オウンドメディア担当として、「いつかやらないと…と思いつつ後回しにしてしまう」ことのひとつがセキュリティ対策ではないでしょうか?最近では大手オウンドメディアでも、トップページの改ざんやドメイン乗っ取りなどのトラブルが起こっています。他人事ではなく、セキュリティ対策は急務です!
とはいえ中小企業など少人数でオウンドメディアを運営していると「社内にセキュリティ対策に詳しい人がいない」「予算が限られているからあまり対策できない」という悩みもありますよね。
そこで、最低限これだけはおさえておきたい!というオウンドメディアのセキュリティ対策を「ドメイン」「WordPress」という2つのポイントごとにまとめました。
ドメインが勝手に乗っ取られる!?ドメインハイジャックを防ぐ方法
2019年4月に人気アニメ「ラブライブ!」の公式サイトが乗っ取られるという事件が起こりました。大きく報道されたのでご存じの方も多いかもしれません(現在は復旧済み)。
この事件、ラブライブ!のサーバに不正アクセスが行われたというわけではありません。実は、ドメインが勝手に移管手続きされてしまった、と言われています。こうしたドメインを乗っ取る手口は「ドメインハイジャック」と呼ばれていて、世界中で被害事例が増えています。
ドメインハイジャックの手口とは!?
詳しい説明は省きますが、ラブライブ!のケースではドメイン移管ルールの隙をつかれたそうです。つまり、ハッカーのような専門知識がなくてもドメインハイジャックはできてしまうというわけです。ここが怖いところ。
※ドメインハイジャックはDNSサーバに不正アクセスするなど、他の方法もあります。
「うちのオウンドメディアのドメインは有名じゃないし、乗っ取りの心配はなさそう」なんて思っている方、要注意です!オウンドメディアの場合、社名やサービス名ではなくて一般的な単語をドメインに使っていることも多いのではないでしょうか?
例えば文房具メーカーのオウンドメディアが「bunbougu.com」ドメインを使うパターン、よくありますよね。こうなると一般的なワードなので、ドメインハイジャックされる可能性は高いかもしれません。
ドメインハイジャックを防ぐには?
「ラブライブ!」サイトのようなパターンを防ぐため、ドメイン登録事業者ではセキュリティ対策サービスを用意しています。お名前.comでは「ドメインプロテクション」というサービスを2018年から提供しています。
このサービスを利用すると、管理者でもドメイン関連の変更ができない設定にできます。もし設定を変更したいときは、事前登録したメールアドレスでの認証が必要。そのため第三者による操作を防止できます。
お名前.comのほか、ムームードメインでも「ドメインロック」という同様のサービスがあります。どちらもおおよそ年間1,000円程度かかる有料サービスではありますが、念のため利用しておくと安心度は高まるはず。
サーバやプログラムは外部に委託していても、ドメイン管理はオウンドメディア運用者が行うというところも多いと思います。ですからドメインを守るためのセキュリティ対策は、オウンドメディア担当としておさえておきたいポイントです!
WordPressを使っているオウンドメディアは、最低限この設定だけはチェック!
シェアが高くオープンソースのCMSであるWordPressは、不正アクセスの標的になりやすいといわれています。実際WordPressを使ったサイトのページが改ざんされ、詐欺サイトに誘導されたりマルウェア(ウィルスの一種)が仕込まれてしまったりと大きなトラブルにつながったケースも。
オウンドメディアもWordPressを使って構築しているケースが多いと思います。これって他人事じゃないですね。
とはいえシステムに詳しくないオウンドメディア担当の方は、どんなセキュリティ対策をすればいいのか、よくわからないという方も多いかもしれません。最低限おさえておきたいセキュリティ対策として、4つのポイントを紹介します。
(1)WordPressのバージョンは最新にしておく
WordPressのバージョンはできるだけ最新版にしておきたいところ。特にメジャーなアップデートは脆弱性対応なども含まれるので、セキュリティ対策としても重要です。プラグインが多いとどうしても後回しにしがちですが、バージョンアップを怠るとリスクは大きくなります。
ちなみにプラグインの問題で不正アクセスされたという事例もあります。プラグインのバージョンアップもチェックしておきましょう。
(2)WordPressの初期設定を変える
WordPressの設定を変えておく、というのもやっておきたいセキュリティ対策。例えば管理画面のディレクトリなどをデフォルトから名称を変更しておくのも基本です。
とはいえ手動で設定変更はリスクがあります。設定がうまくいかないと、管理画面にログインできなくなるので要注意!設定に自信がない方は、設定をまとめて行えるプラグインを使うというのはいかがでしょうか?「All In One WP Security & Firewall」「SiteGuard WP Plugin」などがよく知られていますね。
またレンタルサーバーの会社によっては、WordPressセキュリティ対策ガイドをまとめているところもあります。たとえばエックスサーバーでは管理画面にログインできるIPアドレスの制限など、WordPressのセキュリティ対策についてまとめています。こうした説明を見ながら設定すれば、やりやすいと思います。
(3)改ざん検知サービスを利用する
万が一改ざんされた場合、オウンドメディアを放置していると問題がどんどん大きくなります。そこで何かあったとき、メールで管理者に通知してくれるサービスを使うという方法もあります。例えばさくらインターネットでは「Webかいざん検知サービス」を提供しています。有料なので気軽に導入できるわけではないと思いますが。
ちなみにエックスサーバーの場合、法人向けの「エックスサーバービジネス」では全プラン無料でWeb改ざん検知設定ができるようです。
まずは現在使っているレンタルサーバーの改ざん検知サービスをチェックしてみましょう。
(4)バックアップをとっておく
こちらも改ざんされた場合の備えとして、考えておきたいのがバックアップ。改ざんに限らず、何らかのトラブルでサーバにアップしたデータが消えてしまう可能性はあります(かつて某レンタルサーバー会社にて、全データが消失した事件もありました)。
オウンドメディアにとっても、定期的なバックアップは必須だと思います!
WordPressデータのバックアップができるプラグインについては、別記事で詳しく解説しています。
「オウンドメディア運営に必須!WordPressプラグイン5選」
まとめ
オウンドメディアの場合、個人情報や企業の機密情報を扱うというケースはあまりないと思います。そこでセキュリティ対策はそんなに気にしていない、なんて方も多いかもしれません。とはいえ、今はいろいろなリスクが増えている時代。ドメインやWordPress関連で最低限おさえておいたいところは、早めにチェックしてみましょう!
思い切ってWordPressから「はてなブログMedia」などのCMSに乗り換える、というワザもあります。ただそれなりの運用コストがかかるので、それに見合うかどうか…というところでしょうか(個人的にはあまりおすすめしませんが)。
どうしても社内メンバーでオウンドメディアのセキュリティ対策が難しいときは、セキュリティ対策を含めた保守を外部業者に委託することも考えたいところ。
バージョンアップをはじめとしたWordPressの運用などをアウトソースできれば、社内の負担は大きく減るはず。中小の制作会社であればほどほどのコストで委託できるケースもありますので、検討してみてはいかがでしょうか?
