\r\n\r\n
新しいウェブサイトをオープンした興奮で、ついミスを犯しがちです。小さなショップやポートフォリオ、ブログを立ち上げるのは楽しいものです。しかし、セキュリティ侵害やハッキングに対処するのは、それほど楽しいことではありません。新しいウェブサイトを立ち上げるときは、安全性を確認することが重要です。
幸いなことに、やるべきことのほとんどはとてもシンプルです。少し時間がかかるものもありますが、価値ある投資だと思います。あなたのウェブサイトを無防備にしないでください。そのためにできる10のことをご紹介します。
ドメイン名を登録する際には、誰にもコントロールされないようにしたいものです。悪徳業者がお客様のドメインレジストラにログインできた場合、ドメインレジストラを自分たちに移管したり、さらに被害を拡大させる可能性があります。
二要素認証(2FA)を使用するドメインレジストラの場合、いくつかのオプションがあります。これにより、より高い安全性が確保され、他人がアクセスすることが難しくなります。たとえパスワードを知られたとしても、あなたの**にアクセスできない可能性があります。
2FAを提供しているレジストラは以下のとおりです。
すべてのウェブサイトにはWHOISの項目があり、情報を確実に保護するための措置を講じなければ、あなたの名前や電子メールアドレスはスパム業者に簡単に見つかってしまうのです。名前もメールアドレスも、なりすましに必要なものなので、秘密にしておくと、この点でも安心です。
ほとんどのウェブホストは、わずかな料金で匿名のWHOIS登録を提供していますが、無料で提供しているところもあります。dreamhostと1and1は、匿名のWHOIS情報を含むサイトを無料で開設することができます。
お金を払うかどうかにかかわらず、WHOISの記録からあなたの名前と電子メール(または電子メールアドレスだけ)を消去するためにできることをやってください。迷惑メールに対処する時間を大幅に短縮し、他人があなたの情報を入手するのを難しくします。
言うまでもないことですが、パスワードはすぐに変更してください。ドメイン、ホスト、CMSなど、標準的な管理者パスワードが設定されている場合は、変更する。ユーザー名もデフォルトの「admin」から他のものに変更したほうがいいでしょう。
パスワードは定期的に変更するのがよいでしょう。パスワードマネージャーを使用して、パスワードを記録し、安全性を確認します。
登録を確保したら、次はサイトそのものを保護する番です。このための最初のステップは、他のものを守るための最初のステップと同じように、すべてを最新の状態に保つことです。
企業は、自社のセキュリティ上の脆弱性を発見すると、パッチやアップデートを公開します。ソフトウェアをアップデートしなければ、脆弱なままです。ほとんどのホストでは、これを簡単に行うことができ、新しいバージョンが利用可能になると、頻繁に更新するようあなたに通知します。それでも、定期的にバージョン情報を確認するのがよいでしょう。
CMS(コンテンツ・マネジメント・システム)を使用している場合、そのシステムに対応したセキュリティ・プラグインがあります。WordPress、Drupal、Joomla、Magentoなどの大企業が多く持っています。あとは、自分の状況に合ったものを選び、ダウンロード、インストール、アクティベーションを行うだけです。
各CMSやセキュリティ拡張機能によって、正確に何を使うべきかのアドバイスが異なります。また、セキュリティプラグインについては、第三者によるレビューを参考にするのもよいでしょう。しかし、プラグインは、信頼できるプロバイダからである場合, それはあなたのサイトのセキュリティを維持するのに役立ちます.より多くの脆弱性を排除し、拡張機能を最新の状態に保つために、より高いセキュリティ設定を使用してください。
考えるべきは、自分自身のセキュリティだけではありません。あなたのサイトのトラフィックを暗号化することは、訪問者とGoogleの両方から高く評価されます。特に、訪問者が機密情報を共有する場合は、注意が必要です。
ホスティングサービスによっては、自動的に HTTPS を有効にするものもありますし、1~2 回クリックするだけで有効にすることができるものもあります。セルフホスティングやサーバースペースを借りているだけの場合は、難しい方法を取らなければならないかもしれません。これは、SSL証明書を購入し、それを有効化し、サイトがHTTPSを使用するように設定することです。
特に複雑ではありませんが、ご利用のホスティングサービスによって手順が異なる場合がありますので、最適な方法を見つけるために、ホスティングサービスにお問い合わせください。
あなたのサイトのユーザーによって、権限レベルは異なります。cmseでは通常、訪問者、ログインした訪問者、編集者、投稿者、その他多くのユーザーグループの権限を変更することができます。
各グループがどの程度のアクセス権を持つべきかを考える。編集者が新しいユーザーを作成する必要がありますか?読者がページを編集できるようにする必要がありますか?各人にできるだけアクセスさせないようにして、仕事をさせる。
本当に技術的なことを知りたいのであれば、FTPクライアントを使用してサイト上のすべてのファイルを調べ、そのパーミッションをシンボルまたは数値で確認することができます。その後、コマンドターミナルでパーミッションを変更することができます。(何のことかわからない人は、気をつけましょう)
ログインや管理に使用するページは、検索エンジンに表示されないようにする必要があります。これはセキュリティ対策とは言えないかもしれませんが、悪意のあるユーザーがこれらのページを見つけることが非常に難しくなります。これは通常、簡単にできることなので、数分かける価値はあります。
cmseやセキュリティプラグインの中には、これらのページを検索エンジンから隠すことができるものもあります。もし、お使いのアプリケーションがこの機能を提供していない場合は、CMSの設定またはcPanelの管理セクションからアクセスできるはずのrobot.txtファイルを編集することによって、この機能を利用することができます。を追加してください。
User-agent: *Disallow: [the relative URL of the page]WordPressでは、「/wp admin/」をURLとして使用します。他のCMSEでは、異なるURLを使用します。また、ユーザーが見る必要のない他のページを無効化することもできます。これはセキュリティだけでなく、SEOにも効果がありますよ。
XSSは、回りくどい方法でWebサイト上のコードを実行するハッキングの手口です。例えば、コンタクトのような形で発生することもあります。コンタクトフォームにスクリプトを含めることで、ハッカーはあなたのウェブサイトにそのコードを実行させ、アクセス権を与えたり、深刻な損害を与えたりすることができるのです。
このような攻撃に対する防御は、実は非常に複雑です。もし、あなたが何ができるかを知りたいなら、OWASPが提供する素晴らしいXSS対策メモシートをチェックしてください。あまり技術的に詳しくない場合は、XSS対策用のプラグインがたくさんあります。標準的なセキュリティプラグインの中には、この脆弱性をカバーするものもありますが、そのように決めつけないようにしてください。保護されていることを確認する。
XSS、SQLインジェクション、パスワードクラッキングなどのハッキング手法は、最も危険なもののように思われるかもしれませんが、問題を引き起こすのは最も単純なものであることが多いのです。情報漏えいもその一つです。
いらない(知っている)情報をうっかり渡してしまうのが情報漏えいです。例えば、開発者がウェブサイトのコードに誤って機密情報を含むHTMLコメントを残してしまうことはよくあることです。
標準的なCMSの実装であれば、あまり問題はないでしょう。しかし、誰かにカスタムテーマをデザインしてもらった場合や、サイトでの開発作業が多い場合は、情報漏えいがないかを確認する必要があります。ブラウザの「ソースコードを見る」オプションを使って、削除されていないHTMLのコメントをすばやくスキャンするのも良い方法の一つです。
数百ページで構成される大規模なWebサイトでは、専任のセキュリティ専門家(または少なくとも訓練生)がプロセスを完了させる必要があるかもしれません。いずれにせよ、簡単に確認できることなので、省略しないようにしましょう。
新しいウェブサイトを立ち上げるとき、やらなければならないことがたくさんあります。こうした基本的なセキュリティ対策は、つい忘れてしまいがちです。しかし、長い目で見れば、多くの手間(そしておそらく多くのお金)を省くことができるのです。だから、飛ばさないように!コンテンツの制作に取りかかる前に、サイトの安全性を確認してください。
新しいウェブサイトのセキュリティについて、他にどんな提案がありますか? あなたの考えを以下のコメントで共有してください。