CMS連携 会員サイト構築の記事
ARTICLEPowerCMSのセキュリティ性は高い?脆弱性や対策方法を紹介
PowerCMSは日本国内での導入実績が3000件を超えるCMSです。CMSのなかでは比較的低価格にも関わらず、静的ページと動的ページ両方の出力ができ、高いカスタマイズ性が魅力です。今回はPowerCMSのセキュリティや脆弱性について解説していきます。
PowerCMSの特徴
PowerCMSはWebサイトを構築するCMS(コンテンツ管理システム)のひとつです。
PowerCMSは日本国内で3,000サイト以上の導入実績があり、高性能・高機能であることから人気の高いCMSとなっています。
ここではPowerCMSがどのような特徴を持つCMSなのか詳しく解説していきます。
静的ページの出力も。状況に合ったページ作成が可能
Webサイトのページは、昔は表示に動きのない「静的ページ」が主流でした。しかし現在は表示に動きのある「動的ページ」を採用したWebサイトが増加しています。
しかし最近になって、表示速度の速さやコストの削減などの観点から静的ページが再び注目され始めました。
PowerCMSは数あるCMSの中でも、静的ページ出力ができる貴重なCMSのひとつです。もちろん動的ページの作成にも対応しているので、状況に応じたページ作りが可能となっています。
運用に合わせた柔軟なカスタマイズが可能
Webサイトは規模が大きくなるほど管理人が増えていきますが、PowerCMSはシステムの管理権限を各ユーザーの情報の編集画面で操作でき、Webサイトの管理権限は役割として容易に権限を付与できます。
そのためPowerCMSは、中規模サイトや大規模サイトを作成するのに最適です。
PowerCMSはカスタマイズ性が高いので、自分が理想とするWebサイトを細部までこだわって仕上げられます。
価格がリーズナブル
PowerCMSのように静的ページを作成できるCMSは数が少ないため、価格が高めに設定されています。
しかし静的ページを作れるCMSの中では、PowerCMSは価格が安く設定されています。
またPowerCMには4つのコースがあるため、目的や用途に合わせた使い方が可能となっています。
情報量が少なく導入の難易度が高い
現在使われているCMSの多くが「PHP」などの新しい言語を使っています。
一方PowerCMSは「MT(Movable Type)タグ」を使います。新しい言語が誕生している現在では、MTを使用したWebサイトの構築は減りつつあります。つまりMTに関する情報量も減っていることになります。
そのためWebサイトを構築していて困ったことがあっても、インターネット上で解決策を探せない可能性があります。
PowerCMSはセキュリティ面で安全なのか
安全なWebサイトを構築するためにも、CMSのセキュリティ面は非常に重要なポイントです。
ここではPowerCMSのセキュリティ面はどうなのか、脆弱性やセキュリティ対策について見ていきましょう。
パスワード変更推奨を促す機能
PowerCMSには、管理者がホームページのパスワードを一定期間変更していないと、パスワードの変更を促すために、アラートを表示させる仕組みがあります。
定期的にパスワードの変更を行うことで、悪意のある第三者からの不正ログインを防ぐ可能性を上げることができます。
ロックアウト機能
PowerCMSでは、ロックアウト機能を導入することができます。
ロックアウト機能とは、管理画面へのログインに一定時間内に一定回数失敗すると、ユーザーを自動的に一定時間ログイン不可にする機能です。
この機能を導入することで、不正システムなどの総当たり攻撃による不正ログインを防止することができます。
ログインできるIPアドレスの制限
PowerCMSでは、管理者が管理画面へログインする際に、指定した IPアドレスからのログインのみ許可する設定が可能です。
この機能により、仮にパスワードが破られたとしても、ログインを許可しないことで、不正ログインに対するセキュリティを強化することが可能です。
サーバー攻撃を受けにくい強固なセキュリティ
PowerCMSは強固なセキュリティが魅力です。
PowerCMSではコンテンツの出力先URLとプログラムの置き場所を、別の場所に設定できるようになっています。
そのためWebサイトの構築方法をWebページのソースコードを見ただけでは分からないようになっていて、悪意ある第三者からのサーバー攻撃を受けにくくなっています。
セキュリティサービス「PowerCMS Security」が導入できる
PowerCMSクラウド では、PowerCMS Security をオプションとして導入できます。
PowerCMS Securityとは、トレンドマイクロのクラウド型セキュリティーサービスでPowerCMSのセキュリティ性を高めてくれます。
脆弱性について定期的に見直しと対策を実施
PowerCMSでは
・JVN脆弱性対策情報やJPCERT コーディネーションセンターで公開される脆弱性情報を確認したとき
・PowerCMSを使っているユーザー実施した診断ツールの結果を確認したとき
・バージョンアップ版を作成したとき
・サポートセンターに寄せられる問い合わせを確認したとき
など上記のタイミングごとに、PowerCMSの脆弱性対応に関する見直しや対策を実施しています。
オープンリダイレクトの脆弱性がある
PowerCMSには、オープンリダイレクトの脆弱性が確認されています。
悪意のある第三者が細工したURLにアクセスすると、任意のうぅぶサイトにリダイレクトされ、フィッシング詐欺などの被害に合う危険性があります。
PowerCMSの脆弱性を対策する方法としては、定期的に最新版にアップデートすることが推奨されています。
PowerCMSを導入する際の手順
実際にPowerCMSを導入する際には、PowerCMSをインストールする前に環境を整えることや、データベースの設定などが必要です。
ここではPowerCMSの導入方法について詳しく解説していきます。
インストール前の準備について
PowerCMSを導入するためには、インストール前の準備がいくつか必要です。PowerCMSはほとんどの機能を「Perl スクリプト」として実行します。
そのため事前にPerlの実行環境の確認を行いましょう。Perlの実行環境の確認は、Webサーバーに「telnet」もしくは「ssh」でログインし「$ whereis perl」のコマンドを実行すると確認できます。
次にPowerCMSのインストール先を決定し、最後に文字エンコーディングを決定します。PowerCMSは多言語に対応していて、日本語については「UTF-8」をサポートしています。
データベースを設定する
次にデータベース管理システム「MySQL」の設定を行います。まずデータベースにアクセスするための情報を設定するために、環境設定ファイル「 mt-config.cgi」の設定を行います。
「 mt-config.cgi」の設定で入力する値は、環境によって異なるのでシステムの管理者に問い合わせしましょう。
次に.MySQL にログインしてデータベースとユーザーの作成を行います。
PowerCMSをインストールする
最後にPowerCMSのインストールを行います。インストールまでの流れは以下の通りです。
1.ディレクトリの作成
2.ファイルの展開
3.アクセス権限の設定
4.CGI スクリプトの実行の設定
5.MIMEの種類の設定
PowerCMSをインストールすると、アプリケーションディレクトリに「mt-config.cgi」が作成されます。PowerCMSをインストールした後はアプリケーションディレクトリへの書き込みが必要なくなるので、権限設定を修正してください。
合わせて読みたい記事「PowerCMSで会員サイトを作る方法|メリット、セキュリティ面、ワークフローも解説」
圧倒的な柔軟性とセキュリティで思い通りの会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「会員管理・会員サイト構築ソリューション」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
PowerCMSは静的ページを作れる貴重なCMSであることがおわかりいただけたでしょうか?
PowerCMSは基本的にセキュリティの高いCMSですが脆弱性も確認されているので、自分ができるセキュリティ対策をしっかりと行うことが大切です。
また状況に応じてPowerCMSとSPIRAL®を併用し、よりよいサイト作りを行ってくださいね。
