初心者のためのホームページのプログラムのセキュリティ対策

スポンサーリンク
ホームページのセキュリティ対策神社サイト運営
2020.06.11

ホームページの運営で記事の更新と同じくらい、むしろそれ以上大切なことがセキュリティ対策です。それについて、5方面からのセキュリティ対策をしようと記事を書きました。今回はそのなかの「ホームページやホームページ上のプログラム」のセキュリティ対策になります。

ホームページの脆弱性に対応する

ホームページへの攻撃は脆弱性を狙って攻撃をします。脆弱性とは欠点や急所です。なんというか、攻撃されてから脆弱性に気づくことがおおいので、イタチごっこなのです。

なので、初心者にはできる対策は限られています。

  1. OSやソフトウエアのアップデートやバージョンアップをする。
  2. WordPressなどのCMSはセキュリティ対策のプラグインを入れる。
  3. プラグインの更新をする
  4. 入力フォームは最小限にする
  5. ホームページのセキュリティ診断をする

OSやソフトウエアのアップデートやバージョンアップをする

毎度言っていることかもしれません。でも重要です。OSやソフトウエアだけではなくて、Wordpressやプラグインの更新も必ず行いましょう。最新にしておくことで、脆弱性を分かっている分を修正します。

WordPressなどのCMSはセキュリティ対策のプラグインを入れる

WordPressはレンタルサーバーにインストールして、気に入ったテンプレートを元にホームページを作る方法です。これは「みんなで作りましょう!」というオープンソースなので、手の内がバレているから攻撃に遭いやすいとされています。

そこで、それを補うのがプラグインというアプリをホームページと連動させる方法です。そのなかで2つ有名なプラグインを紹介します。

ALL in One WP Security & Firefall

こちらは英語です。でもカゴヤ・ジャパンのブログに詳しい設定がありますので、それを見て設定すれば大丈夫です。

ログインページを変更、ログインを何度か失敗するとしばらくログインできなくなったり、データベースの場所を分からなくするなど、初心者には難しい設定もプラグインを使えば、楽にセキュリティを高めることができます。

All In One WP Security & Firewallでwordpressのセキュリティ設定をしよう | カゴヤのサーバー研究室
All In One WP Security &
www.kagoya.jp

SiteGuard WP Plugin

こちらは日本語なので設定がしやすいと思います。内容は「ALL in One WP Security & Firefall」と大体同じです。管理ページとログインページの保護を中心とした日本語対応の扱いやすいプラグインです。

プラグインの更新をする

大事です。また、不用なプラグインは削除しましょう。使わないプラグインはなかなか更新しようと思わないので、脆弱性が修正されないままでいることになります。なので、しばらく使っていないプラグインがあれば削除しましょう。

また、「サイトヘルス」機能がついていおり、Wordpressのバージョン、テーマ、プラグインの更新を教えてくれます。

入力フォームは最小限にする

入力フォーム使った攻撃があります。SQLインジェクション、クロスサイトスクリプティングといった攻撃がよく知られています。とはいえ、初心者にはプログラムを直接修正するのは難しいです。

できる対策として、入力フォームを最小限にしましょう。例えば、問い合わせフォームに、趣味はいりません。入力文字数を制限してもいいでしょう。また、コメント入力もセキュリティの面から設置しないほうが無難です。

ホームページのセキュリティ診断をする

レンタルサーバーのオプション契約にホームページのセキュリティ診断があります。たとえば、GOクラウド株式会社の「SiteLock」があります。Web改ざんや悪意のあるプログラムの駆除、Wordpressの脆弱性などをチェックします。ただ、現在はまだレンタルサーバー代より高いので予算に余裕がある方向けです。

次にお手軽にセキュリティ診断ができる方法を紹介します。

gred

gredでチェック

株式会社セキュアブレインが開発運営する有料プランの一部を無料でチェックできます。URLを入力するだけで、改ざんやウィルスに感染していないか確認することができます。

Google Search Console

グーグルのアカウントをお持ちならば、グーグルのサーチコンソールもオススメです。サーチコンソールはホームページがどのように検索されているか分析するときに使います。「セキュリティと手動による対策」に「セキュリティの問題」の項目があります。

最後に

神社の御由緒や所在地などの神社紹介くらいのホームページならば、それほどホームページへのセキュリティ対策は必要ありません。gredでホームページをチェックして、もし感染しているようなら、全てを削除して、感染していないファイルのアップロードですみます。

その点Wordpressは複雑に色々ファイルがいるので、セキュリティ対策は心がけましょう。

何よりも一番大切なことはIDとパスワードの管理と設定です。ここを破られたらどうしようもありません。特に気をつけてくださいね。

Wordpressのパスワードの変更とセキュリティに強いパスワードとは?
Wordpressのパスワードの変更方法とセキュリティに強いパスワードについて記事を書いています。個人ブログは攻撃されないと思っていませんか?暗証番号の総当たり攻撃を止めさせる方法はありません。日々進化していく攻撃から大事なホームページを守り切りましょう。
yamatokobachi.com
2020.05.25
神社サイト運営
セキュリティ
スポンサーリンク
いつもありがとうございます!
やまとこばち
楽カミほむぺ★
タイトルとURLをコピーしました