Kinstaでは、セキュリティ保持誓約をご用意しています。お客様のWordPressサイトをKinstaで運営中に、万が一ハッキングの被害に遭われた場合には、弊社スタッフが無料にて対処のお手伝いをさせていただきます。
セキュリティ保持誓約の対象
弊社のセキュリティ保持誓約の中身は以下の通りです。
- マルウェア特定のためのウェブサイトの診断とファイルのディープスキャン
- WordPressコアの修復(真新しいコアファイルのインストール)
- 感染したプラグインとテーマの特定と削除
マルウェア除去に際して、ご利用のプラグインやテーマの削除が必要になった場合には、該当するプラグイン、テーマの(マルウェア除去後の)再インストールと設定は、お客様ご自身で行っていただきます。
WordPress以外のソフトウェアまたは特別なスクリプトを用いた構成のサイトにつきましては、Kinstaのセキュリティ保持誓約の対象外となります。
弊社は、お客様のサイトからマルウェアを完全に除去できるよう最善を尽くします。しかし、設計上、マルウェアの検出と除去が困難になる場合があります。特に、サイトのデータベースの感染では、その傾向が顕著です。その結果、まれに、1回のマルウェア除去作業では十分でないことがあります。弊社スタッフによるお客様のサイトでの作業完了後に、予期しない、または、悪意ある挙動が検出された場合には、弊社のエンジニアがさらなる修復作業にあたることができるよう、ご連絡の際にはできるだけ多くの詳しい情報のご提供をお願い申し上げます。
Kinstaのセキュリティ保持誓約は、弊社利用規約に基づいています。すべてのセキュリティインシデントを防止すること、または、それに完全に対処することはできませんが、お客様のウェブサイトがKinstaで運営されている限り、弊社スタッフがマルウェアにより引き起こされた問題を修復できるようお客様を支援いたします。
WordPressサイトのハッキング経路
弊社インフラストラクチャでは非常に高いセキュリティが確保されているため、サーバーレベルで攻撃の被害に遭う可能性は極めて低いと予想されます。Kinstaのご利用中にウェブサイトがハッキングされる可能性は、主に以下の2つの経路に絞り込むことができます。
- WordPressそのものをターゲットにしたエクスプロイト:古いまたはコードに問題のあるプラグインやテーマの使用、旧バージョンのWordPressコアの使用に起因
- 不正アクセス:WordPress管理画面、MyKinsta、データベース、SSH、SFTPのログイン情報盗用に起因
- 違法に配布されているプラグインやテーマ:有料テーマやプラグインの(悪意のあるコードが仕込まれた)違法「無料」版の利用に起因
マルウェア除去の手順
ウェブサイトの診断、異常の特定、または感染の削除には最大1営業日がかかる場合があります。特に深刻な感染の場合には、複数回にわたる診断の実施が必要になることがあります。非常にまれなケースですが、修復できないほどの破損により、バックアップからのサイトの復元が余儀なくされることもあります。
マルウェア除去に伴い(特に感染したプラグインやテーマの削除により)、多くの場合、ウェブサイトが従来と同じように機能しなくなることが考えられます。このような理由から、マルウェア除去に際して、メンテナンスモードへの切り替えが行えるプラグインの使用を強くお勧めします。
悪意のあるコードが見つかった、または、サイトの動作について不審な点が見られる場合(いずれもはっきりとした事象が観察される場合)には、カスタマーサポートまでご連絡ください。
Kinstaが実施する対策
マルウェア除去に際して、Kinstaでは次の手順を遵守しています。
- WordPressコアの再インストール
- SFTP 、SSH接続、データベースのパスワード変更
- (サイトのプラグインやテーマでのマルウェア感染が見つかった場合には)その対象のサイトからの削除
お客様にお願いする対策
マルウェア除去完了後に、次の対策をお客様に実施していただきます。
- すべてのプラグイン、テーマ、並びにWordPressコアの最新バージョへの更新/バージョンアップ
- 感染したテーマ及びプラグインの特定・除去後には、該当ファイルのご自身での編集や再利用を行わないこと(開発元サイトから新しいファイルをダウンロードし、インストールするようにしてください)
- WordPressの管理者レベルのユーザーの確認と使用されていないアカウントまたは状況の把握できていないアカウントの削除
- WordPress管理者レベルユーザーのパスワードの変更
- すべてのMyKinstaユーザーのパスワードの変更
- 感染状況に基づきその他の推奨事項が提示される可能性あり
上記のお客様による対策は、Kinstaスタッフからの求めから1営業日以内での実施をお願いいたします。上記の策を怠った場合、その後のマルウェア感染への無料での対処は致しかねますので、予めご了承ください。
その他のウェブサイトの確認
お客様の所有する特定のサイトでのマルウェア感染により、自らの所有する他のサイトでも同様の問題が発生しているのでは、という不安が生じる可能性があります。しかしながら、Kinstaのインフラストラクチャはコンテナに基づき隔離されているため、サーバレベルでのサイト間二次感染の可能性は一切ございません。
したがって、その他のウェブサイトで実際に感染を示す事象が見られない限り、感染を疑う必要はありません。
ウェブサイトにおけるマルウェア感染の診断は、感染の証拠としての事象が実際に現出しているサイトに限られます。特定の事象の見られないケースでは、Sucuri Securityなどのウェブサイトスキャンサービス/プラグインを使用し、残りのウェブサイトをご確認ください。
サイト移行中にマルウェア感染が発見された場合
Kinstaのサイト移行サービスの一環として、サイトの全ファイルを対象としたディープスキャンを実行しています。サイト移行中に感染が発覚した場合には、移行作業を一時停止し、その旨をお客様にお知らせします。その後、以下の2つの選択肢からお好きな方をお選びいただきます。
- サイト移行をそのまま進めKinstaのマルウェア除去サービスを有償で利用する:100ドルのマルウェア除去費用が発生します。
- サイト移行を中止して自分で対処する:他社サービスを利用するなど、既存のサーバー上でマルウェアに対処していただき、準備ができた段階で、再び最初からサイト移行をご申請ください。
