つい最近ウェブサイトを作成したばかりですか?最近攻撃の被害に遭いましたか?それとも単にそのような出来事を予想したいだけですか?この記事をご覧になった理由が何であれ、私たちがお手伝いいたします。これに続いて、Web サイトを安全に保護する方法、そして何よりも Web サイトがどのような脅威にさらされるかをより深く理解できるようにする完全なガイドを提供します。
やるべきことがたくさんあることがわかります。すべてを一度に行う必要はありません(たとえそのほうが明らかに良い場合でも)。時間がほとんどない場合は、毎日または毎週少しずつやってみてください。結局のところ、Web サイトの保護は長期にわたる仕事です。ほぼ毎週のタスクです。
Web サイト (WordPress、Joomla、Drupal、またはその他の CMS を使用しているかどうか) をセキュリティで保護する方法を説明するこのガイドを開始するにあたり、潜在的に直面する可能性のある多くの脅威に焦点を当てます。
- サービス拒否 (DoS) 攻撃:サービス拒否攻撃は、ロボット/ゴースト サーバーからのリクエストでサイトを「溺死させる」ためにハッカーによって実行されます。サイトに大量のリクエストを送信すると、サイトの速度が低下したり、Web ホスティングがクラッシュしたりする可能性があります。これにより、Web サイトがオフラインになります。
- フィッシング :フィッシング (フランス語) とは、ある人に詐欺的な電子メールを送信して、その人から情報や個人情報を抜き出すことを指します。多くの場合、ハッカーは評判の良い企業、または Web ホストになりすまします。
- ランサムウェア :これは、対価(通常は多額の金銭)と引き換えに、あなたのデータやサイトへのアクセスを「人質」にする行為です。
- 悪意のあるコード:さまざまな方法により、ハッカーがあなたの Web サイトに悪意のあるコードを挿入する可能性があります。これにより、アクセスできなくなったり、完全に無効化されたりする可能性があります。
これらは、発生する可能性のある主な種類の攻撃のほんの一部です。他にもたくさんあります。これまでウェブサイトのセキュリティについて考えたこともなかったとしても、なぜそうしなければならないのかがわかります。
HTTPS プロトコルを使用するには、SSL 証明書をインストールします。
サイトを保護し、訪問者を保護する最も簡単な方法は、次のとおりです。SSL証明書をインストールする。
Web サイトに SSL 証明書をインストールすると、Web サイトの訪問者は安全でない HTTP プロトコルではなく、HTTPS プロトコルを使用するようになります。
後者のおかげで、訪問者とサイト間のすべてのやり取りは暗号化され、安全になります。
Web サイトのセキュリティを超えて、検索エンジンは自然な参照を確立するためにこの側面も考慮に入れるため、このような機能を導入することにあらゆる関心があります。
SSL 証明書がない、つまり HTTPS プロトコルがない場合、サイトは危険とみなされ、訪問者にエラー メッセージが送信されます。
必ずしも SSL 証明書を購入する必要はないことに注意してください。実際、このサービスを無料で提供するホストが増えています。これは、たとえば、次の 2 つの優れたホストの場合です。ホスティンガーなどプラネットホスター。
安全な Web ホストを使用する
ここで、Web ホスティングの話題に移ります。
当然のことながら、サイトをホストする Web ホスティングは、サイトを保護する上で重要な役割を果たします。
厳格なルールを備えたファイアウォール、DDoS 対策保護、マルウェア対策保護、バックアップ ソリューションの提供など、いくつかの対策が講じられていることを確認してください。
そうでないなら、ただ逃げてください!
マネージド Web ホスティングを選択することもできます。したがって、これらすべての側面は、Web ホストの技術チームによってカバーされます。
どの安全なウェブホストに頼るべきかわからない場合は、Hostinger を検討することをお勧めします。
前述したすべての点がホストによって完全に考慮され、最大限の保護が保証されます。
セキュリティ (およびマルウェア対策) ソフトウェアを使用する
上で指摘したように、一部のホストは DDoS 対策だけでなくマルウェア対策も提供します。
ただし、Web サイトのセキュリティをさらに強化できる拡張機能をインストールすることをお勧めします。
WordPress を使用している場合は、「Wordfence」というプラグインをお勧めします。
©ワードフェンス
後者では、サイトを保護するためのさまざまなツールにアクセスできます。これには、ファイアウォール、マルウェア スキャナーが含まれますが、潜在的な悪意のあるリクエスト (ブルートフォース攻撃など) もブロックします。
このソリューションの大きな利点は、費用がかからず、ユーザー側で多くの設定を行わなくても機能することです。さらに、最近ブロックされた攻撃や WordPress サイト全体のセキュリティを通知する中央パネルにアクセスできます。
©ワードフェンス
さらに多くの機能を利用したい場合は、Wordfence には有料版も存在することを知ってください。たとえば、ライセンスには 99 ドルかかります。有料ソリューションの提供に関する詳細については、Wordfence の公式 Web サイトを遠慮なく参照してください。
ウェブサイトとそのプラグインを最新の状態に保つ
シンプルなことですが、多くの人が忘れがちな点です。それは、サイトを定期的に更新することです。これは、使用する CMS とプラグインとテーマの両方に当てはまります。
何のために ?それは単純に、これらの要素のいずれかによって、悪意のあるハッカーが悪用する可能性のあるセキュリティ上の脆弱性から安全ではないからです。
したがって、これを回避するには、Web サイトのすべての要素が定期的に更新されていることを確認する必要があります。
ただし、急ぎすぎないでください。実際、もう少し見通しを立てるには、プラグインまたは CMS の新しいバージョンのリリースから数日待ったほうがよいでしょう。新しいバージョンのリリース後に問題が発生する場合があります。
それでは、サイトのすべての要素をいつ更新する必要があるのでしょうか?2 ~ 3 週間ごとに、新しいアップデートのリリース後に数日の余裕を置きます。
パスワードの複雑さを改善する
Web サイトの管理パネルに接続する各人は必ずアカウントを持っており、したがって、関連付けられたパスワードを持っています。
これは些細なことのように思えるかもしれませんが、チームが使用するパスワードの複雑さを強化するようにしてください。特殊文字、大文字、数字などを追加します。
どのようなメリットがあるのでしょうか?ハッカーがあなたのパスワードを見つけて Web サイトを制御することは、はるかに困難になります。
可能であれば、パスワードを定期的に変更する戦略も実装してください。毎月変更する必要はありません。たとえば、6 か月ごとに変更してみてください。
非常に安全なパスワードがどのようなものかを想像するのが難しい場合は、Web サイトでは特定の基準に基づいてパスワードをランダムに生成できることを知ってください。
多くのパスワード マネージャー (Dashlane、LastPass)、または motdepasse.xyz のようなサイトでもこれを提供しています。
© motdepass.xyz
上のスクリーンショットでわかるように、数字、小文字、大文字、さらには特殊文字を追加するかどうかを選択できます。パスワードに含める必要がある文字数も制御できます。
定期的にバックアップを作成する
バックアップは、Web サイトのセキュリティ、そして何よりも完全性を確保する最も効果的な方法であることは間違いありません。攻撃の被害者である場合でも、単に変更後に間違いを犯した場合でも、バックアップがあれば救われます。
したがって、適切なものを適切に配置することが重要です。
これを行うには、2 つのオプションがあります。ホストが提供するバックアップ ツールを使用します (ホスティンガーなどプラネットホスターまたは、バックアップ プラグインを利用することもできます。
どちらのオプションを優先しますか?私たちの意見では、両方のオプションを選択したり依存したりすべきではありません。こうすることで、システムとホスティングの健全なバックアップを確実に利用できるようになります。
この特定のケースでは、十分ではないよりも少しやりすぎる方が良いでしょう。
WordPress を使用していてどのプラグインを使用すればよいかわからない場合は、UpdraftPlus をお勧めします。これ無料のプラグイン非常に簡単な方法でバックアップ サイクルを設定できます。さらに、保管場所も選択できます。これはローカルまたはオンライン ストレージ スペースにある可能性があります。何が自分に一番合うかはあなた次第です。
©アップドラフトプラス
定期的に修復も可能です。
この点に注意して、バックアップを構成したら、毎回バックアップがスムーズに実行されるように、時々バックアップを確認してください。これにより、ある日緊急に使用する必要が生じた場合でも、不快な事態を避けることができます。
メールを開くときは注意してください
Web サイトを保護しセキュリティで保護する方法を説明したガイドの最初の部分で示唆したように、所有者は「フィッシング」攻撃を受ける危険があります。
メールを受信する際はご注意ください。添付されている可能性のあるリンクやファイルについて考えずにクリックしないでください。まず、受信者が信頼できる組織または人物であることを確認してください。
確かにフィッシングメールはますます巧妙化しています。したがって、常に警戒していなければなりません。
フォルダーのアクセス許可を保護する
Web サイトのセキュリティを最大限に高めるための最後のアドバイスは、そのフォルダーとファイルのアクセス許可を変更することです。
ご存知ないかもしれませんが、すべての Web サイトの背後には、Web サイトが適切に機能するために不可欠な多くの情報を含むファイルやフォルダーがあります。
これらはすべて Web ホスティングで利用できます。これらのファイルやフォルダーに与えられたアクセス許可に注意を払わないと、ハッカーがそれらにアクセスして損害を与える可能性があります。
これらすべてを阻止するには、ファイル マネージャーにアクセスする必要があります (たとえば、FTP 経由または cPanel インターフェイスから)。
サイト ツリーに移動したら、次のように権限を設定します。
- 644: 個々のファイルの場合
- 755: ファイルとフォルダー用
これらの数字が何を意味するのか気になりませんか?簡単な説明は次のとおりです。
- 4 = 正しく読む
- 2 = 書き込み許可
- 1 = 実行権
- 0 = 権限なし
したがって、許可が 6 に等しい場合は、その人が読み取りおよび書き込み権限 (4+2) を持っていることを意味します。
ここで、なぜ 3 つの数字が連続しているのか疑問に思われたのではないでしょうか。最初の数字はファイル所有者の権利に関係し、2 番目はファイルを所有するグループにリンクされている人々に関係し、3 番目はその他全員に関係します。
Web サイトのセキュリティ保護に関する結論
このガイドを通じて、あなたのサイトがどのような危険に直面しているのか、そして何よりもそれらにどう対処すればよいのかを理解していただければ幸いです。
ご覧のとおり、考慮し、導入しなければならないことがたくさんあります。面倒な作業ではありますが、Web サイトを完全に保護するためには行う価値があります。
Web サイトを最大限に保護するために (まだ検討する機会がない場合) 考慮する必要があるすべての手順の簡単な概要を次に示します。
- SSL証明書のインストール
- 安全なウェブホスティングの使用 –Hostinger ホスティングをお勧めします
- セキュリティソフト・プラグインの導入
- サイトとそのプラグイン/アドオンを定期的に更新する
- パスワードの複雑さを改善する
- 定期的なバックアップの実行 (次のようなホスト)ホスティンガーまたはプラネットホスターツールを無料で利用できるようにします)
- フィッシングメールの可能性に対して最大限の警戒を
- サイトフォルダーのアクセス許可を保護する
まだウェブサイトを作成できていないのですか?この場合、まず、そこに到達するための最適なソリューションを選択することに重点を置きます。合格できますウェブホスト次に CMS をインストールするか、CMS を選択しますウェブサイト作成ソフトウェア。
ただし、Web サイトを攻撃の可能性から保護するために従うべき手順についてまだご質問がある場合は、コメントを残してお知らせください。