こんなことでお悩みではありませんか?
SERVICE
サービスの紹介
- 脆弱性診断
- Wordpress本体はもちろん環境全体を網羅的に診断 WordPress本体の診断はもちろん、テーマ、プラグインも含め、サイト全体を対象としたセキュリティ・脆弱性診断を実施いたします。
-
- マルウェア感染診断
- サイト全体を網羅的に調査し、マルウェア感染の有無を診断いたします。またマルウェアの感染を検知した場合には、発生事象に応じた対応策をご案内いたします。
-
- WordPress本体、テーマ、
プラグインの脆弱性診断 - WordPress本体はもちろん、テーマ、プラグインも含め、現在利用しているバージョンに対しての脆弱性を診断いたします。
- WordPress本体、テーマ、
-
- サーバー上のフォルダ、
ファイルへのアクセス制御診断 - サイトの設定を管理している重要なファイルが、外部からアクセス可能な状態になっていないか、また適切なアクセス制御がなされているかを確認いたします。
- サーバー上のフォルダ、
-
- 不正ログイン、ログイン画面への
総当たり攻撃に対する脆弱性の診断 - WordPressの管理者ログイン画面に対する、外部からの攻撃を防ぐためのセキュリティ対策が十分であるか、複数の項目にて診断いたします。
- 不正ログイン、ログイン画面への
-
- メールフォームの脆弱性診断
- “入力した情報を抜き取る”、”悪質なサイトへ誘導する”といった、メールフォームを利用した攻撃に対して、有効な対策が取られているかを診断いたします。
-
- ファイアーウォールの脆弱性診断
- 外部からの不正なアクセスを検知し遮断するWebアプリケーションファイアウォール(WAF)の導入の有無を確認。さらにWAFの設定内容を診断いたします。
-
- ログインユーザー名、
パスワードの強度診断 - 推測されにくいログインユーザー名、パスワードになっているか、またログインユーザー名が外部に公開される設定になっていないかを確認いたします。
- ログインユーザー名、
-
- Webブラウザのセキュリティ設定診断
- ユーザーが使用するWebブラウザのセキュリティを強化するための設定(HTTPセキュリティヘッダー)が正しく導入されているかを診断いたします。
-
- ログ解析(Debug.log)
- WordPressのエラーログ(Debug.log)の出力内容を解析し、サイトの脆弱性に影響する項目をレポートいたします。
- 診断レポート作成
- 診断結果はレポートにまとめてご報告 調査結果をわかりやすくまとめた診断レポートを作成。自社のホームページの状況を一目でご理解いただけます。問題のある箇所に関してはその詳細までレポートいたします。
- セキュリティ対策
- 診断結果に基づいた独自のセキュリティ対策 脆弱性診断の結果を踏まえ、お客様のサイトに必要となるセキュリティ対策をご提案いたします。
- ホームページのSSL化(通信の暗号化)
- サイトにアクセスする際の通信を暗号化することにより、個人情報やCookie(Webサイトの閲覧履歴や入力情報等)等の漏洩を防ぐことが可能となります。
SSLサーバ証明書を設定していたとしても、暗号化なしで通信できてしまうケースもあるため、注意が必要です。
- ファイル、フォルダの属性(パーミッション)の変更
- マルウェア感染では、アクセス権の不備を悪用して、サーバーに不正なファイルを設置する攻撃がよく行われます。ファイルやフォルダに適切なアクセス権を設定することは、こうしたマルウェア感染を防ぐためにも重要です。
当社では通常のアクセス件の設定に加え、重要ファイルを外部から閲覧・アクセス不可にする設定や、外部からPHPファイルを実行できるフォルダを制限する設定等、一歩踏み込んだ対策まで対応いたします。
- ファイアウォールの導入
- 不正な文字列を利用した攻撃を無効化するための各種設定を追加いたします。
また利用しているサーバーにWAF(アプリケーションファイアウォール)の機能が存在する場合は、WAFの導入までサポートいたします。
- HTTPセキュリティヘッダの設定
- Webブラウザ側のセキュリティ強化に繋がるHTTPセキュリティヘッダの設定を追加いたします。 設定を行うことにより、クロスサイトスクリプティングやクリックジャッキングなどの攻撃を軽減することが可能となります。
- ログイン画面アクセスURLの変更
- WordPressのログイン画面のURLを変更することにより、不正ログインリスクの低減や、ブルートフォース攻撃(総当たり攻撃)の回避等が期待できます。
- ログインロックアウト機能の導入
- 一定の回数以上、ログイン名やパスワードを間違えた場合、ユーザーのアカウントをロックする「ログインロックアウト機能」を導入いたします。
ログインロックアウト機能は、悪意のある第三者がパスワードを手当たり次第試し、解析する攻撃(ブルート フォース攻撃)に有効です。
- コメントスパム対策用設定の投入
- 大量のスパムコメントによるサーバーへの負荷を回避するための設定を追加いたします。
- スパムメール送信をブロックする仕組みの導入(reCAPTCHA)
- 問い合わせフォームを利用したスパムメールの送信を回避する仕組み(Google reCAPCHA等)を導入いたします。
- ファイル改ざん検知機能の導入
- ハッキングによるページやファイルの改ざんをメールでお知らせする機能を導入いたします。
本機能を導入することにより、サイトの改ざんが広範囲に広がる前に対策を打つことが可能となります。
- バックアップの取得
- サーバー故障等によるデータ破損に備え、復旧用WordPressバックアップデータを取得いたします。
- サイト設置フォルダの移行
- WordPressのフォルダ構成には一定のルールが存在することから、重要ファイルが保存されているフォルダも比較的容易に特定されてしまいます。
ボット等の攻撃者は、サイトのURLからWordPressのログイン画面や重要ファイルを推測し、攻撃を仕掛けてきます。
例)https://example.co.jpの場合
ログイン画面: https://example.co.jp/wp-login.php
重要ファイル: https://example.co.jp/wp-config.php
こうした攻撃からサイトを守るための対策としては、WordPressをもう一つ下の階層のフォルダに移設することが効果的です。新たに作成したフォルダ内にWordPressを移設することにより、攻撃者は重要ファイルにたどり着くことが出来なくなります。
フォルダ「site-folder」内にWordPressを設置した例ログイン画面: https://example.co.jp/site-folder/wp-login.php
重要ファイル: https://example.co.jp/site-folder/wp-config.php
WordPres本体はもちろん、環境全般も含めたバージョンアップ作業をうけたまわります。
- WordPress
- WordPress本体を最新版にアップデートします。バージョン4以前の古いWordPressからのアップデートも対応可能です。
- テーマ
- WordPres公式テーマ等、既製のテーマについては、最新版を入手の上バージョンアップ作業を行います。 また、オリジナルのテーマについては、最新のWordPressで問題なく動作するように、テーマファイルを修正いたします。
- プラグイン
- 最新のプラグインを入手の上、バージョンアップ作業を行います。
また、長期間更新されていないプラグインや、最新のWordPressに対応していないプラグインを使用している場合は、「代替のプラグイン」や「改修による代替策」をご提案いたします。
- PHP
- PHP(サーバー上で稼働するプログラム言語)のバージョンアップも対応可能です。
サーバー上のPHPを最新バージョンに更新することはもちろん、オリジナルテーマをご利用の場合、テーマを構成するPHPファイルの改修まで対応いたします。
- データベース(MySQL)
- 最新版のMySQL上に新しいデータベースを作成し、旧データベースからデータを移行します。
お問い合わせ
(土日祝も受け付けております)
過去の事例
実際に弊社にて対応した事例を
ご紹介いたします
脆弱性診断
自社で管理しているサイトが改ざんされたお客様からのご相談です。
幸いなことに、バックアップを取っていたため自力で復旧することができましたが、今後の運用に不安があるためご相談いただきました。
- 診断結果
- 診断を行った結果、「ファイル、フォルダの属性(パーミッション)の不備」、「脆弱性が存在するプラグインの使用」、「脆弱性が存在する旧バージョンのPHPを使用」等、攻撃の対象になり得る要素が複数見つかりました。
- 復旧対応
-
診断結果を踏まえ、以下対策を実施いたしました。
・重要ファイルへのアクセス制限の追加
・一部フォルダに対して、外部からPHPを実行できない設定を追加
・WordPrss本体及びプラグインをすべて最新版に更新
・サーバー側PHPを最新版にバージョンアップ。加えて、WordPressテーマ等のPHPプログラムも最新バージョンにあわせて改修。Debug.logにError、Waning等が発生しないことまで確認。
契約しているレンタルサーバの管理会社より、「不正メールを大量送信しているためサイトを一時的クローズした」と連絡を受けたお客様からご相談をいただきました。サイトは閲覧できるようになったものの、再び閉鎖される恐れもあるため、診断をお願いしたいとご相談をいただきました。
- 診断結果
- 診断の結果、対象のサイトはスパムメール対策が施されておらず、大量のメール送信に悪用されやすい状態であることが判明しました。また、ファイルやフォルダの属性(パーミッション)にも問題があり、マルウェアに感染するリスクが潜んでいることも分かりました。
- 復旧対応
-
診断結果を踏まえ、スパムメール対策を重視した以下セキュリティ対策を実施いたしました。
・メールフォーム用プラグインの更新
・スパムメール対策(reCAPTCHA)の導入
・特定のドメインやIPアドレスに対してのアクセス制限の設定
・重要ファイルへのアクセス制限の追加
料金
貴社サイトの脆弱性を網羅的に診断。
結果はレポートにまとめてご報告いたします。
49,500円(税込)
※ 1サイト当たりの診断料金です。※ 作業環境に応じて追加の料金が必要となる場合がございます。
-
サービスの概要
- リモートにて貴社サイトの脆弱性を診断いたします。
- 診断結果はレポートにまとめご報告いたします。またWeb会議を設定し、レポートの詳細に関しまして直接ご説明いたします。
診断結果を踏まえ、必要となる
セキュリティ対策を行います。
55,000円~(税込)
※ 作業内容に応じて料金が変動いたします-
サービスの概要
- 診断結果を踏まえ、お客様のサイトに必要となるセキュリティ対策をご提案いたします。
- ご要望に応じて、WordPress全体のバージョンアップ、サーバーの引っ越し等も対応いたします。
お支払いは安心の後払い制です。
「銀行振込」、「クレジットカード払い」を選択いただけます。
お申し込みから診断までの流れ
- お問い合わせ
-
メールフォームもしくはお電話にてお問い合わせください。
サービスの詳細については、別途Web会議を設定してご説明することも可能です。
- 脆弱性診断のお申し込み
- 脆弱性診断のお申込書(電子契約書)をお送りいたします。内容をご確認のうえ、お申し込みください。 ※紙の契約書をご希望の場合は、その旨お申し付けください。
- 脆弱性診断
- 弊社エンジニアが、貴社ホームページの脆弱性診断を実施いたします。
ホームページ自体は稼働させたまま診断を行いますので、ホームページの停止等の心配はございません。
- 診断結果のご報告
- 診断結果をまとめたレポートを作成いたします。
またオンライン会議を設定して、レポートの詳細についてご説明いたします。
- セキュリティ対策のご提案
- 診断結果を踏まえ、お客様のサイトに必要となるセキュリティ対策をご提案いたします。
その際に、お見積り、スケジュール等もあわせてご案内いたします。
- セキュリティ対策のお申し込み
- 作業対象とするセキュリティ対策確定後、お申込書(電子契約書)をお送りいたします。内容をご確認のうえ、お申し込みください。
- セキュリティ設定の追加作業
- 弊社エンジニアがセキュリティ設定の追加作業を行います。
作業完了後の動作確認に関しまして、ご協力をお願いいたします。
- レポート作成/作業報告
- 実施した作業内容をレポートにまとめてご報告いたします。
レポートは社内報告用の資料としてもご利用いただけます。
- 訪問対応をご希望のお客様
-
お客様のオフィスにおうかがいして、復旧対応を実施する”訪問復旧”サービスもご用意しております。
「復旧にあたり必要となるログインアカウント情報等の貸与が難しい」
「キュリティポリシー上、外部から該当サーバーへアクセスできない設定になっている」
といったケースでも、弊社では訪問復旧サービスにて対応可能です。
まずはお気軽にご相談ください。
よくあるご質問
- どのようなサイトでも診断いただけますか
- 本脆弱性診断は、WordPressで作成されたサイトのみが対象となります。
自社のホームページがWordPressで作成されているか不明の場合も、まずはお気軽にお問い合わせください。弊社内にて調査の上、WordPress利用の有無をご回答いたします。
- マルウェア・ウイルスに感染しているかも調べていただけますか
- マルウェア・ウイルスの感染チェックも実施いたします。
診断の結果、マルウェア・ウイルスが発見された場合には、対処案をご案内いたします。
- 診断を依頼してからどのくらいで診断結果が届きますか
- サイトのページ数に応じ、通常2~5営業日以内に診断結果をお送りいたします。
マルウェア・ウイルスへの感染が疑われる場合は、対象箇所のみにフォーカスし、迅速に調査を実施いたします。
- 診断には何が必要でしょうか
- 診断には、WordPressログインアカウント、FTP情報等が必要となります。
情報の貸与が難しいお客様に関しましては、オフィスにおうかがいして診断を実施する”訪問診断”サービスをご用意しております。
ご希望のお客様は、お気軽にお問い合わせください。
- 訪問診断の依頼は可能でしょうか
- お客様のオフィスにおうかがいしての診断もうけたまわっております。
訪問先の詳細をおうかがいした上でお見積書を作成いたしますので、まずはお気軽にお問い合わせください。
- 支払方法を教えてください
- お支払いは安心の後払い制です。「銀行振込」、「クレジットカード払い」を選択いただけます。
- 機密保持契約を結ぶことは可能ですか
- はい。可能です。作業着手前に機密保持に関する電子契約書をメールにてお送りいたします。
お客様側で用意した契約書のテンプレートの使用をご希望の場合は、その旨ご相談ください。
- クライアントのホームページの脆弱性診断、セキュリティ対策もお願いできますか
- 開発会社様クライアントのサイトに関しましても、診断、セキュリティ対策をうけたまわっております。
まずはお気軽にご相談ください。
脆弱性診断/
セキュリティ対策サービス
お問い合わせ
脆弱性診断・セキュリティ対策サービスのご依頼及びお問い合わせは、以下よりお願いいたします。