logtxt

これらの簡単な手順を使用して、Web サイトのセキュリティを評価し、改善します。

06/12 2019
目次
  1. 防衛の第一線
  2. セキュリティ監査
  3. よくある懸念事項
  4. 設計上の弱点
  5. 適切な保護
ウェブサイトのセキュリティ

かつて、人々や企業がウェブサイトを完全に放棄し、誰もコンテンツをハッキングしたり、サイトにマルウェアをインストールしたりしないことをただ願っていた時代がありました。 

攻撃の数と頻度は常に脅威が存在することを意味しており、Web サイトが成功すればするほど危険が増大するため、そんな時代はとうに過ぎ去りました。

では、( Web ホスティングプロバイダーを介して) Web サイトを保護するにはどのような方法があるのでしょうか。また、サイトがハッキングされたり不正に改ざんされる可能性を減らすにはどうすればよいでしょうか? 

ただし、それに到達する前に、多くのハッキングされたサイト (安全なサーバーでホストされているサイトであっても) の原因となっている最も基本的なセキュリティ レベルを理解する必要があります。 

防衛の第一線

防衛の第一線

一部の企業は独自の Web サイトをホスティングすることに固執していますが、ほとんどのビジネス ドメインは、その目的のために契約された安全なサーバー上に配置されています。 

ホスティングを選択すると、そのシステムで実行されている OS (Windows Server、Linux、または Unix) を定義でき、それによって必要なセキュリティ プロトコルが決まります。 

サイトの管理責任を持つ人は、そのサイト上のファイル構造を変更する管理者権限を持ちますが、他の人はそうではありません。 

最初から問題が発生する可能性があるのは、管理者アカウントの詳細を知っている人が多すぎて、パスワードが定期的に変更されていない場合です。また、管理を行うために使用されるマシンの 1 つにキーロガーをインストールするだけで、パスワードはまさに知られたくない種類の人々に公開されます。 

しかし正直に言うと、定期的にパスワードを付箋で覚えているオフィスで働いている人がどれだけいるでしょうか? 疑いもなく、数人の手がそこに上がった。 

これらのパスワードを保護することが防御の第一線であり、それがなければ、他の行為は簡単に元に戻されてしまいます。 

したがって、Web サイトのセキュリティについて最初に学ばなければならない教訓が 2 つあります。

  • ウェブサイトが構築されたネットワークに依存します 
  • パスワードを書き留めたり、目立つ場所に置いたりしても、セキュリティが向上することはほとんどありません。

セキュリティ監査

セキュリティ監査

サイトのセキュリティ監査の実行は、IT スタッフが選択したソフトウェア ツールを使用して実行できる比較的簡単な作業です。あるいは、サードパーティと契約してスキャンを実行し、潜在的な弱点のリストを提供して補強することもできます。 

Web ホスティング サービスを購入している場合、プロバイダーは最初から適切な安全性を確保するためのセキュリティ ツールもバンドルしている場合がありますが、通常は継続的にではありません。 

さらに、多くのプロバイダーは Web サイト セキュリティ パッケージも提供しており、脅威への迅速な対応とサービス拒否攻撃の軽減を約束しています。小規模な個人ブログを持っている場合を除き、これらは健全な投資です。 

特に電子商取引を提供するサイトの場合、サイトを一定期間オフラインにしておくことにかかる費用を考えると、これらのサービスの価格はそれほど高くありません。 

どのようなアプローチを採用する場合でも、セキュリティ スキャンを定期的に実行して、新たな脅威が出現したときにそれを特定し、即座に対処することが重要です。

よくある懸念事項

よくある懸念事項

Web サイトが遭遇する最も一般的な攻撃形式は次のとおりです。

  • 分散型サービス拒否 (DDoS) – 通常はトロイの木馬に感染している多くのリモート コンピューターが一斉に動作し、サーバーが要求量を処理できなくなるまで Web ページを繰り返し要求します。
  • マルウェア感染– 何らかの悪質なコードを含むファイルが、訪問者にアップロードされることを目的として、何らかの方法でサイトに配置されます。
  • SQL インジェクション– フォームまたは入力に挿入された悪意のあるコードが、サーバー上の SQL データベースによって実行されます。このコードにより、顧客データにアクセスしたり、マシンを外部アクセスに公開したりできる可能性があります。
  • ブルート フォース– 多くの場合、OS の欠陥により、反復攻撃によりリセットが発生し、二次攻撃のためにポートが一時的に開かれます。最新のオペレーティング システムは複雑であるため、新しい脆弱性が定期的に発見されています。
  • クロスサイト スクリプティング– ブラウザを別のサイトにリダイレクトしたり、訪問者が気付かないうちに被害サイトのコンテンツを置き換えたりできるハッキング手法。
  • 「ゼロデイ」ハック– これらは、一般に知られていない弱点を利用した新しい攻撃であり、阻止するのが困難です。脆弱性が発見されてからパッチが適用されるまでの時間は非常に重要であり、修正が見つかるまで一部のサーバー機能を一時的に無効にする必要がある場合があります。

設計上の弱点

多くのサイトは次の機能がアクティブな状態で運用されていますが、これらはさまざまな理由から多くのセキュリティ問題の原因となっています。

  • フォーム– サーバー上で入力を処理するものはすべて、悪意のあるコードの潜在的なエントリ ポイントであり、ユーザー データを抽出するために悪用される可能性もあります。
  • フォーラム– スクリプトの配置や、マルウェアを配布する Web サイトへのユーザーのリダイレクトは、ユーザー作成のフォーラムで発生する可能性のある問題のほんの一部です。
  • ソーシャル メディア サインイン– Facebook または Google アカウントを使用してサイトにログインするのは手早く簡単ですが、これらのアカウントがハッキングされる可能性もあります。
  • 電子商取引– 犯罪はお金に続き、ハッカーは電子商取引サイトをハッキングするためにより多くの労力を費やすでしょう。
  • 規制されていないコンテンツ– ニュース記事や記事を他のサイトから入手する場合、それがどのようなものであっても、そのサイトのセキュリティ対策に依存することになります。

明らかに、Web サイトからこれらの機能をすべて削除すると、Web サイトは訪問者にとって魅力のない場所になってしまいます。どのような要素を使用する準備ができているか、またそれらの要素に関連する可能性のあるセキュリティ上の問題をどのように軽減するつもりであるかについて判断を下す必要があります。

GoDaddy サイトのセキュリティ

適切な保護

Web サイトが決してハッキングされないことを保証する方法は 1 つだけあり、それは、Web サイトを持たないことです。結局のところ、Web サイトのセキュリティは、サイトをハッキングしようとする価値を大幅に低下させ、また、インシデントからの迅速な回復を保証するために十分な対策を講じる緩和策です。 

セキュリティへの取り組みの正確なレベルは、すべての企業が取り組まなければならない選択ですが、オンライン販売に携わる企業は、取引する人の個人情報および財務情報を 100% 保護する必要があります。 

多くの企業や組織がすべての顧客データを盗まれ、その後個人情報盗難詐欺に使用され、多額の損害をもたらしています。 

どのレベルの保護と監視を選択する場合でも、目的に適合する必要があります。最後に、必要以上に優れたセキュリティを備えていればコストは最小限に抑えられますが、セキュリティが低いと法的および商業的に多大な影響を及ぼす可能性があることを考慮してください。

ハウツー記事をもっと見る