Wordpressサイトへのマルウェア感染やデータ改ざん、パスワード総当りによる
第三者の不正ログイン等の脅威は年々増しています。
FORTUNAでは、Wordpressサイトを安心して運用できるように、
2種類のセキュリティ対策・メンテナンスプランをご用意いたしました。
ユーザーと事業者にとって
安心して利用、運営できる
FORTUNAではWordpressサイトを安心して運用できるように、顧客様に合わせた二種類のセキュリティ・プランをご用意いたしました。
常に最新のソフトウェア。
定期アップデートとメンテナンス。
納品時の標準セキュリティはもちろん、 その後も継続したメンテナンスを行います。 いつでも安全で快適にご利用いただくために、 専門のテクニカルスタッフが最新ソフトウェアでメンテナンスを行います。
SECURITY
外部攻撃と不正アクセスに対する防御
ユーザーと事業者にとって安心して利用・運営できるアプリケーション管理支援をいたします。 アクセス権限を持たない第三者が、悪意を持ってサーバーやWordPressに侵入する行為を禁止します。
主なセキュリティ対応策
主なセキュリティ対応策(Wordpressへの攻撃)
| 項目 | 施工 | 対策と内容 |
|---|---|---|
| 不正アクセス対策:一定時間で強制ログアウト | 標準 | ログインしたユーザーを一定時間で強制ログアウトさせる設定を行います。標準:180分 |
| 不正アクセス対策:ログイン試回の制限(1) | 標準 | ログインに数回失敗すると、そのIPアドレスを自動的に一定時間「ログイン禁止状態」にします。標 準:3回 |
| 不正アクセス対策:ログイン試回の制限(2) | 標準 | ログインの試回制限を設定します。試回の有効時間:標準5分/再ログイン禁止時間:標準10分 |
| 不正アクセス対策:ログイン失敗時のエラーメッセージ | 標準 | ログインに失敗した際、何が間違っているか(IDなのかパスワードなのか等)を表示せず、 通常のエラーメッセージのみを返します。 |
| 不正アクセス対策:登録されているユーザー名以外のア クセスを制限 | 標準 | 登録しているユーザー名以外のユーザー名を入力すると、そのIPアドレスを即「ログイン禁止状態」にします。 |
| 不正アクセス対策:ログイン画面を隠す | 標準 | WordPressのログインファイルとURL(wp-login.phpとwp-admin)を悪意のあるユーザーから改ざんを防止するため任意のURLへ変更致します。 |
| 「ログイン禁止状態」になった場合のメール通知 | 標準 | 「ログイン禁止状態」になると、禁止になったアカウントに紐づくメールアドレス宛に通知します。 |
| 不正アクセス対策:悪質なbot対策 | △ | ログイン画面にbot(コンピュータ・ウイルス)が自動ログインしてくる場合があります。 Googleが開発した画像認証システム等を使用し、botがログインを出来ないように致します。 ※使いやすさに関係する箇所ですので、施行するかどうかは協議の上決定します。 |
| 不正アクセス対策:運用パスワードの定期変更 | △ | パスワード漏洩を防ぐため、定期的にログインパスワードを変更いたします。 ※定期間は協議の上決定します。 |
| 「ログイン禁止状態」の解除申請 | TEL | 「ログイン禁止状態」になったアカウントが解除申請を行う場合は、弊社にお電話にてご連絡下さい。 |
主なセキュリティ対応策(サーバーへの攻撃)
| 項目 | 施工 | 対策と内容 |
|---|---|---|
| ファイルのバックアップと復元 | 標準 | バックアップ機能を利用し、 サイトを丸ごとバックアップします |
| システムファイル保護(1) | 標準 | WordPressの重要ファイル、ディレクトリのパーミッションチェックを行い保護します。改ざんを防止するためアクセス制限設定を致します。 |
| システムファイル保護(2) | 標準 | WordPressの重要ファイル「xmlrpc.php」は、管理画面以外から記事の投稿などができるようにするための設定ファイルですが、使用していない場合無効にし改ざんから保護します。 |
| 改ざんの対策:データベース改ざんの保護(1) | 標準 | WordPress初期設定のデータベース・テーブル名の接頭辞を変更しておくことで、SQLインジェクションや特定のテーブルに対する攻撃を防ぎます。 |
| 改ざんの対策:データベース改ざんの保護(2) | 標準 | DBへの不審なアクセスをWebサイト上でフィルタリングを設定しアクセス出来ないように致します。 |
| 改ざんの対策:データベース改ざんの保護(3) | 標準 | サーバーに用意されているDB設定画面「phpmyadmin」にアクセス制限を行います。 ※ご使用のサーバープランによって異なります |
| 改ざんの対策:データベースの定期バックアップ | 標準 | データベースの情報の改ざん等の非常事態のためにバックアップ10世代を定期的に実行致します。 ※対象範囲:SQL、html+CSS、imagesなどの画像や資料 |
| コメントスパム対策 | △ | ユーザーエージェントを判別してbotが投稿するスパムコメントを拒否するよう設定致します。 ※ユーザーコメントが書き込めるサイトに限ります。 |
| サービス内容 | WPケア | WPケアPlus | |
|---|---|---|---|
| 24時間対応 | ログ記録 | ○ | ○ |
| トラフィック記録※1 | ○ | ○ | |
| 体制 | メール対応 | ○ | ○ |
| 電話対応 | ○ | ○ | |
| セキュリティ通知※2 | ○ | ○ | |
| 専任エンジニア | ○ | ||
| サーバー会社との連携 | ○ | ||
| 保守・監視 | 障害一次対応(再起動・復旧) | ※3 | ○ |
| 障害一次対応(調査) | ○ | ||
| Wordpressソフトウェア・セキュリティプラグインのアップデート | ○ | ○ | |
| 監視設計・導入 | ○ | ||
| ログ調査 | ○ | ||
| トラフィック調査 | ○ | ||
| 脆弱性情報の共有 | △※影響度による | ○ | |
| セキュリティ提案 | ○ | ○ | |
| 当月作業報告レポート(定期送信) | ○ |
※障害対応・保守サポートは平日業務時間帯 10:00-17:00 での対応。
※サイトからご契約が可能です。完全自社体制でご提供します。
※1 使用しているサーバーによっては、トラフィックが記録できないものもあります。
※2 Wordpressへ不正アクセスを試みた形跡等があった場合、弊社からお電話やメールにてご連絡させて頂きます。
※3 「WPケア」プランのご契約ですと、障害一次対応(再起動・復旧)が発生した場合、作業費用は別途ご請求となります。
SECURITY
サーバー事業者との連携対応
WordPressが稼働するホスティング、VPS、クラウドサーバーすべてのお客様へ対応。 ネットワーク設定や変更、 アクセスとコンテンツ増減に合わせたサーバーのスケール調整など専門技術的な取次することで運用負荷を軽減いたします。
連携対応詳細
OS・ミドルウェアに関する設定変更
| OS | Linux(CentOS, Amazon Linux, Red Hat など)、Windows |
| ミドルウェア | Apache、MySQL、PostgreSQL、PHP、など |
サーバーのスケール調整・プラン変更
通常時よりもアクセス増によるサーバーの負荷が見込まれる際に、 現状のリソース状況を見極めてインスタンスタイプの変更やサーバーの増減などの対応をいたします。
サーバー・ネットワークに関する設定変更
運用上必要な設定変更作業(Apache の設定変更や、Security Group の設定追加/ 変更など)が発生した場合、スケジュールを立てて変更作業いたします。
※ご契約の会社・プランによって有料の場合がございます。※ご契約の会社・プランによって対応していない場合がございます。
※電話・メールサポート対応時間は、平日10:00〜17:00となります。※1つのURLに対してのサポート内容です。(サブドメインは追加となります)
MAINTENANCE
常に最新。WordPressソフトウェア更新
CMSの機能・操作性向上のため、 定期的なソフトウェア更新を行います。 同時にプラグインのアップデートでセキュアな環境を保持します。
WordPressアップデートについて
マイナーバージョン・アップデート
頻繁に行われるWordPressのマイナーバージョンアップデートは、①セキュリティホールが見つかった場合のパッチ・修正、②プログラムの不具合修正 になります。
プラグイン・アップデート
プラグインとはWordPressの機能拡張ツールです。アップデートにより脆弱性を予防します。
バージョンアップデート時の設定と確認作業
アップデートする際に以下目視確認した上で、 バックアップを取った後実施します。
・サーバーミドルウェア「php」バージョン照合/適応
・サーバーミドルウェア「MySQL」バージョン照合/適応
・プラグインが対応しているか否か
※Wordpressのメジャーバージョン・アップデート(大規模なソフトウェア更新)に関しては別途見積もりとなります。
MAINTENANCE
サイト・バックアップ
バックアップ機能を利用し、 サイトを丸ごとバックアップします。
標準では14世代分までを保存し、 14世代以上前は新しいディスクイメージを保存する際に削除されます。
FAQ
よくあるご質問
開始スケジュールについては、お問い合わせフォームからご相談ください。
WordPress専用セキュリティ対策プラン
相談とお申込みはこちらWEBサイトの規模に合わせて
プランをお選びいただけます
WPケア
安全に運用する、
ベーシックなセキュリティ・プラン
- 1つのWordPress
- 外部攻撃と不正アクセスの防御
-
緊急ヘルプサポート
- ーメール・電話対応
- WordPressアップデート
- サイトのバックアップ
WPケア Plus
コンプライアンスの維持、
より強固なセキュリティ・プラン
- 1つのWordPress
- 外部攻撃と不正アクセスの防御
-
緊急ヘルプサポート
- ーメール・電話対応
- ー専任エンジニア対応
- サーバ事業者との連携対応
-
保守・管理
- ー障害一次対応(再起動・復旧)
- ー障害二次対応(調査)
- ー監視設計
- ーログ調査
- ー脆弱性情報の共有
- ー最新セキュリティ提案
- WordPressアップデート
- サイトのバックアップ
- ※ 障害対応・保守サポートは平日業務時間帯 10:00-17:00 での対応。
- ※ サイトからご契約が可能です。完全自社体制でご提供します。
- ※1 使用しているサーバーによっては、トラフィックが記録できないものもあります。
- ※2 Wordpressへ不正アクセスを試みた形跡等があった場合、弊社からお電話やメールにてご連絡させて頂きます。
- ※3 「WPケア」プランのご契約ですと、障害一次対応(再起動・復旧)が発生した場合、作業費用は別途ご請求となります。
- ※ ご契約の会社・プランによって有料の場合がございます。
- ※ ご契約の会社・プランによって対応していない場合がございます。
- ※ 電話・メールサポート対応時間は、平日10:00〜17:00となります。
- ※ 1つのURLに対してのサポート内容です。(サブドメインは追加となります)
- ※ Wordpressのメジャーバージョン・アップデート(大規模なソフトウェア更新)に関しては別途見積もりとなります。
- ※ サイト内に複数のWordpress がある場合は別途となります。