ブログの脆弱性ってチェックしていますか?【PR】
まんきちです。本ブログではアフィリエイト広告を利用しています。
皆さんの中には筆者同様ブログをやられている方も多いと思いますが、ご自分のブログの「脆弱性」って意識したことありますか?
「脆弱性」ってなに??そもそもなんて読むの?
って方も多いのではないでしょうか。筆者も何年か前までは同じでした!
ですが、サイバーセキュリティ関係の仕事をすることになったことで、ようやくなんて読むか知ることができただけでなく、夢でうなされるほど苦しめられました!
本記事の中では、
- 脆弱性とは何か?
- ブログの脆弱性の対応は誰がするの?
- 脆弱性スキャンをするには?
などについて紹介します。
脆弱性とは何か?そもそもなんて読むのか?
脆弱性(ぜいじゃくせい)というのは、コンピュータのオペレーティングシステム(OS)やソフトウェアにおいて、プログラムの不具合や設計上のミスが原因で発生するサイバーセキュリティ上の欠陥のことです。別名、セキュリティホールとも呼ばれるものです。
脆弱性の影響は広範囲に及び、金銭的損失やビジネスの中断だけでなく、顧客の信頼失墜やブランド価値の低下、法的責任などの長期的な影響も考慮する必要があります。
脆弱性診断は、システムやアプリケーション内に潜む脆弱性を特定し、潜在的な攻撃者からの脅威を軽減することを目的としています。定期的に実施して、ソフトウェアの更新やネットワークの構成変更、新たなセキュリティ脅威がないかどうかを確認する必要があります。
これらの脆弱性に対する適切な対策を講じることは、ウェブサイト運営者の義務になります。
ちょっと、まだ実感がわかないんだけど、具体的にはどんな脅威があるの?
例えば、せっかく投稿したブログ記事を消されてしまったり、改ざんされてしまったら大変ですよね?そういった危険を含んでいるですよ。
ブログの脆弱性の対応は誰がとるべきなのか?
ブログを書いている方の多くは自前のサーバーではなくて、レンタルサーバー上で書かれているのではないかと思います。
筆者もそうですが、その場合、サーバーの脆弱性って誰が責任を持つの?って思いますよね?
- サーバーを構成するソフトウェア自体の脆弱性→レンタルサーバー運営会社
- WordPressにインストールされたプラグインの脆弱性→プラグイン作成者
- WordPressのセキュリティー設定およびプラグインの更新→WordPress設置者
になります。
ただし、もしWordPress設置者が脆弱性を発見した場合には、レンタルサーバー運営会社、あるいはプラグイン作成者へ連絡を行なった方が好ましいです。それは、そのほうが早く修正が行われる可能性が高いからです。
脆弱性スキャンをするには?
検索してもらえるとわかりますが脆弱性スキャナーは世の中にたくさんありますが、多くが有料のものになります。中には無料トライアルがあるものがありますが、機能が限定的であったり、使用期限があったりで、常時使用には向きません。
オープンソースの脆弱性スキャナーもありますが、相当の技術的バックグラウンドがないと動作させることすらできないです。いくつか紹介しておきますね。
- Vuls · Agentless Vulnerability Scanner for Linux/FreeBSD
- OpenVAS – Open Vulnerability Assessment Scanner
- Nikto 2.5 | CIRT.net
そのうちこれらも試してみたいと思っていますので、その時はまた記事にします。
WordPress用のプラグインで脆弱性スキャン機能を持つものはありますのでご紹介だけしておきますね。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
ネットde診断とは?
唐突ですが、ネットde診断ってご存じでしょうか?GMOサイバーセキュリティーというところが提供している有料のサービスのようです。
詳細はこちら=>GMOサイバー攻撃ネットde診断
筆者も先日まで知らなかったのですが、レンタルサーバー会社である Conoha より突然メールを受け取りました。
実は、先日他のドメイン上にブログの設置を行なったのですが、特に何も記事を書かずに放置していました。そのサーバーに脆弱性が見つかったというメールでした。
え?そもそもそんなサービスがあったの?っていうのが正直な感想です(笑)。2年近く使っているのにまった知りませんでした。と思ったら、今年から始まったサービスのようです。
内容を見てみると、リスクレベル中の問題が1件見つかっています。内容はあえてふせさせてもらっています。
あらためてConohaWINGのコントロールパネルを見たらネットde診断という項目がありました!
3ヵ月に1度自動的に走っているようですが、月に2回までは手動で実行することもできるようです。
せっかくなので手動で診断をしてみました。
残り回数が1回になりました。診断結果は「診断結果」を押せばいいのすが、しばらく時間がかかるらしく、実際にここから見ることができたのは結構な時間がたってからでした。別途メールも届いていたのでメールが届くまで待ったほうがよいかもしれませんね。
「診断結果」を押すとこのようなポップアップが表示されます。
診断結果のリンクをクリックするとパスワードを求められるので、この画面に出ている「パスワード」入力すると結果を見ることができます。
最後に
今回は期せずしてネットde診断という機能がConohaにあることがわかってよかったです。
それで、見つかった脆弱性ですが、ConoHaのサポートに問い合わせをしたところ、問題はないという回答をいただきました。
引用元:ネットde診断(脆弱性診断)|レンタルサーバーならConoHa WING
便利な機能があっても意外に知らなかったりするんだなと思いました。みなさんも一度確認してみてくださいね。
ConoHa WING には他にもありがたい機能があります。
ConoHa WINGに興味がある方はこちらからどうぞ↓
ConoHa WING をチェック! ==> ConoHa WINGはこちら