、違反の報告に5日かかるだけでなく、9月6日に行われたと思われる攻撃の検出に2か月以上かかったことについても同様です。 また、影響を受ける顧客である場合に技術的および法的に実行する必要があるアクションに関する追加情報もあります。 GoDaddyや、影響を受けた可能性のあるすべての顧客にとって、これがどのような混乱であるかについても考えたくありません。

ホスティング会社を選択する際のセキュリティの重要性

WordPressホスティングを選択するための主要な要件について話すときは、一連の要素全体に注目します。さまざまなバージョンのPHPとの互換性、WordPressのインストールを簡単に管理するための機能とツール、ページの高速読み込み、効率的なサポートサービス、そしてもちろん、リーズナブルなコスト。

しかし、だまされてはいけません。セキュリティの側面を優先順位の最下位に追いやることになることがよくあります。 なんで? まず、ホスティングプロバイダーのセキュリティは当然のことと考えているためです。 しかし、これはばかげています。確かに知っていることが1つあるとすれば、100%安全なコンピュータシステムはないということです。 第二に、セキュリティを迅速かつ簡単に評価することは困難です。 脆弱性の可能性に気付くのは、セキュリティ違反が発生したときだけです。

あなたのウェブサイトのセキュリティはあなたの健康に少し似ています。 あなたが元気なら、あなたはそれをあまり考えません。 しかし、あなたが具合が悪い日、世界はあなたに激突してくる。 多くの場合、病気になることは避けられませんが、予防と早期発見はあなたに多くの悲しみを救うことができます。 セキュリティについても同じです。 Webサイトがハッキングされた場合、ビジネスが失敗するだけでなく、適切なセキュリティ対策を講じなかったために法的な問題が発生する可能性があります。

セキュリティ違反を防止したい場合、ホスティングプロバイダーに何を期待する必要がありますか?

ソフトウェアセキュリティ

私たち全員を退屈させるものは、私たちがコンピューターで使用しているソフトウェアを更新しなければならないことです。 ただし、ほとんどの更新は既知の脆弱性から保護するためのものであるため、これを行うことは非常に重要です。

そのため、ホスティング会社でWordPress Webサイトをホストする場合は、互換性の要件とWordPressが推奨する最新のソフトウェアアップデートを満たしていることを確認してください。 それらを知るために公式のWordPressウェブサイトを見てください。 この投稿を書いている時点で、推奨される要件は次のとおりです。

  • PHP7.4以降。
  • MySQL 5.6以降、またはMariaDB10.1以降。
  • HTTPS

私の推奨事項:これらの要件を満たしていないホスティング会社も考慮しないでください。

SSLの可用性とサポート

ハイパーテキスト転送プロトコル(ハイパーテキスト転送プロトコルまたはHTTP )は、ネットワークシステムで使用されるプロトコルであり、ネットワークを構成するさまざまなコンピューター間で発生するトランザクションの構文とセマンティクスを定義および標準化することを目的として設計されています。 。 つまり、WebサーバーがGoogleChromeやMozillaFirefoxなどのWebブラウザーと通信する方法を説明します。

HTTPSは、Secure Sockets Layer(SSL)を介したHTTPの使用、またはTransport Layer Security(TLS)との接続を指し、すべてのHTTPメッセージを暗号化して送信を安全にします。 ユーザーがWebサーバーに情報を送信すると、SSLは基本的に一連の保護レイヤー全体を提供します。

  • 暗号化:攻撃者がその情報を傍受することに成功した場合、彼らはそれを復号化する方法を知らないので、それは役に立たないでしょう(しかしあなたはそうします)。
  • データの整合性:攻撃者は、送信されたメッセージの内容を「変更」することはできません。
  • 認証:フィッシング攻撃や中間者攻撃では、ユーザーが他の誰かと話していると信じているときに第三者に情報を提供することは避けられます。

このようにして、たとえば、Webサイトで行われた購入のデータが、犯罪者によって読み取られたり変更されたりしないようにします。

WebサイトがSSLを使用している場合、ほとんどのブラウザはhttps://で始まるWeb URLと、アドレスバーの近くまたはアドレスバーのどこかに南京錠のアイコンを表示し、訪問者に現在のWebサイトの安全性に関する視覚的な手がかりを提供します。

ブラウザに表示されるNelioのURLの画像
ブラウザに表示されるNelioのURLの画像。

ホスティングサービスプロバイダーを探すときは、 SSLをサポートしていることを確認し、セットアップがいかに簡単かを確認してください。

バックアップと復元

WordPressでマルウェア攻撃を受けた場合、感染したコードのない古いバックアップを復元する必要が生じる可能性が非常に高くなります。 このため、ホスティングプロバイダーがWordPressWebサイトの定期的および自動バックアップを実行していることを確認してください。

あなたが知っていることを確認してください:

  • バックアップの頻度、
  • アクセスできるサイトのバックアップの数、
  • それらすべてを自分で簡単に復元できる場合でも、復元をリクエストしてサービスの料金を支払う必要がある場合でも、
  • ファイル、フォルダ、電子メールアカウント、またはデータベースの部分的な復元を実行できるかどうか、
  • 復元履歴にアクセスできるかどうか。

DDoS攻撃に対する保護

分散型サービス拒否(DDoS)攻撃は、サーバーが過負荷になってクラッシュするまで「大量の」要求をトリガーすることにより、Webサーバーをダウンさせようとする攻撃の一種です。

DDoS攻撃の図
DDoS攻撃の図(出典:Anti DDoS)

それらを防ぐために、SiteGroundやBluehostなどの一部のホスティングプロバイダーは、Cloudflareなどのコンテンツ配信ネットワーク(CDN)と連携します。 CDNは、データをより高速に提供し、DDoSなどのリソースを大量に消費する攻撃を吸収しやすくするグローバルサーバーネットワークを運用します。 これにより、ホスティング会社は、追加のインフラストラクチャに多額の投資をすることなく、自社のサーバーの負荷を軽減できます。 ホスティング会社がCDNを使用しているかどうかを確認することを強くお勧めします。

また、次のようなこのタイプの攻撃に備えたプロトコルが用意されていることを確認してください。

  • フラッドトラフィックをフィルタリングするファイアウォールハードウェア、
  • 複雑な機能とトラフィック監視を備えたiptablesに基づくファイアウォールソフトウェア、
  • これらは、リモートで確立できる接続の数を制限します。
  • ホストからの失敗した接続試行の数が多いことを確認し、フィルタリングを実行します。

マルウェアスキャン

GoDaddyの場合に見られるように、マルウェアはサーバーに影響を与える可能性のある悪意のあるソフトウェアです。 特定のデータの盗難などの軽微な感染を引き起こしたり、データベース全体を一掃したりする可能性があります。

ホスティングプロバイダーがこのタイプの攻撃をどのように制御およびチェックするかを知ることが重要です。 彼らはどのくらいの頻度でスキャンを実行しますか? 彼らは、感染の場合にそれが封じ込められるように、アカウント分離システムを持っていますか?

可用性と稼働時間

情報セキュリティの3つの柱は、CIAトライアド(機密性、整合性、および可用性)として知られています。 Webサイトの可用性と稼働時間(Webサイトがアクティブで利用可能である時間の割合)は、どのWebサイトでも重要です。

ホスティング会社には、この可用性を確保するための多くの方法があります。 たとえば、RAIDテクノロジー、ハードウェアの冗長性、ネットワークの冗長性、さらには代替のミラーロケーションを採用しているものもあります。 ホスティングプロバイダーが、利用規約のサービスレベルアグリーメント(SLA)で最小限の可用性を保証していることを確認してください。 たとえば、Sitegroundの場合、次のことを保証します。

5.2。 年間ベースで99.9%のネットワーク稼働時間を保証します。 保証されたネットワーク稼働時間を下回った場合、次のように補償します

  • 99.9%– 99.00%の稼働時間:1か月の無料ホスティング
  • 稼働時間の1%ごとに追加の1か月の無料ホスティングが、99.00%未満で失われました。

SLAは、ホスティングプロバイダーによるインフラストラクチャへの投資と、サービスを保証するためのコミットメントを示すもう1つの指標です。

結論

すでに述べたように、セキュリティは健康のようなものです。 それを完全に制御することを保証することはできませんが、リスクが少ないほど良いです。 サイトを保護し、そのセキュリティに注意を払うことで、重大な望ましくない結果を防ぐことができます。 そして、その保護は、WordPressWebサイトに適したホスティングプロバイダーを選択することから始まります。

UnsplashのLiamTuckerの注目の画像。