WelHost セキュリティー条件

ECパッケージ WelHost

WordPress 運用にかかわる煩わしさから解放します。
ショップの運営に全力を注いでください。

wc_host-service-img01

WelHost は、Welcart をすぐに利用できる環境をパッケージにしてご提供するサービスです。もうサーバーを自分で用意する必要はありません。
ネットショップを運営するために必要なプラグインを厳選してセットアップしています。また、弊社が販売している拡張プラグインやテーマが全て無料で利用できるので、様々なお店の運営形態に対応できます。

2022年10月より、新たにクレジットカード決済を行うには、下記の4つの問題への対策を事前に行うことが義務付けされました。主にサーバー環境や運用に関するセキュリティー対策ですが、WelHost ではこれらの対策をすべてクリアしていますので、安心してカード会社様に申込していただくことが可能です。(一部有償オプションあり)
  1. 管理者画面のアクセス制限不備と管理者のID/PW管理不足
  2. データディレクトリの露見に伴う設定の不備
  3. 脆弱性診断またはペネトレーションテストの定期実施
  4. マルウェア対策としてのウイルス対策ソフトの導入、運用
1. 管理者画面のアクセス制限不備と管理者のID/PW管理不足
  • 管理者のアクセス可能なIPアドレスを制限する。
  • IPアドレスを制限できない場合は、管理画面にベーシック認証等のアクセス制限を設ける。

IPアドレスを制限、ベーシック認証いずれも可能です。契約者の希望により実装いたします。

  • 取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。

プラグインを使用して二段階認証を実装することができます。

  • 管理者画面のログインフォームでは、アカウントロック機能を有効にし、6回以上のログイン失敗の際はアカウントをロックする。

ログイン監視プラグインを使用して実装可能です。

2. データディレクトリの露見に伴う設定の不備
  • 公開ディレクトリには、重要なファイルを配置しない。(特定のディレクトリを非公開にする。公開ディレクトリ以外に重要なファイルを配置する。)

初期状態では、公開ディレクトリに重要なファイル(wp-config.phpなど)は設置しません。また、ディレクトリ内のファイルリストは非公開となっています。

  • WebサーバやWebアプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。

アップロード可能なファイルの種類を制御するプラグインを導入することで可能です。

3. 脆弱性診断またはペネトレーションテストの定期実施
  • 脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。

定期的にVulsによる脆弱性診断を行います。診断で指摘されたソフトウェアは直ちにアップデートを行います。更新がない場合は代替え製品に交換するなどの対応を取ります。

  • SQLインジェクションの脆弱性やクロスサイトスクリプティングの脆弱性対策として、当該脆弱性の無いプラグインの使用やソフトウェアのバージョンアップを行う。

WordPressおよび全てのプラグインとテーマに対して、定期的にアップグレードを行います。契約者が行う必要はありません。

  • Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みではあるか、ソースコードレビューを行い確認する。その際には、入力フォームの入力値のチェックも行う。

弊社にご依頼いただいたカスタマイズ等につきましては、全て弊社でチェックを行います。契約者が自ら行ったカスタマイズについては、有料調査チェック、修正をご依頼いただくことになります。

4. マルウェア対策としてのウイルス対策ソフトの導入、運用
  • マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。

契約者が使用する端末は、契約者が自らウィルス対策ソフトを導入する必要があります。サーバーは ClamAV によりフルスキャンを行います。