ウェブサイトのセキュリティを強化するため10つのヒント
オンラインでの存在感を高めるための方法として、多くの企業がホームページを利用します。 そして、個人も WordPressのようなCMS(コンテンツ管理システム)を利用して、ブログを運営している場合があります。 ウェブサイトを運営していると、セキュリティが常に懸念されることがあります。 セキュリティを無視すると、サイトがマルウェアに感染したり、ハッキングを当該厄介な状況に置くことができます。
この記事はセキュリティ会社のSucuriによって最近公開されました」あなたのウェブサイトのセキュリティを向上させる10のヒント「という記事を参考に、ウェブサイトのセキュリティ強化のために注意すべき事項を取り上げています。このブログでセキュリティに関する様々な記事を作成しましたが、総合的に整理する必要性を感じていました。
1 - 常に最新バージョンにアップデートする
セキュリティのために、最新のバージョンに更新する必要があります。 毎日することができ、多くのウェブサイトが更新が正常に行われていないソフトウェアのためのセキュリティの問題が発生します。
新しいプラグインや新しいCMSバージョンが公開されると、すぐに更新することが非常に重要です。 アップデートは、機能改善だけでなく、セキュリティの向上や脆弱性のパッチが含まれます。
ほとんどのウェブサイトの攻撃は、自動化され、ボットが絶えずサイトをスキャンして、脆弱性がある機会を狙っています。 1ヶ月ごとに、あるいは1週間ごとに更新することで十分ではない。 パッチをする前に、ボット、この脆弱性を発見する可能性があります。
2 - 強力なパスワードを使用する
強力なパスワードを使用しなければならないというのはセキュリティから常連として登場しますが、意外に弱いパスワードを使用するユーザーが多いようです。 覚えておきたいという理由で「starwars」のようなパスワードを使用する場合がありますが、そのような場合、ハッキングに遭うリスクが非常に高くなります。
パスワードは、△12桁以上の文字の組み合わせ△大文字と小文字を含む△特殊文字を含むなどを考慮してランダムにパスワードを設定し、複数のアカウントで同じパスワードを使用しません。
パスワードを覚えるのに困難を経験する場合は、「のLastPass"(オンライン)や"KeePass 2"(オフライン)のようなパスワード管理を使用することができます。
3 - 1サイト運営
Bluehostナ SiteGround などが提供する「無制限」のWebホスティングプランでは、単一のサーバーまたはアカウントで多くのWebサイトをホストできます。 しかし、このような場合、攻撃面(Attack surface)が大きくなるため、望ましくないそうです。
私はしたアカウントに複数のドメインを接続して利用しています。 セキュリティ面ではあまり良くないようです。 したサイトがマルウェアに感染すると、同じサーバー内の別のサイトに簡単に感染することができそうですね。 このような場合は、バックアップを徹底しなければならないようです。
サイトに問題が発生した場合、ロールバックすることができるように、Webホスティングでの復元機能を提供するかどうかを事前に把握すると良いようです。 Cafe24の場合、1週間以内の期間に復元が可能で SiteGroundで30日以内に期間にロールバックが可能です。
4 - 賢明なユーザーアクセス管理
サイトに複数のユーザーがいる場合は、各ユーザーに必要な最小限の権限を付与することが安全です。
例えば、いくつかのユーザーが文を作成したい場合は、管理者権限を付与するのではなく文を作成するために必要な最小限の権限を許可する必要があります。 WordPressの場合、「書き込み」(Author)権限を付与できます。
管理者アカウント数も最小限にするのがよいようです。 特定のタスクのために必要な場合、一時的に権限を高めて、仕事が完了すると、再びメンバーのレベルをそのまま戻すことができます。
また、部外者がサイトにアクセスする必要がある場合(例えば、問題の解決のために必要な場合)、一時的、管理者アカウントを作成して提供し、操作が完了したら、アカウントを削除するようにします。 FTPアカウントもできれば、一時的アカウントを作って提供して、作業の完了後に削除することをお勧め。 一時アカウントを作成することができない場合には、作業完了後にパスワードを変更するようにします。
5 - 基本CMS設定の変更
今日のCMSアプリケーションは、使いやすいが、セキュリティ的な側面が容易ではないことがあります。 ウェブサイトのほとんどの攻撃は、自動的に行われ、多くの攻撃がデフォルト設定(Default settings)のみを使用するユーザーを対象とします。
したがって、選択したCMSをインストールするときに、デフォルトの設定を変更するだけでも、多くの攻撃を避けることができます。
6 - 拡張機能(Extension)の選択
CMSの強みは、拡張性に優れているという点です。 しかし、これはまた、最大の弱点の一つになることがあります。 ユーザーが想像するほぼすべての機能を提供するプラグインは、アドオン、エクステンションがあります。
プラグインなどを選択するときは、次の点を考慮する必要があります。
- いつ最終更新されたか - たとえば、1年以上更新されていない場合は、セキュリティに問題がある可能性があるため、選択しないことをお勧めします。
- プラグインの年齢とインストールすることができ - 初心者開発者が最近作成され、インストールされたサイトの数が少ないプラグインより経験豊富な開発者が作成し、多くのサイトで使用されているプラグインがより信頼できます。 経験豊富な開発者は、最高のセキュリティ慣行についてよく知っているだけでなく、プラグインなどに悪意のあるコードを入れて、難しく積み重ねた評判を汚す行為をする可能性がはるかに低いです。
- 信頼できる情報源 - たまに有料テーマや有料プラグインのハッキングバージョン(Nulled version/Pirated version)をダウンロードするユーザーがいます。 しかし、そのような違法バージョンにはマルウェアが含まれている可能性が非常に高いです。 お金をいくつか解放しようとすると、より大きな損害を見ることができます。
WordPressの場合、長い間更新しないされたプラグインは避けるようにします。 そして同様の機能のプラグインを選択するときには、より多くのサイトに設置されて使用されており、ユーザーの評価が良いプラグインを選択してください。
7 - バックアップ
バックアップは、いくら強調してもしすぎることないようです。 サイトに予期しない問題が発生した場合のバックアップがあれば、復旧が可能です。 バックアップは、サーバーではなく、別の場所に保存しなければ安全です。
Webホスティング会社の自動バックアップを提供していない場合には、 WordPressは、プラグインを使用してバックアップすることができます。
DBとデータの両方をバックアップするバックアップ/復元のプラグイン - UpdraftPlus WordPress バックアップ Plugin
8 - サーバー構成ファイル
使用するWebサーバーの構成ファイルについて理解するようにします。
- Apache Webサーバーは、.htaccessファイルを使用します。
- Niginxサーバーはnginx.confファイルを使用します。
- Microsoft IISサーバは、web.configファイルを使用します。
サーバーConfigurationファイルを介して、セキュリティのためのいくつかの設定を行うことができます。
- ディレクトリブラウジング禁止(ブラウザから WordPress フォルダが移動されないように設定する 参考)
- 画像ホットリンク防止(画像ホットリンク(画像リンク無断参照)を防止 参考)
- 機密ファイルの保護
9 - SSLのインストール
SSL(Secure Sockets Layer)は、悪意のあるコードの攻撃からサイトを保護する役割をしていませんが、個人情報保護のために必要です。
具体的には、Google Chromeが最近更新されたため、SSLが適用されていないサイトに「注意」警告が表示されます。 SSLセキュリティサーバー証明書をインストールすると、SEOにも有利です。
10 - ファイルパーミッション
ファイルパーミッション(権限)は、ファイルの誰がどの作業を行うことができるかを定義します。
パーミッションとは、複数のユーザーが利用するコンピュータシステムでは、ファイルやディレクトリを読んだり(read)、記録したり(write)または実行(execute)するなどの行為、すなわちファイルシステムなどのリソースにアクセスすることができる資格またはアクセス許可を意味する。 オペレーティングシステムに応じて、少しずつ異なりますが、一般的に、各ファイルは、さまざまな種類のアクセスや、ユーザーまたはユーザーグループに対して異なるパーミッションを付与することができる(出典: permission; パーミッションまたは(アクセス)許可).
ファイルの許可を666に設定したり、フォルダの許可を777に設定したりすると、「誰でも」マルウェアを挿入したりファイルを削除したりすることができますので、安全ではありません。
- WordPress内のすべてのファイルのパーミッションは644に設定する必要があります。
- WordPress内のすべてのフォルダのパーミッションは755に設定する必要があります。
最後に、
常に最新のバージョンにアップデートして、定期的にバックアップを実施し、セキュリティ関連のプラグインをインストールすると役立ちます。 そして強力なパスワードを使用して、他の人とパスワードを共有しないようにします。
基本的なセキュリティ慣行に従う上記で述べた点に注意すると、サイトを安全に運営することができます。
常に最新のバージョンにその場ですぐアップデートをする方だが、毎回刻印させてくれるようでございます。^^
常に最新のバージョンにして、バックアップをよくすると、問題がないようです。
もう金曜日ですね。楽しい一日になってください。