ウェブサイトのセキュリティを強化するため10つのヒント

2

ホームページのセキュリティ

オンラインでの存在感を高めるための方法として、多くの企業がホームページを利用します。 そして、個人も WordPressのようなCMS(コンテンツ管理システム)を利用して、ブログを運営している場合があります。 ウェブサイトを運営していると、セキュリティが常に懸念されることがあります。 セキュリティを無視すると、サイトがマルウェアに感染したり、ハッキングを当該厄介な状況に置くことができます。

この記事は、セキュリティ会社であるSucuriで最近公開された "あなたのウェブサイトのセキュリティを向上させる10のヒント"という文を参照して、Webサイトのセキュリティを強化するために注意すべき事項を説明します。このブログでセキュリティに関する様々な文章を作成したが、総合的に整理する必要性を感じていました。

1 - 常に最新のバージョンに更新する

セキュリティのために、最新のバージョンに更新する必要があります。 毎日することができ、多くのウェブサイトが更新が正常に行われていないソフトウェアのためのセキュリティの問題が発生します。

新しいプラグインや新しいCMSバージョンが公開されると、すぐに更新することが非常に重要です。 アップデートは、機能改善だけでなく、セキュリティの向上や脆弱性のパッチが含まれます。

ほとんどのウェブサイトの攻撃は、自動化され、ボットが絶えずサイトをスキャンして、脆弱性がある機会を狙っています。 1ヶ月ごとに、あるいは1週間ごとに更新することで十分ではない。 パッチをする前に、ボット、この脆弱性を発見する可能性があります。

2 - 強力なパスワードを使用する

強力なパスワードを使用する必要がすることは、セキュリティで定番として登場するが、意外に弱いパスワードを使用しているユーザーが多いようです。 覚えたい理由で「starwars」のようなパスワードを使用している場合がありますが、その場合、ハッキングを受ける危険性が非常に高くなります。

使用してはならない最悪のパスワード

パスワードは、△12桁以上の文字の組み合わせ△大文字と小文字を含む△特殊文字を含むなどを考慮してランダムにパスワードを設定し、複数のアカウントで同じパスワードを使用しません。

パスワードを覚えるのに困難を経験する場合は、「のLastPass"(オンライン)や"KeePass 2"(オフライン)のようなパスワード管理を使用することができます。

3 - 1サイト運営

Bluehostナ SiteGround などを提供する「無制限」のWebホスティングプランでは、単一のサーバーまたはアカウントに多くのウェブサイトをホストすることができます。 しかし、このような場合、攻撃面(Attack surface)が大きくなるため、望ましくないとね。

私はしたアカウントに複数のドメインを接続して利用しています。 セキュリティ面ではあまり良くないようです。 したサイトがマルウェアに感染すると、同じサーバー内の別のサイトに簡単に感染することができそうですね。 このような場合は、バックアップを徹底しなければならないようです。

サイトに問題が発生した場合、ロールバックすることができるように、Webホスティングでの復元機能を提供するかどうかを事前に把握すると良いようです。 Cafe24の場合1週間以内の期間に復元が可能で SiteGroundで30日以内の期間にロールバックが可能です。

4 - 賢明なユーザーアクセス管理

サイトに複数のユーザーがいる場合は、各ユーザーに必要な最小限の権限を付与することが安全です。

例えば、いくつかのユーザーが文を作成したい場合は、管理者権限を付与するのではなく文を作成するために必要な最小限の権限を許可する必要があります。 WordPressの場合、「投稿者」(Author)の権限を付与することができます。

管理者アカウント数も最小限にするのがよいようです。 特定のタスクのために必要な場合、一時的に権限を高めて、仕事が完了すると、再びメンバーのレベルをそのまま戻すことができます。

また、部外者がサイトにアクセスする必要がある場合(例えば、問題の解決のために必要な場合)、一時的、管理者アカウントを作成して提供し、操作が完了したら、アカウントを削除するようにします。 FTPアカウントもできれば、一時的アカウントを作って提供して、作業の完了後に削除することをお勧め。 一時アカウントを作成することができない場合には、作業完了後にパスワードを変更するようにします。

5 - 基本CMSの設定を変更

今日のCMSアプリケーションは、使いやすいが、セキュリティ的な側面が容易ではないことがあります。 ウェブサイトのほとんどの攻撃は、自動的に行われ、多くの攻撃がデフォルト設定(Default settings)のみを使用するユーザーを対象とします。

したがって、選択したCMSをインストールするときに、デフォルトの設定を変更するだけでも、多くの攻撃を避けることができます。

6 - 拡張機能(Extension)を選択

CMSの強みは、拡張性に優れているという点です。 しかし、これはまた、最大の弱点の一つになることがあります。 ユーザーが想像するほぼすべての機能を提供するプラグインは、アドオン、エクステンションがあります。

プラグインなどを選択するときは、次の点を考慮する必要があります。

  • いつ最終更新されたか - 仮に1年以上更新されていない場合は、セキュリティに問題がある可能性があるので、選択しないでください。
  • プラグインの年齢とインストールすることができ - 硝子の開発者が、最近に作られインストールされ、サイトの数がわずかなプラグインよりも経験豊富な開発者が作った多くのサイトで使われているプラ​​グインが、より信頼性があります。 巧妙な開発者は、最高のセキュリティプラクティスに精通しているだけでなく、プラグインなどのマルウェアを入れにくく積んだの評判を汚す行為をする可能性がはるかに低くなります。
  • 信頼できる情報源 - たまに有料テーマや有料のプラグインのハッキングのバージョン(Nulled version / Pirated version)をダウンロードするユーザーがいます。 しかし、そのような違法なバージョンには、悪意のあるコードが含まれている可能性が非常に高くなります。 いくつかの余分節約しようとしている途中に大きな損害を見ることができます。

WordPressの場合、長い間更新しないされたプラグインは避けるようにします。 そして同様の機能のプラグインを選択するときには、より多くのサイトに設置されて使用されており、ユーザーの評価が良いプラグインを選択してください。

7 - バックアップ

バックアップは、いくら強調してもしすぎることないようです。 サイトに予期しない問題が発生した場合のバックアップがあれば、復旧が可能です。 バックアップは、サーバーではなく、別の場所に保存しなければ安全です。

Webホスティング会社の自動バックアップを提供していない場合には、 WordPressは、プラグインを使用してバックアップすることができます。

DBとデータの両方をバックアップするバックアップ/復元のプラグイン - UpdraftPlus WordPress バックアップ

8 - サーバーConfigurationファイル

使用するWebサーバーの構成ファイルについて理解するようにします。

  • Apache Webサーバーは、.htaccessファイルを使用します。
  • Niginxサーバーはnginx.confファイルを使用します。
  • Microsoft IISサーバは、web.configファイルを使用します。

サーバーConfigurationファイルを介して、セキュリティのためのいくつかの設定を行うことができます。

9 - SSLのインストール

SSL(Secure Sockets Layer)は、悪意のあるコードの攻撃からサイトを保護する役割をしていませんが、個人情報保護のために必要です。

特にGoogleのクロムが最近更新され、SSLが適用されていないサイトに「注意要する」という警告が表示されます。 SSLセキュリティサーバー証明書をインストールすると、SEOにも有利です。

10 - ファイルパーミッション

ファイルパーミッション(権限)は、ファイルの誰がどの作業を行うことができるかを定義します。

パーミッションとは、複数のユーザーが利用するコンピュータシステムでは、ファイルやディレクトリを読んだり(read)、記録したり(write)または実行(execute)するなどの行為、すなわちファイルシステムなどのリソースにアクセスすることができる資格またはアクセス許可を意味する。 オペレーティングシステムに応じて、少しずつ異なりますが、一般的に、各ファイルは、さまざまな種類のアクセスや、ユーザーまたはユーザーグループに対して異なるパーミッションを付与することができる(出典: permission; パーミッションまたは(アクセス)許可).

ファイルパーミッションを666に設定するか、フォルダのパーミッションを777に設定すると、*誰でも "悪意のあるコードを挿入したり、ファイルを削除できるようにするもので、安全はありません。

  • WordPress内のすべてのファイルのパーミッションは644に設定する必要があります。
  • WordPress内のすべてのフォルダのパーミッションは755に設定する必要があります。

おわりに

常に最新のバージョンにアップデートして、定期的にバックアップを実施し、セキュリティ関連のプラグインをインストールすると役立ちます。 そして強力なパスワードを使用して、他の人とパスワードを共有しないようにします。

基本的なセキュリティ慣行に従う上記で述べた点に注意すると、サイトを安全に運営することができます。

メモ:

2のコメント

  1. 常に最新のバージョンにその場ですぐアップデートをする方だが、毎回刻印させてくれるようでございます。^^

    • 常に最新のバージョンにして、バックアップをよくすると、問題がないようです。

      もう金曜日ですね。楽しい一日になってください。

コメントを残す

コメントを入力してください!
名前を入力してください