WordPressサイト運用担当者様必見!!

こんなことでお悩みではありませんか?

サイトの乗っ取り等のニュースをよく見かけるが、自社のサイトは大丈夫か心配
サイトのセキュリティを強化したいが、社内に専門家がいないため対応できない
上司からサイトの脆弱性をチェックするよう指示があったが、何から手をつけたらよいかわからない

WordPress脆弱性診断
・セキュリティ対策サービス

WordPressサイトの脆弱性診断からセキュリティ対策まで経験豊富なエンジニアが一気通貫で対応いたします

SERVICE

サービスの紹介

01
脆弱性診断
Wordpress本体はもちろん環境全体を網羅的に診断 WordPress本体の診断はもちろん、テーマ、プラグインも含め、サイト全体を対象としたセキュリティ・脆弱性診断を実施いたします。
脆弱性診断
  • マルウェア感染診断
    マルウェア感染診断
    サイト全体を網羅的に調査し、マルウェア感染の有無を診断いたします。またマルウェアの感染を検知した場合には、発生事象に応じた対応策をご案内いたします。
  • 脆弱性診断
    WordPress本体、テーマ、
    プラグインの脆弱性診断
    WordPress本体はもちろん、テーマ、プラグインも含め、現在利用しているバージョンに対しての脆弱性を診断いたします。
  • ファイルへのアクセス制御診断
    サーバー上のフォルダ、
    ファイルへのアクセス制御診断
    サイトの設定を管理している重要なファイルが、外部からアクセス可能な状態になっていないか、また適切なアクセス制御がなされているかを確認いたします。
  • 総当たり攻撃に対する脆弱性の診断
    不正ログイン、ログイン画面への
    総当たり攻撃に対する脆弱性の診断
    WordPressの管理者ログイン画面に対する、外部からの攻撃を防ぐためのセキュリティ対策が十分であるか、複数の項目にて診断いたします。
  • メールフォームの脆弱性診断
    メールフォームの脆弱性診断
    “入力した情報を抜き取る”、”悪質なサイトへ誘導する”といった、メールフォームを利用した攻撃に対して、有効な対策が取られているかを診断いたします。
  • ファイアーウォールの脆弱性診断
    ファイアーウォールの脆弱性診断
    外部からの不正なアクセスを検知し遮断するWebアプリケーションファイアウォール(WAF)の導入の有無を確認。さらにWAFの設定内容を診断いたします。
  • ログインユーザー名やパスワードの強度診断
    ログインユーザー名、
    パスワードの強度診断
    推測されにくいログインユーザー名、パスワードになっているか、またログインユーザー名が外部に公開される設定になっていないかを確認いたします。
  • Webブラウザのセキュリティ設定診断
    Webブラウザのセキュリティ設定診断
    ユーザーが使用するWebブラウザのセキュリティを強化するための設定(HTTPセキュリティヘッダー)が正しく導入されているかを診断いたします。
  • ログ解析
    ログ解析(Debug.log)
    WordPressのエラーログ(Debug.log)の出力内容を解析し、サイトの脆弱性に影響する項目をレポートいたします。
02
診断レポート作成
診断結果はレポートにまとめてご報告 調査結果をわかりやすくまとめた診断レポートを作成。自社のホームページの状況を一目でご理解いただけます。問題のある箇所に関してはその詳細までレポートいたします。
診断レポート作成
03
セキュリティ対策
診断結果に基づいた独自のセキュリティ対策 脆弱性診断の結果を踏まえ、お客様のサイトに必要となるセキュリティ対策をご提案いたします。
全般
ホームページのSSL化(通信の暗号化)
サイトにアクセスする際の通信を暗号化することにより、個人情報やCookie(Webサイトの閲覧履歴や入力情報等)等の漏洩を防ぐことが可能となります。
SSLサーバ証明書を設定していたとしても、暗号化なしで通信できてしまうケースもあるため、注意が必要です。
ファイル、フォルダの属性(パーミッション)の変更
マルウェア感染では、アクセス権の不備を悪用して、サーバーに不正なファイルを設置する攻撃がよく行われます。ファイルやフォルダに適切なアクセス権を設定することは、こうしたマルウェア感染を防ぐためにも重要です。
当社では通常のアクセス件の設定に加え、重要ファイルを外部から閲覧・アクセス不可にする設定や、外部からPHPファイルを実行できるフォルダを制限する設定等、一歩踏み込んだ対策まで対応いたします。
ファイアウォールの導入
不正な文字列を利用した攻撃を無効化するための各種設定を追加いたします。
また利用しているサーバーにWAF(アプリケーションファイアウォール)の機能が存在する場合は、WAFの導入までサポートいたします。
HTTPセキュリティヘッダの設定
Webブラウザ側のセキュリティ強化に繋がるHTTPセキュリティヘッダの設定を追加いたします。 設定を行うことにより、クロスサイトスクリプティングやクリックジャッキングなどの攻撃を軽減することが可能となります。
WordPress
ログイン画面アクセスURLの変更
WordPressのログイン画面のURLを変更することにより、不正ログインリスクの低減や、ブルートフォース攻撃(総当たり攻撃)の回避等が期待できます。
ログインロックアウト機能の導入
一定の回数以上、ログイン名やパスワードを間違えた場合、ユーザーのアカウントをロックする「ログインロックアウト機能」を導入いたします。
ログインロックアウト機能は、悪意のある第三者がパスワードを手当たり次第試し、解析する攻撃(ブルート フォース攻撃)に有効です。
コメントスパム対策用設定の投入
大量のスパムコメントによるサーバーへの負荷を回避するための設定を追加いたします。
スパムメール送信をブロックする仕組みの導入(reCAPTCHA)
問い合わせフォームを利用したスパムメールの送信を回避する仕組み(Google reCAPCHA等)を導入いたします。
ファイル改ざん検知機能の導入
ハッキングによるページやファイルの改ざんをメールでお知らせする機能を導入いたします。
本機能を導入することにより、サイトの改ざんが広範囲に広がる前に対策を打つことが可能となります。
バックアップの取得
サーバー故障等によるデータ破損に備え、復旧用WordPressバックアップデータを取得いたします。
サイト設置フォルダの移行
WordPressのフォルダ構成には一定のルールが存在することから、重要ファイルが保存されているフォルダも比較的容易に特定されてしまいます。
ボット等の攻撃者は、サイトのURLからWordPressのログイン画面や重要ファイルを推測し、攻撃を仕掛けてきます。
参考例 サイトのURLにファイル名を追加するだけでアクセスできてしまいます

例)https://example.co.jpの場合

ログイン画面: https://example.co.jp/wp-login.php
重要ファイル: https://example.co.jp/wp-config.php

こうした攻撃からサイトを守るための対策としては、WordPressをもう一つ下の階層のフォルダに移設することが効果的です。新たに作成したフォルダ内にWordPressを移設することにより、攻撃者は重要ファイルにたどり着くことが出来なくなります。

フォルダ「site-folder」内にWordPressを設置した例

ログイン画面: https://example.co.jp/site-folder/wp-login.php
重要ファイル: https://example.co.jp/site-folder/wp-config.php

※ フォルダ配下にWordPressを移設しても、ユーザーがアクセスするURLに変更はありません
バージョンアップ

WordPres本体はもちろん、環境全般も含めたバージョンアップ作業をうけたまわります。

WordPress
WordPress本体を最新版にアップデートします。バージョン4以前の古いWordPressからのアップデートも対応可能です。
テーマ
WordPres公式テーマ等、既製のテーマについては、最新版を入手の上バージョンアップ作業を行います。 また、オリジナルのテーマについては、最新のWordPressで問題なく動作するように、テーマファイルを修正いたします。
プラグイン
最新のプラグインを入手の上、バージョンアップ作業を行います。
また、長期間更新されていないプラグインや、最新のWordPressに対応していないプラグインを使用している場合は、「代替のプラグイン」や「改修による代替策」をご提案いたします。
PHP
PHP(サーバー上で稼働するプログラム言語)のバージョンアップも対応可能です。
サーバー上のPHPを最新バージョンに更新することはもちろん、オリジナルテーマをご利用の場合、テーマを構成するPHPファイルの改修まで対応いたします。
データベース(MySQL)
最新版のMySQL上に新しいデータベースを作成し、旧データベースからデータを移行します。

お問い合わせ

WPPLUSセキュリティサービスへのお問い合わせは以下よりお願いいたします

WEBからのお問い合わせ
お電話でのお問い合わせ 047-701-5206 【受付時間】 9:00 〜 20:00
(土日祝も受け付けております)

過去の事例

実際に弊社にて対応した事例を
ご紹介いたします

サイト改ざん後の
脆弱性診断

自社で管理しているサイトが改ざんされたお客様からのご相談です。
幸いなことに、バックアップを取っていたため自力で復旧することができましたが、今後の運用に不安があるためご相談いただきました。

診断結果
診断を行った結果、「ファイル、フォルダの属性(パーミッション)の不備」、「脆弱性が存在するプラグインの使用」、「脆弱性が存在する旧バージョンのPHPを使用」等、攻撃の対象になり得る要素が複数見つかりました。
復旧対応

診断結果を踏まえ、以下対策を実施いたしました。

・重要ファイルへのアクセス制限の追加
・一部フォルダに対して、外部からPHPを実行できない設定を追加
・WordPrss本体及びプラグインをすべて最新版に更新
・サーバー側PHPを最新版にバージョンアップ。加えて、WordPressテーマ等のPHPプログラムも最新バージョンにあわせて改修。Debug.logにError、Waning等が発生しないことまで確認。

不正メール送信対策

契約しているレンタルサーバの管理会社より、「不正メールを大量送信しているためサイトを一時的クローズした」と連絡を受けたお客様からご相談をいただきました。サイトは閲覧できるようになったものの、再び閉鎖される恐れもあるため、診断をお願いしたいとご相談をいただきました。

診断結果
診断の結果、対象のサイトはスパムメール対策が施されておらず、大量のメール送信に悪用されやすい状態であることが判明しました。また、ファイルやフォルダの属性(パーミッション)にも問題があり、マルウェアに感染するリスクが潜んでいることも分かりました。
復旧対応

診断結果を踏まえ、スパムメール対策を重視した以下セキュリティ対策を実施いたしました。

・メールフォーム用プラグインの更新
・スパムメール対策(reCAPTCHA)の導入
・特定のドメインやIPアドレスに対してのアクセス制限の設定
・重要ファイルへのアクセス制限の追加

料金

脆弱性診断/診断レポート作成

貴社サイトの脆弱性を網羅的に診断。
結果はレポートにまとめてご報告いたします。

49,500円(税込)

※ 1サイト当たりの診断料金です。
※ 作業環境に応じて追加の料金が必要となる場合がございます。
    サービスの概要
  • リモートにて貴社サイトの脆弱性を診断いたします。
  • 診断結果はレポートにまとめご報告いたします。またWeb会議を設定し、レポートの詳細に関しまして直接ご説明いたします。
セキュリティ対策

診断結果を踏まえ、必要となる
セキュリティ対策を行います。

55,000円~(税込)

※ 作業内容に応じて料金が変動いたします
    サービスの概要
  • 診断結果を踏まえ、お客様のサイトに必要となるセキュリティ対策をご提案いたします。
  • ご要望に応じて、WordPress全体のバージョンアップ、サーバーの引っ越し等も対応いたします。
お支払いについて

お支払いは安心の後払い制です。
「銀行振込」、「クレジットカード払い」を選択いただけます。

銀行振り込み
銀行振り込み
クレジットカード
クレジットカード

お申し込みから診断までの流れ

お問い合わせ
メールフォームもしくはお電話にてお問い合わせください。
サービスの詳細については、別途Web会議を設定してご説明することも可能です。
脆弱性診断のお申し込み
脆弱性診断のお申込書(電子契約書)をお送りいたします。内容をご確認のうえ、お申し込みください。 ※紙の契約書をご希望の場合は、その旨お申し付けください。
脆弱性診断
弊社エンジニアが、貴社ホームページの脆弱性診断を実施いたします。
ホームページ自体は稼働させたまま診断を行いますので、ホームページの停止等の心配はございません。
診断結果のご報告
診断結果をまとめたレポートを作成いたします。
またオンライン会議を設定して、レポートの詳細についてご説明いたします。
セキュリティ対策のご提案
診断結果を踏まえ、お客様のサイトに必要となるセキュリティ対策をご提案いたします。
その際に、お見積り、スケジュール等もあわせてご案内いたします。
セキュリティ対策のお申し込み
作業対象とするセキュリティ対策確定後、お申込書(電子契約書)をお送りいたします。内容をご確認のうえ、お申し込みください。
セキュリティ設定の追加作業
弊社エンジニアがセキュリティ設定の追加作業を行います。
作業完了後の動作確認に関しまして、ご協力をお願いいたします。
レポート作成/作業報告
実施した作業内容をレポートにまとめてご報告いたします。
レポートは社内報告用の資料としてもご利用いただけます。
訪問対応をご希望のお客様

お客様のオフィスにおうかがいして、復旧対応を実施する”訪問復旧”サービスもご用意しております。

「復旧にあたり必要となるログインアカウント情報等の貸与が難しい」
「キュリティポリシー上、外部から該当サーバーへアクセスできない設定になっている」
といったケースでも、弊社では訪問復旧サービスにて対応可能です。
まずはお気軽にご相談ください。

よくあるご質問

どのようなサイトでも診断いただけますか
本脆弱性診断は、WordPressで作成されたサイトのみが対象となります。
自社のホームページがWordPressで作成されているか不明の場合も、まずはお気軽にお問い合わせください。弊社内にて調査の上、WordPress利用の有無をご回答いたします。
マルウェア・ウイルスに感染しているかも調べていただけますか
マルウェア・ウイルスの感染チェックも実施いたします。
診断の結果、マルウェア・ウイルスが発見された場合には、対処案をご案内いたします。
診断を依頼してからどのくらいで診断結果が届きますか
サイトのページ数に応じ、通常2~5営業日以内に診断結果をお送りいたします。
マルウェア・ウイルスへの感染が疑われる場合は、対象箇所のみにフォーカスし、迅速に調査を実施いたします。
診断には何が必要でしょうか
診断には、WordPressログインアカウント、FTP情報等が必要となります。
情報の貸与が難しいお客様に関しましては、オフィスにおうかがいして診断を実施する”訪問診断”サービスをご用意しております。
ご希望のお客様は、お気軽にお問い合わせください。
訪問診断の依頼は可能でしょうか
お客様のオフィスにおうかがいしての診断もうけたまわっております。
訪問先の詳細をおうかがいした上でお見積書を作成いたしますので、まずはお気軽にお問い合わせください。
支払方法を教えてください
お支払いは安心の後払い制です。「銀行振込」、「クレジットカード払い」を選択いただけます。
機密保持契約を結ぶことは可能ですか
はい。可能です。作業着手前に機密保持に関する電子契約書をメールにてお送りいたします。
お客様側で用意した契約書のテンプレートの使用をご希望の場合は、その旨ご相談ください。
クライアントのホームページの脆弱性診断、セキュリティ対策もお願いできますか
開発会社様クライアントのサイトに関しましても、診断、セキュリティ対策をうけたまわっております。
まずはお気軽にご相談ください。

脆弱性診断/
セキュリティ対策サービス

お問い合わせ

脆弱性診断・セキュリティ対策サービスのご依頼及びお問い合わせは、以下よりお願いいたします。

    お電話でのお問い合わせ 047-701-5206

    受付時間 9:00~20:00
    (土日祝も受け付けております)

    お問い合わせ

    お問い合わせ項目
    氏名
    会社名
    メールアドレス
    電話番号
    住所
    復旧、診断対象のホームページURL
    お問い合わせ、ご質問内容

    プライバシーポリシー

    株式会社ツクイ・インターナショナル(以下「弊社」とする)は、個人情報の保護に関する法令を遵守するとともに、以下のポリシーに則り、お客さまの個人情報を適正に取り扱います。

    • お客さまの個人情報をお伺いする場合
      WP Plus [https://wpplus.jp](以下「本サイト」とする)では、お客さまが本サイトを利用される際、お客さまの個人情報をお伺いする場合があります。お客さまの個人情報をお伺いするのは、次のような場合です。
      ・ 弊社へのお問い合わせ
      ・ その他、本サイトにおけるサービスの利用上必要な場合
    • お伺いするお客さまの個人情報
      お客さまの個人情報として、氏名、住所、電話番号、性別、生年月日、電子メールアドレス等をお伺いすることがあります。お客さまからお伺いする情報は、弊社が提供させていただくサービスの目的に応じて必要な範囲のものに限らせていただきます。
    • 個人情報の保護・管理について
      弊社は、お客さまからお伺いした個人情報について、漏洩、改ざんなどの事態が生じないよう、最大限の注意を払って適切に保護・管理いたします。
    • 個人情報の開示について
      弊社は、お客さまの個人情報を、お客さまの同意がない限り、業務委託先以外の第三者に開示することはいたしません。ただし、下記の項目に該当する場合は、お客さまの個人情報を開示することがあります。
      (1) お客さまが弊社や他のお客さまなどに不利益を及ぼす行為をしたことが判明したために、裁判所、警察その他関係諸機関および利害関係者などに通知する場合
      (2) 官庁、裁判所、検察官、警察、弁護士会、消費者センターまたはそれらに準じる権限を有する機関から照会があった場合
      (3) 上記(1) および(2) の他、法令に基づいて開示を求められた場合
    • アクセスログについて
      本サイトではアクセスされた方の情報をアクセスログとして記録しています。アクセスログには、アクセスされた方のIPアドレス、ホスト名、ブラウザ、OS、アクセス日時等の情報が含まれます。 これらのアクセスログは本サイト及び各サービスの保守管理や利用状況に関する統計分析のために活用されますが、それ以外の目的で利用されることはありません。
    • セキュリティーについて
      本サイトでは、プライバシー保護およびセキュリティ確保のため、お客さまの個人情報について厳重なセキュリティ対策を講じております。弊社は、必要がある場合、データ伝送を保護するためSSL暗号を使用しております。
    • プライバシーポリシーの改訂について
      弊社は、お客さまが安心して本サイトをご利用いただけるよう、本プライバシーポリシーを適宜見直し、改訂していきます。なお、改訂されたプライバシーポリシーは、速やかに本サイトに掲載いたします。
    • 個人情報の開示等の請求またはお問い合わせについて
      弊社が保有しているお客さまの個人情報について、個人情報保護法に基づく開示、訂正、追加、削除、利用停止、第三者提供の禁止、もしくは利用目的の通知をご請求される場合、またはお問い合わせをされる場合は下記までお願いいたします。
    ※このサイトはreCAPTCHAによって保護されており、Googleのプライバシーポリシー利用規約が適用されます。
    ページ先頭へ