2020年に従うべき10のWebホスティングセキュリティのベストプラクティス

脅威はトレンドに従い、世界中に広がったデジタル爆発のおかげで、今日Webサイトをホストすることはますます危険になっています。

ウェブサイトを所有しているほとんどの人がウェブサイトを現金化しようとしていることを考えると、これはさらに悪いことです。つまり、重大な影響を与える可能性があります。

Googleが昨年、ウェブサイトのモバイル対応に重点を置くよう警告したにもかかわらず、2018年にはモバイルマルウェア攻撃が倍増しました。 これは特に大まかに関連しているだけかもしれませんが、群衆に続くサイバーセキュリティの脅威の一般的な傾向を見ることができます。

Webホスティングのセキュリティは、特にリソースが限られている小規模なWebサイトにとっては課題となる可能性があります。 結局のところ、数十億ドルのサイバーセキュリティ予算を持つ金融機関でさえも侵害される可能性があるとしたら、私たちの残りの人々にどのような希望がありますか？

完全に正しいわけではありません。

サイバー脅威を克服するためのリソースがないと思ったからといって、サイバー脅威をあきらめて無視するのは間違いです。 サイバー攻撃は、大きな給料日が発生する可能性があるため、価値の高いターゲットに侵入するためにかなり多くの時間とリソースを費やします。

ただし、小規模なサイトの場合、ほとんどの問題を軽減するには、物事を視野に入れ、標準のWebホスティングセキュリティのベストプラクティスに従うだけで十分です。 ええと、あなたがたまたま誰かをあなたに非常に腹を立てさせたのでない限り、何らかの理由で。

今日は、いくつかのWebホスティングセキュリティのベストプラクティスを共有し、防御を強化するために試すことができる実用的なヒントを提供します。

あなたのサイトにアクセスできませんか？ ハッキングされましたか？ パスワードまたはアカウント全体を紛失しましたか？ コアファイルが危険にさらされていますか？ 無料のEmergencyRecoveryScriptは、ワンクリックで悪夢を解決します。

従うべき10のWebホスティングセキュリティのベストプラクティス

1.評判の良いウェブホスティングプロバイダーに固執する

あなたのウェブホスティングプロバイダーはあなたが思っているよりもあなたのウェブサイトのセキュリティにおいてはるかに大きな役割を果たしています。 あなたのウェブサイトがあなたのウェブサイトから出入りするトラフィック上にある物理的な空間から、あなたのウェブホスティングプロバイダーはあなたのセキュリティが懸念される非常に親密な役割を果たします。

たとえば、ウイルス対策やマルウェア対策などの標準的な広告申込情報を処理するのは、多くの場合Webホストです。 一部のウェブホスティングプロバイダーは、スパム対策、自動バックアップおよびリカバリシステムも提供しており、運が良ければ、コンテンツ配信ネットワーク（CDN）を利用することもできます。

ヒント：ウェブホストを選択する際の主な考慮事項はセキュリティです。 しばらくの間サイトをホストしていて、VPSホスティングアカウントへの移行を正当化できるところまで成長している場合は、できるだけ早く移行することをお勧めします。 VPSホスティングは、標準の共有ホスティングアカウントよりもはるかに優れたセキュリティ機能を提供します。

2.CDNを使用する

上で述べたように、一部のWebホストはCDNで動作しますが、動作しない場合は、自分でこれを行うこともできます。 CDNは、世界中のサーバーでサイトのキャッシュをホストすることにより、訪問者により迅速にWebページを提供するのに役立ちます。 サイトへのアクセスが要求されると、CDNは最初に、要求された場所に最も近い場所からキャッシュされたデータを提供します。

ただし、速度の利点とは別に、CDNは大規模なサーバーネットワークを利用して、いわゆる負荷分散を提供します。 これは、CDNを使用することで、サーバーリソースを部分的に処理し、より多くの訪問者を管理できることを意味します。

これは、CDNを使用することの最良の部分である、分散型サービス拒否（DDoS）攻撃の防止に関連しています。 DDoS攻撃は、サーバーがシャットダウンするまでWebサイトにリクエストを殺到させることで、Webサイトを圧倒してシャットダウンしようとします。 ただし、CDNは、サーバーネットワークを介してこれを相殺することにより、セキュリティを強化するように設計されています。

ヒント：CDNとしてCloudflareを使用してみてください。 基本機能を備えた無料のアカウントがあり、ニーズの変化に応じてスケールアップできます。

3.常にSSL証明書を使用する

Secure Sockets Layer（SSL）証明書は、訪問者がサイトで共有する情報が暗号化され、安全であることを保証するのに役立ちます。 今日、SSLは非常に重要になっているため、主要なインターネットブラウザは、サイトがSSLを使用していない場合にユーザーに警告します。

SSL証明書にはいくつかの種類があり、それぞれの価格は異なります。 個人用サイトや中小企業向けのサイトを運営している場合でも、無料のSSL証明書を簡単に使用できますのでご安心ください。 入手とインストールは簡単です。 実際、PleskまたはcPanelのいずれかで数回クリックするだけで実行できます。

ヒント：Let's Encryptから無料のSSL証明書を直接取得できますが、Webホストがこのサービスを提供している方がよいでしょう。 今日のウェブホストがLet'sEncryptの無料SSLの簡単なインストールを可能にするかもしれません。

4.常にバックアップを保持する

WPXホスティングによる自動バックアップと復元

バックアップと復元の機能を提供するウェブホストがありますが、それでも提供しないものもあります。 これに関係なく、万が一の場合に備えて、常に独自のバックアップを作成し、一連のファイルをオフラインにしておく必要があります。 これは少し退屈に聞こえるかもしれませんが、ホストがバックアップシステムをどのように設定したか、または災害時に何が起こるかはわかりません。 （ファイルとデータベースの両方の）オフラインバックアップを維持することは、命を救うことができます。

ヒント：オフラインバックアッププロセスの自動化は、特にWordPressを使用している場合は、思ったよりも簡単です。 UpdraftPlusバックアッププラグインを使用すると、選択した宛先に任意の頻度でリモートバックアップできます。 WordPressのこれらのバックアップサービスをチェックすることもできます

5.パスワードを強化する

あなたはそれについて聞いたことがあり、映画でそれが起こっているのを見て、自分でそれをしたことで罪を犯しているかもしれませんが、覚えやすいパスワードを使用することは災害のレシピです。 今日のハッカーは、サイトの防御に対してテストする一般的に使用されるパスワードでいっぱいの辞書と呼ばれるファイル全体を持っているほど洗練されています。

全体像を把握するために、ボットネットは約4時間で6文字のパスワードを総当たり攻撃する可能性があります。 これはすべて自動化されているため、あなたとサイバー攻撃者が眠っている間、ボットはWebサイトに侵入しようとします。

ヒント：大文字と小文字、数字、特殊文字を組み合わせた、より長く複雑なパスワードを使用することをお勧めします。

6.独自の接続を暗号化する

あなたはあなたのウェブサイトの所有者であるため、あなたのウェブホスティングアカウントへのあなたの接続はあなたの訪問者からのものよりも安全に保たれるべきです。 Secure File Transfer Protocol（SFTP）を使用するか、仮想プライベートネットワーク（VPN）接続を介してファイルを転送することをお勧めします。

どちらの方法でも、Webサーバーに送信しているデータをだれも傍受して盗もうとするのを防ぐのに役立ちます。 個人的には、VPNを使用することをお勧めしますが、通常、SFTPクライアントを使用するよりもコストが高くなります。 VPNは、コンピューターから送信されるすべてのものを暗号化することで機能するため、すべてのシナリオをカバーします。

ヒント：VPNがお好みでない場合は、無料のSFTPクライアントを大量に使用できます。 非常に強力でオープンソースのFileZillaをお勧めします。

7.物事を最新の状態に保つ

攻撃者がWebサイトにアクセスしようとする1つの方法は、ソフトウェアの既知の弱点を悪用することです。 ほとんどすべてのソフトウェアには、ある種のバグや抜け穴があり、開発者が見つけたときにこれらのギャップをブロックするために、多くのソフトウェアが継続的に更新されています。

可能な限り、Webサイトで使用するすべてのソフトウェアを最新の状態に保つようにしてください。 WordPressを使用している場合は、WordPressのインストールだけでなく、インストールした各プラグインまたはテーマも最新の状態に保たれていることを確認してください。

ヒント：一部のWebホストは、WordPressサイトのワンクリック更新を提供します。これにより、1つのサイトだけでなく、アカウントでホストされているすべてのサイトをすばやく更新できます。

8.サーバー構成ファイルを利用する

使用しているウェブホスティングプラットフォームに応じて、処理する必要のあるサーバー構成ファイルのタイプ。 たとえば、Apacheは.htaccessを使用しますが、Microsoftはweb.configファイルを使用します。 これらの構成ファイルは非常に強力であり、サイトのセキュリティを強化するために使用できます。

サーバー構成ファイルに適切なルールを追加することで、ディレクトリの閲覧を防ぎ、他のユーザーがサイト上の画像にホットリンクするのを防ぎ、特定のファイルを保護することもできます。

ヒント：使用しているWebサーバーがわからない場合は、ここですぐに確認できます。

9.ファイルのアクセス許可に注意してください

ファイルには、ユーザーがファイルに対して何を誰が実行できるかを定義するいくつかのプロパティがあります。 基本的に、ファイルと対話できる3つの役割があります。 所有者、グループ、一般の人々。 彼らがファイルでできることは、ファイルの読み取り、書き込み、または実行です。

サイトを本当に保護するには、重要なファイルが何であるかを学び、それぞれに設定されている権限を確認してください。 誤って定義されたファイル権限は、アクセス権を持つすべての人がサイトに害を及ぼす可能性のある悪意のあるコードを追加することを許可してしまう可能性があります。

ヒント：ファイルパーミッション666を使用すると、誰でもファイルに何でも書き込むことができます。この設定の使用には十分注意してください。

10.2要素認証を使用する

項目5に関連して、パスワードの長さや複雑さに関係なく、パスワードが解読される可能性があります。 これが本当にあなたの恐怖症である場合は、2要素認証（2FA）システムを探すことを強くお勧めします。

2FAを使用するということは、パスワードとは別に、アクセスしようとしているシステムが別の方法でIDを確認する必要があることを意味します。 最も速くて一般的な2FAの方法は、モバイルコードを介して認証することです。

パスワードが確認されると、システムはモバイルデバイスにコードを送信し、認証コードを表示します。 アクセスする前に、そのコードをシステムに入力する必要があります。 これにより、システムのセキュリティが大幅に向上します。

ヒント：市場には多くの2FAシステムがあります。 WordPressを使用している場合は、Google認証システムのように無料で試すことができるものもいくつかあります。

結論：静かに話し、大きな棒を運ぶ

ここでは、Webホスティングセキュリティのベストプラクティスの10の例を示しましたが、さらに多くの例があり、強化するために実行または注意を払うことができる複数の項目が含まれる場合があります。 そのため、Webサイトの所有者がすべてを追跡するのは難しい場合があります。特に、それがコアビジネスでない場合はそうです。

チェックリストを作成して、監視する必要のあるものをすべてリストアップし、頻度ごとに分けることをお勧めします。 たとえば、毎日、毎週、または毎月確認する必要がある項目。 これはあなたがスピードに追いつくのを助けるでしょう。

あなたが完璧なウェブサイトのセキュリティを持っている必要はないことを忘れないでください-それは不可能でしょう。 あなたが本当にする必要があるのは、攻撃者があなたのサイトへの興味を失い、より簡単な選択に移るように、攻撃者が物事をできるだけ難しくすることです。

テディ・ルーズベルトが言ったように、「静かに話し、大きな棒を持ってください」あなたのセキュリティ防御は、いわばあなたの大きな棒です。