XSS 攻撃と CSRF 攻撃: それぞれの違いとその対策方法
公開: 2024-10-11クロスサイト スクリプティング (XSS) 攻撃とクロスサイト リクエスト フォージェリ (CSRF) 攻撃は、最新の Web サイトにとって最も一般的な危険の 1 つです。サイトを安全に保つためには、これらの攻撃がどのように機能するのか、またその攻撃を防ぐ方法を理解することが不可欠です。 XSS 攻撃と CSRF 攻撃の違い、および両方から保護する方法を知っておくことも重要です。
良いニュースは、XSS 攻撃と CSRF 攻撃から保護するために実行できるセキュリティ対策にはかなりの重複があることです。技術用語と攻撃ベクトルは大きく異なりますが、適切なセキュリティ慣行は両方を防ぐのに大いに役立ちます。
この記事では、XSS 攻撃と CSRF 攻撃がどのように機能するかを説明します。また、それらの違いについて説明し、これらの攻撃を防ぐためのベスト プラクティスについても説明します。さあ、始めましょう!
パート 1: XSS (クロスサイト スクリプティング)
XSS 攻撃から保護する方法を理解するには、XSS 攻撃がどのように機能するかを知ることが重要です。基本から始めましょう。
XSS 攻撃とは何ですか?
XSS 攻撃には、コードの脆弱性を利用して、悪意のあるスクリプトを Web サイトに挿入することが含まれます。 XSS 攻撃では通常 JavaScript が使用され、ログイン資格情報や個人情報などの情報を盗むために使用される可能性があります。攻撃者はユーザー セッションをハイジャックし、ユーザー アカウントに対して不正なアクションを実行することもできます。
XSS 攻撃にはさまざまな種類があります。攻撃者がどのように機能するかは、攻撃者と、攻撃者が Web サイト上で特定できる脆弱性 (存在する場合) によって異なります。
XSS 攻撃は、WordPress サイトを含むあらゆる種類の Web サイトに影響を与えます。攻撃者は、Web を巡回し、悪用できる脆弱性のある Web サイトを探すようにボットを構成します。したがって、まだトラフィックが少ない新しい Web サイトであっても、Web サイトのセキュリティを強化することが不可欠です。
XSS 攻撃の種類
XSS 攻撃には複数の種類がありますが、いずれも Web サイトに挿入された悪意のあるスクリプトを使用します。 Web セキュリティ コミュニティは、これらの悪意のあるスクリプトがどのように動作するかという観点から XSS 攻撃を分類しています。
- 保存された XSS。このタイプの攻撃では、悪意のあるスクリプトがサーバー上に残ります。攻撃者がこれを行うのは、訪問者がサイトにアクセスしたときにスクリプトを配信できるようにするためです。これは、多数のユーザーに影響を与える可能性があるため、おそらく最も危険なタイプの XSS 攻撃です。
- 反映された XSS。この場合、攻撃者はサイトのサーバーに悪意のあるスクリプトを保存しません。代わりに、ユーザーに URL をクリックしてスクリプトに誘導することに依存しています。
- DOM ベースの XSS。この攻撃は、ドキュメント オブジェクト モデル (DOM) 環境を変更することにより、訪問者のブラウザに悪意のあるコードを挿入しようとします。これは通常、ユーザーがフォームの送信など、何らかの方法でサイトと対話した後に発生します。
まだ少し混乱している場合でも、心配しないでください。次のセクションでは、あらゆる種類の XSS 攻撃、その仕組み、Web サイトとその訪問者に与える影響について詳しく説明します。
XSS 攻撃の仕組み
XSS 攻撃は、Web サイトの脆弱性を利用して悪意のあるコードを挿入します。これらの脆弱性は、欠陥のあるカスタム コードから、既知のセキュリティ問題がある古い WordPress プラグインに至るまで、あらゆるものに該当します。
その意味をよりよく理解するために、XSS 攻撃がどのように機能するかを詳しく見てみましょう。 XSS 攻撃の最初の要素は、Web サイトの脆弱性を特定することです。
攻撃の危険にさらされる最も一般的な要素には、次のようなものがあります。
- 入力フィールド。これらの要素は、コメント セクションからお問い合わせフォームに至るまで、Web 上のあらゆる場所に存在します。ユーザーがデータを送信するフィールドを保護することは、Web サイトを悪意のあるスクリプトから保護するために重要です。
- ユーザーのクッキー。これらには、ユーザー セッションとアカウントに関連するデータが保存されます。スクリプトは、Cookie をターゲットにしてユーザー セッションをハイジャックする傾向があります。ただし、WordPress のような高品質のプラットフォームは「HttpOnly」Cookie を使用し、XSS 攻撃によるCookieの盗用を防ぎます。
- 反映された内容。 「反映された」コンテンツとは、Web サイトがサニタイズせずにユーザーに返すデータを意味します。このプロセスでは、ユーザー入力から安全でない文字とコードを削除して、攻撃を防ぎます。
攻撃者は Web サイトの脆弱性を特定すると、それを悪用するスクリプトを作成します。 XSS 攻撃にはさまざまな目標があり、それによってスクリプトの動作が決まります。
XSS 攻撃の最も一般的な理由には次のようなものがあります。
- 悪意のあるリダイレクト。リダイレクトを使用すると、訪問者を元のサイトから他の宛先に送ることができます。攻撃者はこれを利用して、訪問者をフィッシング サイトやマルウェアを含むページに誘導する可能性があります。
- キーストロークのログを記録します。一部の悪意のあるスクリプトは、ユーザーのキーストロークを記録することができます。この問題が発生すると、キーロガーがアクティブになっている間に攻撃者が入力した内容をすべて見ることができます。
- セッションハイジャック。このタイプの攻撃では、あなたがログインしている Web サイト上のセッションを他の人が乗っ取ることができます。どのセッションを乗っ取るかによっては、攻撃者はこの方法でユーザーから貴重な情報を入手できる可能性があります。
- クッキーデータを盗む。 Cookie は機密性の高いユーザー情報を保存できます。一部の XSS 攻撃では、スクリプトを使用してこれらの Cookie を盗んだり、その内容を読み取ったりします。
スクリプトの準備ができたら、攻撃者が発見した脆弱性を介してスクリプトを Web サイトに挿入します。ここで、最も一般的な 3 つのタイプの XSS 攻撃 (保存型、リフレクト型、DOM ベース) に戻ります。
保存された XSS 攻撃の例としては、ユーザーが公開コメント セクションに悪意のあるスクリプトを投稿することが考えられます。それは次のようになります。
<script>alert('XSS')</script>
このシナリオの脆弱性は、ユーザーがコメントを送信するときに Web サイトが入力をサニタイズしないことです。コメントは Web サイトのデータベースに保存されるため、攻撃は継続的に行われます。成功すると、誰かがコメントのあるページにアクセスするたびにスクリプトが実行されます。
Web サイトがユーザーに代わってスクリプトを実行すると、攻撃は成功します。その時点で、Web サイトから発生したデータ盗難、セッション ハイジャック、またはマルウェアのケースでユーザーを支援する必要があることがわかるかもしれません。
ユーザーとビジネスに対する XSS 攻撃の影響
XSS 攻撃が企業とそのユーザーに与える影響は、どれだけ誇張してもしすぎることはありません。悪意のある攻撃者が XSS 攻撃の実行に使用できる脆弱性を特定できた場合、ユーザーは危険にさらされます。
その危険は、データの盗難、セッションのハイジャック、デバイス上のマルウェアなどの形で発生する可能性があります。サイト所有者には、訪問者の安全を守る責任があります。さらに、この種の攻撃は視聴者の間での評判に影響を与える可能性があります。ビジネスの規模によっては、XSS 攻撃に起因するデータ侵害がニュースになることもあります。
状況によっては、企業がデータ侵害の責任を負う可能性があることにも留意することが重要です。一般データ保護規則 (GDPR) は、ユーザー データを保護するために組織に必要な措置を講じることを義務付ける法律の一例です。これを怠ると、罰金や法的措置が科される可能性があります。
法的責任があるかどうかにかかわらず、XSS 攻撃につながる可能性のある脆弱性を解決することは重要です。これは、トラフィックの少ない新しい Web サイトを作成した場合でも当てはまります。これは、検索エンジンがセキュリティ リスクを引き起こすとユーザーに警告する場合があるためです。
XSS 攻撃の検出と防止
Web サイトを XSS 攻撃から保護するために実行できる対策がいくつかあります。最も効果的なものは次のとおりです。
- 入力の検証とサニタイズ。このプロセスには、ユーザーが Web サイトに (連絡先またはコメント送信フォームを通じて) 入力したすべてのデータの検証が含まれます。 Web サイトは、ユーザー入力が期待どおりであることを検証し、データを送信する前にデータをサニタイズして有害なコンテンツを削除します。
- コンテンツ セキュリティ ポリシー (CSP)。 CSP を使用すると、Web サイトがスクリプトをロードできるソースを指定できます。どのソースを許可リストに登録するかを決定できるため、Web サイトに未承認のスクリプトが読み込まれることはありません。
- ツールを使用して XSS 脆弱性を検出します。 Web サイト上の XSS 脆弱性を検出するために使用できるツールがいくつかあります。その中には、自動サイト スキャナー、コードベースのセキュリティ問題をチェックするコード レビュー ツールなどのオプションがあります。
サイトが WordPress 上にある場合は、XSS 攻撃の検出に役立つ Jetpack Scan の使用を検討してください。
このサービスは、Web サイトのセキュリティ上の問題や脆弱性を自動的にスキャンし、何かが見つかるとすぐに通知します。さらに、Jetpack Scan は多くの問題を自動的に修正します。
上記の方法とは別に、チーム内で安全なコーディングの実践を促進することも重要です。開発者は、最新のセキュリティ ガイドラインに従い、安全なフレームワークとライブラリを使用する必要があります。
パート 2: CSRF (クロスサイト リクエスト フォージェリ)
CSRF 攻撃には、認証 (ログイン) されている Web サイトまたはアプリ上でユーザーをだまして特定のアクションを実行させることが含まれます。攻撃者は、ユーザーの認証 Cookie を使用して、サイト上でアクションを引き起こす悪意のあるリンクを埋め込む可能性があります。
これを大局的に理解するには、PayPal または同様のサービス アカウントにログインしていると想像してください。不審なリンクを含む電子メールを受信し、それをクリックします。リンクは、別のユーザーに送金するためのリクエストを PayPal に送信するスクリプトにつながる可能性があります。
これは極端な例ですが、CSRF 攻撃が成功した場合に起こり得るタイプのシナリオです。通常の Web サイトの場合、その攻撃の目的はユーザー データを盗むことである可能性があり、これはビジネスに壊滅的な影響を与える可能性があります。
CSRF 攻撃の形態
すべての CSRF 攻撃は、前のセクションで概説したものと同様の構造に従います。攻撃者は、ユーザーの資格情報を利用して、ユーザーの知らないうちに Web サイトまたはアプリ上でアクションを実行しようとします。
この攻撃にはさまざまな形式が考えられます。
- CSRF 攻撃を反射しました。この攻撃ベクトルは、ユーザーにリンクまたはボタンをクリックさせることに依存しています。リンクはスクリプトにつながることも、ターゲット サイトにリクエストを送信するための特定の命令を含むこともできます。
- ログインCSRF攻撃。この方法を使用して、攻撃者は、同じ Web サイト上で自分 (攻撃者) が所有するアカウントにユーザーをログインさせようとします。このタイプの攻撃の目的は、ユーザーに機密情報を送信させたり、アカウントを通じてトランザクションを完了させたりすることです。
- 同一サイト スクリプティング CSRF 攻撃。この種の攻撃では、悪意のあるユーザーが Web サイト (CSP など) によって信頼されているサイトまたはアプリケーションを悪用します。この攻撃では、その信頼を悪用して悪意のあるリクエストを送信します。
- クロスドメイン CSRF 攻撃。クロスドメイン攻撃の目的は、ユーザーを悪意のある Web サイトに訪問させることです。その Web サイトは、ユーザーの資格情報を利用して、悪意のあるリクエストを元のサイトに送信します。
- API CSRF 攻撃。シナリオによっては、攻撃者が API エンドポイントの脆弱性を悪用する可能性があります。 API がリクエストのソースを検証しない場合、API はリクエストのソースに代わってアクションを実行することがあります。
CSRF の脆弱性に関しては、多くの攻撃ベクトルが存在します。これらを防ぐために実装できるセキュリティ修正の一部は、XSS 攻撃にも機能します。ある種類の攻撃に対してサイトの安全性を高めることで、他の種類の攻撃からも保護することができます。
CSRF 攻撃の仕組み
CSRF 攻撃がどのように機能するかをより深く理解するために、CSRF 攻撃の実行に必要な手順を見てみましょう。
最初のステップはユーザー認証です。これはログイン フォームまたはページを通じて行われます。
これは、ユーザーが CSRF 攻撃の対象となっている Web サイトまたはアプリケーションにログインしたときです。ほとんどの Web サイトにログインすると、ブラウザは Cookie を使用してセッションに関する情報を保存します。
まず、攻撃者はあなたの資格情報を使用して、送信したいリクエストを含む悪意のあるスクリプトまたはリンクを作成します。このリクエストにより、パスワードの変更からアカウントの削除、さらには別のユーザーへの送金に至るまで、特定のアクションが実行されます。
ペイロードの準備ができたら、攻撃者はそれを配信する方法を見つける必要があります。これは通常、ソーシャル エンジニアリングや悪意のあるリンクを含むスパム メールを通じて行われます。ここでスパム フォルダーを確認すると、おそらく不審なリンクが含まれたメールがいくつか見つかるでしょう。そのうちのいくつかは CSRF 攻撃である可能性があります。
ソーシャル エンジニアリングは、ターゲット Web サイトから発信されたふりをして電子メールを送信する側に傾きます。この方法を使用すると、攻撃者はターゲット Web サイトのブランドやその他の詳細を使用して、人々をだまして信頼させることができます。
ユーザーがそのリンクをクリックするか、ブラウザ上でスクリプトが実行されると、ターゲット Web サイトにリクエストが送信されます。これは本人の知らないうちに行われ、ブラウザのタブが開いているなどの表示はされません。リクエストはバックグラウンドで実行されます。
リクエストの内容によっては、訪問者がデータ侵害や金銭的損失を経験する可能性があります。このため、機密情報を保存する Web サイトや多数の訪問者を扱う Web サイトにとって、CSRF 攻撃の防止が最優先事項となります。
CSRF 攻撃がユーザーと企業に与える影響
CSRF 攻撃は、企業とそのユーザーに重大な影響を与える可能性があります。 XSS 攻撃と同様に、CSRF 攻撃はデータ侵害、風評被害、さらには金銭的損失につながる可能性があります。
訪問者にとって、CSRF 攻撃は直接的な金銭的損失につながる可能性があります。ビジネスにとって、ユーザーの信頼の低下によって金銭的損失が発生したり、ユーザーのプライバシーを保護する規制に違反した場合には高額な罰金が科せられたりする可能性があります。
データプライバシー規制の中には、Web サイト所有者に責任を負わせるものもあります。つまり、CSRF 攻撃などのセキュリティ インシデントから Web サイトを保護する必要があります。そうしないことは一種の過失とみなされます。
CSRF攻撃の検出と防止
Web サイトを CSRF 攻撃から保護するには、いくつかの方法があります。このセクションでは、各予防方法を確認し、その仕組みを説明します。
- 反CSRFトークン。これらは、ユーザーがフォームをロードするか、同様のアクションを実行するときにサーバーによって生成されるトークンです。トークンはユーザー セッションに保存され、ユーザーがリクエストを送信すると、サーバーはトークンを使用してリクエストを検証できます。
- SameSite Cookie。これは Cookie で利用できるセキュリティ機能で、クロスサイト要求での Cookie の動作を制御するのに役立ちます。 Cookie のSameSite属性を構成して、クロスサイトリクエストを好みに制限することができます。
- セッション管理のベスト プラクティス。セッション管理のベスト プラクティスに従うには、セッションの有効期限に適切な値を設定することが含まれます。 SameSite など、Cookie のセキュリティを強化する属性を使用することもできます。一部の Web サイトでは、購入の完了など、機密性の高い操作を行う場合にユーザーに再ログインを強制する場合もあります。
- CSRF 脆弱性を検出するためのツール。 Web サイトの CSRF 脆弱性やその他のセキュリティ問題をスキャンするために使用できるツールがあります。
XSS 攻撃と同様、WordPress を使用している場合、Jetpack スキャンは脆弱性を検出するための強力なオプションです。 Jetpack Scan は、頻繁に更新される既知の WordPress 脆弱性の最大のデータベースと照合して Web サイトを定期的にチェックします。
XSS と CSRF の違い
XSS 攻撃と CSRF 攻撃とは何か、それらがどのように機能するか、そしてビジネスにどのような影響を与える可能性があるかについて説明してきました。それらを回避するための包括的なセキュリティ対策について説明する前に、これらの攻撃を比較してみましょう。
私たちはあなたのサイトを守ります。あなたはビジネスを経営しています。
Jetpack セキュリティは、リアルタイム バックアップ、Web アプリケーション ファイアウォール、マルウェア スキャン、スパム保護など、使いやすく包括的な WordPress サイト セキュリティを提供します。
サイトを保護する技術的な違いと影響
XSS 攻撃と CSRF 攻撃は本質的に大きく異なります。前者の場合、攻撃者は通常入力フィールドで見つかる脆弱性を利用して、Web サイトに悪意のあるスクリプトを挿入します。
CSRF 攻撃は、セットアップと実行の点でさらに複雑になる可能性があります。 CSRF 攻撃では、誰かが実際のユーザーを騙して Web サイトに悪意のあるリクエストを送信する可能性があります。これらはすべて、本物のユーザーが気づかないうちに行われます。
両方のタイプの脆弱性を狙う攻撃方法は大きく異なります。 XSS 攻撃では、悪意のある攻撃者がサイト上の脆弱性を特定し、それを使用してサーバーに悪意のあるスクリプトを実行または配布させます。入力をサニタイズして検証することは、この攻撃ベクトルを遮断するのに大いに役立ちます。
CSRF 攻撃は、不適切なセッション管理と Cookie の使用に依存しています。攻撃者は Web サイトを直接ターゲットにするのではなく、攻撃ベクトルとしてユーザーに依存します。彼らはユーザーをだまして、自分に代わってリクエストを送信させようとします。これを防ぐのは、入力をサニタイズするよりもはるかに難しい場合があります。
可視性の点では、XSS 攻撃はより即時的な影響を与える傾向があります。これらの攻撃は、Web サイトの直接の変更やオープンデータの盗難につながる可能性があり、ユーザーの注意を引く可能性があります。
CSRF 攻撃は目立たない傾向があります。そのため、適切な監視ツールやログツール、訓練を受けた従業員がなければ、これらを検出するのが困難になる可能性があります。
CSRF 攻撃と XSS 攻撃はどちらも、ユーザーと企業に同様の結果をもたらす可能性があります。これらには、データ侵害、プライバシー侵害、さらには (ユーザーとビジネスの両方に対する) 金銭的損失が含まれます。
どちらのタイプの攻撃も訪問者の信頼の喪失につながる可能性があることに注意することも重要です。これはほとんどの Web サイトにとって重要であり、実装するセキュリティ対策を決定する際に考慮する価値のある要素です。
XSS 攻撃と CSRF 攻撃を検出および防止するためのさまざまな方法
XSS 攻撃と CSRF 攻撃を検出および防止するために使用できる方法については、一部重複する部分があります。
脆弱性スキャナーとコード レビュー ツールの使用を検討してください。これらは、サイトの脆弱性やセキュリティ問題を特定し、パッチを適用するのに役立ちます。
予防に関して言えば、XSS 攻撃を阻止するための主な武器は、入力のサニタイズと検証、およびコンテンツ セキュリティ ポリシー (CSP) です。入力のサニタイズと検証には、送信フィールドを構成してエントリが予想される応答と一致するかどうかを確認し、送信前に悪意のある可能性のあるコンテンツを削除することが含まれます。
一方、CSP を使用すると、Web サイトがスクリプトをロードできるソースを構成できます。 XSS 攻撃は Web サイトに悪意のあるスクリプトを実行させることに依存しているため、CSP はホワイトリストを設定することで、サイトが実行するオプションを制限するのに役立ちます。
CSRF 攻撃では、保護のための Cookie とセッション管理のベスト プラクティスに加えて、CSRF 対策トークンと WordPress nonce に依存します。トークンはユーザーの Cookie に一意の識別子を挿入するため、サーバーはリクエストを検証するための追加のデータ ポイントを持つことができます。リクエストにこれらの識別トークンが含まれていない場合は、CSRF 攻撃を途中で停止します。ノンスは URL に対して同様のことを行い、ハッシュ化された 1 回限りの値を URL の末尾に追加します。
Cookie とセッション管理のベスト プラクティスに関して言えば、定期的に有効期限が切れるように設定することが有益です。これにより、ユーザーは頻繁に再ログインする必要があるため、攻撃者がユーザーをターゲットにすることが難しくなります。
特に Cookie については、 SameSite機能を使用することもできます。これは、クロスサイトリクエストを制限するために Cookie に追加できる属性です。これは、Web サイトを標的としたクロスサイト CSRF 攻撃を軽減するのに役立ちます。
CSRF および XSS 攻撃を防ぐためのベスト プラクティス
CSRF 攻撃と XSS 攻撃の検出および防止方法を個別にいくつか取り上げました。ここで、このような種類の攻撃やその他の種類の攻撃を阻止するのに役立つ、より包括的なセキュリティ対策について検討してみましょう。
リアルタイムの脆弱性スキャン
リアルタイムの脆弱性スキャンの実装は、おそらく CSRF および XSS 攻撃に対して最も効果的な防止方法です。脆弱性スキャナーは、Web サイトを定期的に監査して、この種の攻撃の扉を開く可能性のある問題を検出します。
脆弱性スキャナーを使用すると、何百万もの Web サイトから既知の脆弱性に関する情報を活用できます。ほとんどの脆弱性は 1 回だけ悪用されるわけではないため、ゼロデイ エクスプロイトに対処しない限り、これによりサイトに対するほとんどの攻撃を軽減できます。
たとえば、Jetpack Scan は WPScan 脆弱性データベースを使用し、それに対して Web サイトをスキャンします。これは利用可能な WordPress 脆弱性データベースの中で最も包括的であり、サイトのセキュリティ問題を特定するのに役立ちます。
安全なコーディングの実践
この場合、安全なコーディングの実践には、入力検証とサニタイゼーションの実装、CSRF 対策トークンの設定、CSP などの対策が含まれます。これらのセキュリティ対策を組み合わせると、CSRF 攻撃と XSS 攻撃の両方を防ぐことができます。
チームのコーディングのベスト プラクティスに関する定期的なトレーニングを検討することも価値があります。これは、新たに発見された攻撃ベクトルに対する認識を高めるのに役立ちます。
定期的なソフトウェア更新とセキュリティ監査
Web サイトを強化するソフトウェアは定期的に更新する必要があります。 WordPress Web サイトの場合、PHP からコア インストール、プラグイン、テーマまですべてが含まれます。
セキュリティのベスト プラクティスに従っている開発者は、多くの場合、できるだけ早く脆弱性にパッチを適用するためにソフトウェアを更新します。一般に、サイトのコンポーネントを最新の状態に保つことが、セキュリティ上の事故を防ぐ最も簡単な方法です。
セキュリティ監査も実施する必要があります。これらは、会社のセキュリティ スタックと実践を定期的にレビューするものです。監査は非常に時間のかかるプロセスになる可能性がありますが、攻撃者が悪用する前に問題を特定できます。
Web アプリケーション ファイアウォール (WAF) の使用
WAF は、Web サイトへのリクエストを監視およびフィルタリングするのに役立ちます。これにより、XSS 攻撃などの悪意のあるトラフィックやリクエストが防止されます。
WAF は、セキュリティ スタックの追加の防御線と考えてください。ルールを改良すると、より効果的になります。
アクティビティのログ記録と監視
アクティビティのログ記録と監視の実装は、重要なセキュリティ対策です。ログを使用すると、Web サイト上のアクティビティを確認でき、問題のトラブルシューティングを行う際の法医学的証拠として役立ちます。
大規模な Web サイトやビジネス Web サイトの運営の大部分には、セキュリティ問題のトラブルシューティングとパッチ適用が含まれます。アクティビティ ログインおよび監視ツールは、サイトで何が起こっているか、およびそれに伴って発生する変更の詳細な概要を提供します。
XSS 攻撃は、アクティビティ ログを使用して簡単に特定できます。たとえば、攻撃者がサイトのコメントにスクリプトを挿入しようとしてブロックされた場合、アクティビティ ログにこのイベントが記録されることがあります。これにより、問題のある IP アドレスをブロックリストに登録し、そこから発生するさらなる攻撃を防ぐことができます。
Jetpack Security がこれらの攻撃の防止と軽減にどのように役立つか
Jetpack Security は、WordPress ウェブサイトの安全性を高めるためのツールのバンドルを提供します。リアルタイム バックアップ ソリューション、スパム保護、アクティビティ ログ、WAF、脆弱性スキャンなどのセキュリティ機能を利用できます。 2 つのツールをさらに詳しく見てみましょう。
検出と予防
脆弱性スキャンは、おそらく XSS および CSRF 攻撃を回避するための最良の防御ツールです。 Jetpack Security を使用すると、WordPress の脆弱性に関する最大のデータベースに対してサイトを自動的にスキャンする Jetpack スキャン ツールにアクセスできるようになります。 Jetpack VaultPress を使用してサイトのリアルタイム バックアップを作成することもできます。
回復
最新のバックアップを利用できるようにすることは、どの Web サイトにとっても必須です。これに対処する 1 つの方法は、バックアップ プロセスを自動化することです。これは、定期的に実行され、バックアップが安全に保存されるバックアップ ソリューションを使用することを意味します。
Jetpack VaultPress Backup のようなリアルタイム バックアップ ツールは、Web サイトに変更を加えると自動的にそのコピーを作成します。つまり、完全な補償が受けられます。さらに、ワンクリックでコンテンツを簡単に復元できます。
今すぐサイトを保護しましょう
Web サイトの包括的なセキュリティ ソリューションをお探しの場合は、今すぐ Jetpack Security をお試しください。 WordPress.com の背後にいる人々によって構築された、世界中の何百万ものサイトを強化および保護するために使用されている信頼できるソリューションです。最高のものだけを期待するときに必要なツールです。