記事CMS セキュリティ: Web サイトを安全に保つ方法

公開: 2022-08-12

Web 上のサイトの数は増加しており、毎年ハッキングされるサイトの割合も増加しています。 既知の脆弱性を悪用しようとするボットや、組織に対する直接的な標的型攻撃である可能性があります。 いずれにせよ、ハッキングされるという考え方を採用する必要があります。 このように考えると、積極的な行動とより良い実践が促進されます。

誰かがあなたの Web サイトをハッキングしようとするのではないかと疑っている場合は、Web ログを確認してください。 Web サーバーにハッキングしようとしている誰かまたはボットの証拠が見つかる可能性があります。 あなたの組織が注目を集めている場合、それが毎日起こっていることに気付くかもしれません。 ハッキングがどのように発生する可能性があるか、どのような影響が考えられるか、被害を軽減する方法を事前に把握しておくことが不可欠です。 それらがどのように起こるかを見てみましょう。

コードの脆弱性

Web を攻撃する最も悪名高いエクスプロイトの 1 つは、Heartbleed として知られる OpenSSL の脆弱性でした。 OpenSSL は、安全なデータ トランザクションのためにサーバー上で暗号化を処理するソフトウェアのレイヤーです。 OpenSSL は Web サーバー ソフトウェアと連携して下位レベルで動作するため、Heartbleed はユーザーが使用したコンテンツ管理システム (CMS) を気にしませんでした。 これは非常に有能なプログラマーによって引き起こされた単純なバグであり、誰もが犯す可能性のあるタイプの間違いでした。

この間違いを注目に値するものにしたのは、すべての安全な Web サイトの 3 分の 2 以上が影響を受けたことです。 OpenSSL への 100 人以上の貢献者と 21,000 を超える個別のコードの貢献にもかかわらず、この単純な脆弱性は 3 年近く発見されず、パッチも適用されませんでした。

最新の有名な 2 つのエクスプロイトである Spectre と Meltdown はどちらも、ほとんどの最新のコンピューター プロセッサに固有の脆弱性を利用しています。 これにより、共有コンピューター (Web サーバーなど) のユーザーは、同じハードウェアで実行されている他のサイトから自分の環境を隔てる仮想の壁を越えて覗くことができます。

ほとんどの Web サイトは、数十の個別のアプリケーション、数百万行のコード、および数千の個々の開発者 (Web サイト自体のコードは数えません) に依存しているため、すべてのオペレーティング システム、Web サーバー、CMS に脆弱性があると想定できます。 Webサイト。

不適切な構成

サイトがハッキングされる最も一般的な理由は、不十分な初期構成です。 多くの Web サイト管理者は経験が浅く、知っておくべきことがたくさんあります。 オペレーティング システムと CMS の両方でのユーザーの構成、それらのユーザーのアクセス許可の管理、ファイアウォール ルールの管理、Web サーバーの構成など、リストは続きます。 しかし、これらの要因はすべてセキュリティにとって重要です。

多くの記事やハウツー ガイドでは、新しいユーザーが簡単に操作できるように、最低限のことしか説明していません。 これは、個人または個人事業主にとっては問題ないかもしれませんが、大規模な上場企業にとっては受け入れられません。 このレベルでは、ハッキングは単なる不便ではありません。 ビジネスに深刻な影響を与える可能性があります。

メンテナンス不足

コードの脆弱性が発見されると、パッチが作成され、脆弱性が一般に公開される前にユーザーがシステムをアップグレードする時間が与えられます。 残念なことに、多くの Web サイトは定期的にパッチが適用されていません。 Heartbleed の例に戻ると、パッチがリリースされてから 3 年以上経った今でも、脆弱な古いバージョンの OpenSSL を実行している Web サーバーは 200,000 を超えていました。

最新のコンテンツ管理システムには、複数のアプリケーション層があります。 通常の WordPress インストールには、Linux オペレーティング システム、Web サーバー ソフトウェア、PHP、MySQL、および任意の数のプラグインが含まれます。 これらすべてを常に監視し、維持する必要があります。 多くのサービス プロバイダーが対応できないのは事実です。

ヒューマンズビーイングヒューマン

コードの脆弱性とメンテナンスの欠如は恐ろしく思えるかもしれませんが、人間が CMS を使用することによってもたらされるリスクと比較すると、見劣りする可能性があります。 私達 人間常に最も弱いリンクであり、標的型攻撃の主なエージェントです。

誰もが役に立ち、頭が良く見えることを望んでいるため、本質的にソーシャル エンジニアリングの影響を受けやすくなっています。 次のような特定の要求では、アラーム ベルが鳴る必要があります。

  • 「こんにちは、IT の Bob です。あなたのマシンから異常なトラフィックを検出しています...」
  • 「診断ツールをいくつかお送りします...」
  • 「あなたは私たちのパワー ユーザーの 1 人なので、私を助けてくれませんか...」

残念ながら、これらの手法は脆弱な人々に有効です。

もう 1 つの一般的な落とし穴は、不適切なパスワードの使用です。 この一般的なパスワードのリストをざっと見てみましょう。 見覚えのあるものはありますか? これらのいずれかがパスワードのルートのように見えるか、または同様の手法を使用していますか?

もしそうなら、あなたのソリューションはユニークでも賢くもないので、今すぐパスワードを変更する必要があります! ブルート フォース攻撃は、このようなリストから始まり、バリエーションを導入し、数分でパスワードを見つける可能性があります.

貧しい人々と並んで パスワード選択肢は、複数のサイトで同じものを再利用することです。 あるサイトでパスワードが侵害され、そのパスワードを他の場所で使用した場合、問題が発生します。

サイトを安全に保つ方法

「私たちはハッキングされない」と言う人は誰でも魅力的な運命ですが、リスクを大幅に最小限に抑えることができます. 悪意のある人物からサイトを保護するために導入できる基本的なセーフガードとプロセスを次に示します。

良いセキュリティ習慣

資格情報が危険にさらされるリスクを大幅に軽減するために、ユーザーが実行できるいくつかの簡単な方法があります。

  • 「フレーズ」パスワードを使用します。 米国国立標準技術研究所によると、 パスフレーズより記憶に残り、安全です。 特殊文字と数字を使用したパスワード要件は効果的ではありません。
  • パスワードマネージャーを使用してください。 パスワードマネージャーは、すべてのサイトで一意のパスワードを使用するのに役立ちます. また、独自のパスワード ガイドラインを確立して実施することもできます。
  • ソーシャル エンジニアリングの技術を教えます。 それが起こっている間にそれを認識するための知識と、成功する前にそれをシャットダウンする自信をユーザーに与えてください。

通常のメンテナンス

セキュリティ パッチと新しいリリースにより、ソフトウェアを常に最新の状態に保ちます。 Web サーバーの保守を担当していない場合は、テクノロジ スタックが最新の重要なパッチを確実に実行するためのプロセスの詳細について、すべてのサービス プロバイダーに問い合わせてください。

これには、オペレーティング システム、Web サービス、 サーバ側パーサー、コンテンツ管理システム、データベース、およびすべてのプラグイン。

優れたメンテナンス プラクティスは、Web 以外のハードウェアにも適用されます サーバースイッチやファイアウォールなど。 これらのデバイスは、Web サーバーと同じように注意を払って維持する必要があります。

新しいエクスプロイトが発見されたときはいつでも、不本意ながら悪者との競争に巻き込まれることを忘れないでください。 彼らがあなたを見つける前に、パッチを適用する必要があります。 実行するアクションと監視する項目が多数あるため、Web サーバーの保守はフルタイムの仕事です。

許可されたユーザーのリストを最新の状態に保ち、組織を離れたユーザーを常に削除してください。 不満を持った労働者は短期間で多くの損害を与える可能性があるため、解雇の処理計画を調整します。

攻撃ベクトルを排除

Web サイトにコードと複雑さを追加するすべてのレイヤーは、潜在的な脆弱性ももたらすため、テクノロジー スタックを可能な限りスリムでシンプルに保ちます。 不要なアプリケーションとサービスをすべて削除します。 Web サイトと CMS が機能するために必要なサービスのみを実行します。

Web サイト、CMS、またはその他の必要なサービスに必要なポートで、Web サーバーへのインバウンド トラフィックのみを許可します。 使用しないサービスを公開しても意味がありません。

CMS へのアクセスを、ネットワークまたは VPN 上のユーザーに制限します。 これはコンテンツ管理者に影響を与える可能性があるため、このトレードオフを慎重に検討してください。

バックアップをローテーションし続ける

前述の点を参照すると、最も安全な考え方は、ハッキングされると想定することです。 これは、適切なバックアップを維持することの価値を強調しています。 徹底的なバックアップ計画には、6 回のローテーションの日次バックアップ、週 4 回、月 6 回、および年 1 回のバックアップの保持が含まれる場合があります。

ハッキングは常にすぐに発見されるとは限らないため、どこまでさかのぼる必要があるかはわかりません。 1 日 1 回のバックアップは危険です。

また、バックアップ計画を設定するだけでは十分ではないことにも注意してください。 すべてのバックアップが実行されていること、およびそれらのバックアップからタイムリーに回復できることを定期的に確認する必要があります。 ハッキングされて初めて、バックアップが機能していないことに気付くことを想像してみてください…それは、人々が自分自身を見つけたいシナリオではありません.

では、SAM はどうですか?

SAM には、他のコンテンツ管理システムで構築されたサイトよりも、このツールで構築されたサイトのハッキングを困難にする独自の特性がいくつかあります。

SAM は、プラグインがなく、Windows Server オペレーティング システムのコア コンポーネントである基本的なサービスのみを必要とするため、更新を維持する単一のアプリです。 Microsoft の自動更新に依存している場合、サーバーには常にパッチが適用されます。

さらに注目すべきは、SAM が静的サイト ジェネレーターであることです。 ほとんどのコンテンツ管理システムは、ユーザーが要求したときにオンデマンドでページを生成しますが、静的サイト ジェネレーターは、コンテンツに変更があるたびに、ページを生成してファイル システムに発行することで機能します。

ユーザーがライブ Web サイトを表示するために CMS は必要ありません。また、SAM はネットワーク内に隠すことができます。 言い換えれば、ハッキングする公開された CMS はありません! ほとんどのお客様はこの違いに気づいていませんが、SAM を他社と真に差別化する品質です。

リファレンスとリソース

  • ウェブサイトのハッキング傾向レポート
  • NoHacked: 1 年を振り返って
  • Web サイトのセキュリティ: Web サイトはどのようにハッキングされるのか?
  • Web サイトをハッキングする方法: 一般的な手法の概要
  • 2017 年 11 月の Web サーバー調査
  • ハートブリードバグ
  • メルトダウンとスペクター
  • NIST デジタル ID ガイドライン
  • 2016 年の最悪のパスワード