GMOのSiteLock (サイトロック) ワードプレス等Webサイトの脆弱性診断、安全確認

ITサービス
2017.04.20
スポンサーリンク

あなたのWebサイトのセキュリティは大丈夫ですか?

ハッキングされていませんか?

 

あなたが以下のような立場であれば、サイトのセキュリティ対策を常にする必要がありますね。

  • WordPressやMovable Typeを使っているWebサイト管理者
  • SEO対策に費用・時間を費やし、効果をあげているWebサイト管理者
  • 企業サイトのWebサイト管理者、制作事業者
  • Webサーバーの開発/運用担当
  • Webシステム/アプリ開発者

GMOのSiteLock (サイトロック) は、そんな人に向いた月額350円のリスク診断、マルウェア診断サービスなんです。

(SiteLockそのものは、米国SiteLock社のサービスです)

 

 

↓SiteLock (サイトロック) の公式サイトはコチラ

Webセキュリティサービス「SiteLock」

スポンサーリンク

SiteLock(サイトロック)とは

 

SiteLock (サイトロック) は、東証一部上場のGMOクラウド株式会社が運営するWebセキュリティサービスです。

 

 

WordPressを使ったWebサイトのハッキングや改ざん、企業サイトへのサイバー攻撃が後を絶たない今日、Webサイトの安全性を高める対策が必要です。

また、被害発生時には、問題を把握・解決する術が必要です。

 

 

月350円から利用できるGMOの「SiteLock」は、Webサイトの脆弱性(セキュリティの脅威)、改ざん、マルウェアといった緊急性の高い問題を解決するためのオールインワンのWebセキュリティサービスです。

 

 

SiteLockで出来ること

SiteLockを使うことで、以下のようなWebサイトのセキュリティの問題の有無を把握できます。

  • WordPress/Movable Typeなどアプリの脆弱性を見つける
  • Webサイトやアプリの脆弱性を見つける
  • SQLインジェクションの脆弱性を見つける
  • XSS(クロスサイトスクリプティング)の脆弱性を見つる
  • Webサイトの不正改ざんを見つける
  • Webサイト内のマルウェアを見つける、駆除する
  • Webサイト内の不正コンテンツを見つける、削除する
  • Googleなどブラックリストに登録されたら即通知
  • SSLの有効期限切れを監視する

 

マルウェアについては以下をご覧ください。

pricechop、NextCoup(ウィルス)の削除・アンインストール方法(クロームでの消し方)
私の所有しているパソコンの一つがpricechopというウィルス・マルウェアに感染してしまいました。 感染してしまった原因が、ITエンジニアらしくないですが、pricechopを削除したので経緯を紹介します。 pricechop、...
urashita.com
2014.09.01

 

SiteLockのサービスの特長

SiteLockのサービスの特徴は次の通りです。

  • 初期費用なし、月350円(税抜)からの低料金
  • 世界800万件の利用実績、精度の高いセキュリティ診断
  • 複数のセキュリティ診断を定期的に実施
  • 診断の実施頻度もいろいろ(毎日/週/月/四半期に一回)
  • WordPress/Movable Typeに対応
  • お問い合わせフォーム、カートなどアプリに対応
  • Webサイトのマルウェアを検知・駆除
  • Webサイトの不正リンク、コード等を検知・削除
  • 不正改ざんの監視、事故発生時の通知
  • 診断結果やセキュリティのアドバイスをレポート
  • 使いやすいコントロールパネルで一元管理
  • 東証一部上場会社による安心・信頼の無料サポート

 

さらに詳しく、SiteLock (サイトロック) の機能を見てみましょう。

SiteLock (サイトロック) の機能の詳細

 

WordPressの脆弱性を調べる

アプリ診断APPLICATION SCAN

診断頻度: 週 月 四半期

アプリ診断を利用すれば、お客さまのサーバー上にインストールされているWordPress(ワードプレス)を診断して、悪意ある第三者に狙われやすい脆弱性の有無を調べられます。また、既知の脆弱性が判明しているソフトウェア・バージョンの有無もお調べいたします。脆弱性のあるバージョンのWordPressを使い続けると、サイトの乗っ取り、不正改ざん、攻撃性の高いマルウェアを勝手にサーバー上に置かれるなど、サイトオーナーにとって不利益なリスクが高まります。定期的にWordPressの診断を行い、リスク軽減を図るためにも安全な環境維持を心がけましょう。

 

WordPressについては以下をご覧ください。

WordPress(ワードプレス)とは何か?フリーのシェアNo1のブログ、CMSツール
WordPressってよく聞きますよね。 いったん何でしょうか? 調べてみました。 WordPressとは WordPressはオープンソースでフリーのブログ作成用のソフトウェアです。 PHPで書かれており、サーバーにインスト...
urashita.com
2016.07.16

 

WordPressは、今や世界で最も使われているCMSと言ってよいでしょう。

世界のコンテンツマネジメントシステム(CMS)のシェアを調べて比較
今日はコンテンツマネジメントシステム、CMSのシェアの話題です。 コンテンツマネジメントシステム(CMS)とは?CMSのシェア コンテンツマネジメントシステム(CMS)とは、WEBサイトのコンテンツを管理するシステムです。 ...
urashita.com
2015.02.17

 

そんなWordPressですが、最新にしておかないと常に外部からの攻撃に晒されています。

定期的に診断しておきましょう。

 

人気アプリの脆弱性を調べる

アプリ診断APPLICATION SCAN

診断頻度: 週 月 四半期

お客さまのサーバー上にインストールされている人気アプリを診断し、SQLインジェクション、クロスサイトスクリプティングといった攻撃対象となりうる脆弱性の有無を洗い出します。また、パッチが適用されていない、既知の脆弱性を持つことが判明しているソフトウェア・バージョンの有無もチェックします。

対応アプリ例:Drupal、Joomla!、PHP Nuke、DotNet Nuke、PHP BB、vBulletin

 

WordPress以外のCMSを利用している人も多いはず。

PHPを使ったサイトは多いので、定期的にPHPやPHPで構築されたアプリケーションを診断しておきましょう。

 

XSS脆弱性を調べる (クロスサイトスクリプティング)

XSS診断XSS SCAN

診断頻度: ワンタイム 日 週 月 四半期

XSS(クロスサイトスクリプティング)とは、脆弱性のあるWebサイトを踏み台(中継地)として、悪意のあるプログラムをそのサイトの訪問者に送り込む攻撃(ハッキング)手法です。SiteLockはお客さまのWebサイトを対象に定期的な診断を実施し、セキュリティの脅威となるXSS脆弱性の有無を判定いたします。

 

クロスサイトスクリプティングについては以下をご覧ください。

LaravelでJavaScriptからPostするにはCSRFトークンが必要
LaravelでJavaScriptからポストした際に出たエラーの整理です。 Failed to load resource: the server responded with a status of 500 (Internal ...
urashita.com
2016.02.10

 

 

SQLインジェクション脆弱性を調べる

SQLインジェクション脆弱性SQL INJECTION SCAN

診断頻度: ワンタイム 日 週 月 四半期

SQL インジェクションは、アプリの脆弱性を意図的に利用し、アプリが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃(ハッキング)方法を指します。SiteLockはお客さまのWebサイトを定期的に診断し、SQLインジェクションの脆弱性の有無を判定いたします。

 

SQLインジェクションは、DBに対してのハッキングです。

知らぬ間にデータベースに蓄えられていた個人情報が抜かれていたとかいったことがないように診断しておきましょう。

 

 

SSL証明書を常に有効に維持する

SSL診断SSL SCAN

診断頻度: 毎日

SSL証明書を正しく、常に利用する上でまめな管理は欠かせません。更新忘れによる失効や設定ミスによるSSL証明書のトラブルは、誰の身にも起き得るアクシデントです。面倒な運用・監視の手間は、SiteLockにお任せください。お客さまのサーバー上にインストールされたSSL証明書をモニターし、下記を監視・検証いたします。また、更新月の前月には、更新間近であることを伝えるメールをお送りいたします。そして、何らかの問題が発生した場合は、お客さま宛てにメールでお知らせいたします。これにより、常に有効なSSL証明書を維持・運用する体制を手に入れられます。

SSLによる暗号化が使用されている
SSL証明書の有効期限が切れていない
名前/ドメインが正しい情報で登録されている

 

SSL、httpsについては以下をご覧ください。

SSL(https)のワイルドカード証明書の購入方法とApacheの設定方法
このたび、SSLのワイルドカード証明書を取得して、Apacheに設定したので、作業手順をメモしました。 以下の記事の正式版?有料版です。 ・ ちなみに、無料の証明書、Let's Encryptを使った証明書の使用例は以下にまと...
urashita.com
2016.01.29

 

証明書は基本、1年単位で購入します。

忘れている間に、期限切れ、Expireしないように注意が必要です。

 

 

Webサイトの安全性をシールで可視化する

安全シール

Webサイトの安全性に細心の注意を払うからこそ、お客さまの真摯な姿勢をわかりやすく明示しましょう。SiteLockでは、お客さまのWebサイトの訪問者に対してサイトの安全性を視覚的に伝える安全シールをご用意しています。

掲載方法は簡単、安全シールを表示させたいページにコードを埋め込むだけ。上記に掲載されているのは実際の安全シールです。クリックすれば、最新の診断結果も具体的に表示されます。安全シールが訪問者によってクリックされた数は、コントロールパネル上で確認できます。

なお、Webサイトにセキュリティ上の問題が発生し、72時間以内に問題が解決されない場合は、安全シールの画像は透けて表示されるようになります。

 

安全シールは第三者へのWEBサイトの安全性のアピールと、可視化することで自身でサイトをチェックすることが可能になります。

 

SiteLockの料金・プラン表

SiteLockの料金・プラン表は次の通りです。

エントリー おすすめ
レギュラー		 ビジネス エンタープライズ
初期費用 0
年間費用 4,200
(月あたり350円)		 14,400
(月あたり1,200円)		 40,320
(月あたり3,360円)		 99,600
(月あたり8,300円)
診断対象 1ドメイン/サブドメイン
診断対象 50ページ 200ページ 600ページ 2,000ページ
WordPress診断 ワンタイム 週/月/四半期に1
アプリ&ホームページ診断 ワンタイム 週/月/四半期に1
XSS脆弱性診断 ワンタイム 週/月/四半期に1 日/週/月/四半期に1
SQLインジェクション脆弱性診断 ワンタイム 週/月/四半期に1 日/週/月/四半期に1
SMART診断 なし 日/週/月/四半期に1
マルウェア診断 毎日1
マルウェア駆除 なし 日/週/月/四半期に1
ブラックリスト監視 毎日1
スパム・ブラックリスト監視 毎日1
SSL診断 毎日1
アドバイザリー
安全シール
アップグレード  ー

※ 税抜表記です。

※ ワンタイムと記載がある診断は、サービスの契約期間中に1回のみ利用できます。

 

 

まとめ

いかがでしょうか?

WEBサイトの診断を専門会社に依頼すると高額の診断料がかかります。

一方、自前で行うのはなかなかハードルが高いもの。

 

サイトロックは米国SiteLock社のサービスの日本語版と考えてよいので安心できるかと思います。

自社サイトを運営していてセキュリティが心配なら、使ってみてもよいサービスだと思います。

 

 

↓SiteLock (サイトロック) の公式サイトはコチラ

WordPress使うなら「SiteLock」でWebセキュリティ診断

ITサービス
SiteLockサイトロック
スポンサーリンク
スポンサーリンク
シェアする
うらしたをフォローする
スポンサーリンク
うらした
urashita.com 浦下.com (ウラシタドットコム)
スポンサーリンク

コメント

タイトルとURLをコピーしました