利用可能なすべての種類の Web ホスティングの中で、共有ホスティングが最も一般的であり、セキュリティ問題に対して最も脆弱です。
自分のものを守る方法を学びましょう。
正直に言うと、Web セキュリティの話題になると、私たちのほとんどは否定して生きることを好みます。 「私はハッキングされるには小さすぎる」、「自分がそれほど不運ではないことは分かっている」、「時間があるときに考えてみよう」――重労働から逃れるために考えられる言い訳は無限にある。 、Webサイトのセキュリティを強化するという退屈な作業。
はい、バックアップを作成することを考えるだけでも、眠くなるのに十分です。
では、セキュリティをもっと真剣に考えるきっかけとなるものは何でしょうか?
世界で最も壊滅的なハッキングの詳細を壁に貼り付けるかも?しかし、その後、「私はハッキングするには小さすぎる」という考えが引き継ぎます。私が思う 1 つのアイデアは、どこかで実行されているカウンター、つまり、このビジネスや Web サイトに費やした合計時間を示すカウンターとして機能すると思います。 5 年間かかっている場合 (ビジネスに 1 日あたり平均 15 時間を費やしていると仮定します)、Web サイトがハッキングされてすべてのデータが破壊されました!
この投稿は習慣やモチベーションに関するものではありませんが、簡単に議論するのが適切だと思いました。それがあなたを怖がらせたり、やる気を起こさせたりしないなら、何がそうなるかはわかりません。 🙂
とにかく、十分に恐怖を感じた人、またはセキュリティ全般に懸念がある人のために、共有ホスティングアカウントをより安全にするために何ができるかに移りましょう。
注意してください: ここで話しているのは 共有 ホスティング アカウントであり、仮想サーバーや物理サーバー (またはそれらの集合) ではありません。独立したサーバーはまったく異なるボールゲームですが、この投稿では、収入がデジタル資産に依存している大多数の、それほど技術的ではない人々をターゲットにしています。
定期的なバックアップを作成(確実に)する
バックアップがセキュリティにつながるとは信じがたいですが、実際にはそうなのです。
多くの場合、ハッキングはデータを消去するほど悪質です。場合によっては、専門家による最善のクリーンアップにもかかわらず、悪意のあるコードが基盤の奥深くに潜り込み、再出現し続けることがあります (クライアントの WordPress サイトで何度このようなことが起こったか、説明し始めることさえできません!)。
このような場合は、復元ボタンを押す以外に方法はありません。以前は機能していたバックアップに移動し、スレートを完全に消去し、すべてを再度セットアップして、データをインポートし直します。何を失うのですか?バックアップ以降に収集されたデータ。何が得られますか?ビジネス全体!
とはいえ、バックアップについては留意すべき点がいくつかあります。
復元
迅速かつ予測可能な復元が提供されなければ、バックアップの意味がありません。共有ホスティングプロバイダーには復元オプションがある可能性がありますが、それが機能することを確信していますか?
復元ボタンがない場合、すべてをバックアップする方法を知っていますか?
時間が経つにつれて膨大な量のデータが収集され、復元するのが大変になるため、驚かれることは間違いありません。さらに、データベースのバージョン、ソフトウェアのバージョン、PHP のバージョン (つまり、PHP Web サイトを実行している場合)、これらのバージョンの互換性など、他にも考慮すべきことがあります。おそらく、あなたにはこれらすべてに取り組むためのスキルセットもエネルギーもありません。
そうでない場合は、たとえ高価に見えても、すべてを処理してくれる管理サービスを利用することを強くお勧めします。一方で、自分はそれをやり遂げることができると自信を持っている場合は、定期的に(たとえば半年ごとに)リハーサルをしてもらう必要があります。信じてください、どれだけ専門家であっても、常に何かにつまずくことがありますその上。
毎日のバックアップを提供する WordPress、Joomla、Magento サイトを構築するための信頼できる共有ホスティングをお探しの場合は、SiteGround を試してみてください。
頻度
どのくらいの頻度でバックアップする必要がありますか?ここで考慮すべき点は 2 つあります。それは、収集されるデータのサイズと、ビジネスの重要性です。
ビジネスを運営するために必要なデータが合計 40 GB あるとします。毎日のバックアップをスケジュールした場合、最初の 1 か月間で 40 x 30 = 1200 GB、つまり 1.2 TB のデータを使用することになります。
第 1 四半期の終わりまでに、その容量は 3.6 TB に増加します。この量のデータをどこに保存するかに関係なく、ポケットに穴が開くのは確実です。
ソリューション?
特定の期間より古いデータを破棄します。この期間がどれくらいであるかは、完全にビジネスによって異なりますが、ほとんどの場合、過去 1 ~ 2 か月間保持されている週に 2 回のバックアップで十分です。
その場合でも、バックアップの料金は決して軽くはなく、バックアップされるのは有用なデータであり、それも再利用可能な形式であることを確認する必要があります。そうでなければ、リスクがあることは承知しています。 。 。 🙂
二要素認証を採用する
この概念を知らない人のために説明すると、2 要素認証とは、ユーザーをログインして権限を引き渡す前にユーザーを確認する 2 段階のプロセスを使用することを意味します (詳細は こちらを 参照)。
なぜ?
なぜなら、誰かがたまたまあなたのパスワードを推測したり盗んだりして、自分のコンピュータからログインしようとした場合、身元を証明するよう求められるからです。
システムは、秘密の質問に答えること、SMS または電子メールで送信された OTP を入力すること、お気に入りの画像を選択すること、または ID を強制するためのその他の方法を使用することをユーザーに要求する場合があります。正直に言うと、一部の人がパスワードを適切に選択していないこと (いいえ、
s1mpled00d
は強力なパスワードで
はありません
) と、ブラウザベースのハッキングによってパスワードが簡単に取得されることを考慮すると、2 要素認証を導入するのが最善です。
WordPress Web サイトの場合、選択できるプラグインがいくつかあるため、タスクを非常に簡単かつ迅速に行うことができます。
信頼できないソースを避ける
これも空の色と同じくらい明らかなはずですが(当たり前 です よね??)、人間の世界でもよくあることですが、感情はすぐに支配されてしまいます。
機能を迅速に展開したいと考えていると、まさに必要なものを、場合によっては無料で提供しているソースを見つけました。デモは素晴らしく、UX は驚くべきものです。他に何が必要ですか?!
そんなに早くないよ、お嬢さん!サードパーティのソースは、いくつかの厄介な問題の原因となる可能性があります (実際、実際にそうであることの方が多いです)。サードパーティのソースには、保存されているパスワードやクレジット カード情報を盗む悪意のあるコードが含まれている可能性があります (モバイル アプリでは、悪意のあるコードが引き起こす可能性があるのは恐ろしい!)、またはコーディングが不十分である可能性があり、埋め込まれると Web サイトのセキュリティの脆弱な部分になる可能性があります。
また、開発者がコードを精査して承認したと言っても聞かないでください。セキュリティの世界は非常にねじれており、信じられないほど狡猾な攻撃が毎日明らかにされています (これは、謙虚なシリアル化の
例
です
serialize()
PHP の
serialize()
および
unserialize()
関数を操作して、リモート コードの実行を許可できます)。
プラグイン、テーマ、ライブラリなどは常に信頼できるソースから入手してください。 WordPress ユーザーにとって、これは公式に利用可能なプラグインを使い続けることを意味し (プラグインは残酷で、コードの品質と安全性が厳しくチェックされているため)、同様のことが他のプラットフォームにも当てはまります。
もう一度、プラグインを手に入れて走り去りたいという抑えられない衝動を感じる前に、危険にさらしている合計時間を考えてください。
より強力なパスワード
私たちが考え出す「強力な」パスワードの問題は、決して安全ではないということです。
自分の私生活に関する少しの知識と 辞書攻撃 の助けがあれば、殻を破る可能性は非常に高くなります。
ソリューション?
パスワードの複雑さと長さを選択できる LastPass の パスワード ジェネレーター のような、無料で信頼性の高いサービスを使用することをお勧めします。ツールを手加減せずに、筋肉を最大限に伸ばしてください。
覚えやすいパスワードを持つことは忘れてください。いいえ、そんな時代はとうに過ぎました。覚えられるパスワードは簡単に解読されてしまいます。代わりに、パスワード生成ツールを数回試してみて、腹が立つようなものに落ち着きます。
以下に私が受け取った提案をいくつか示します (パスワードの長さを 20 文字に設定)。
- rfg$t^cvwBg@Z0lj0Oxu
- 1sNYhBXrYJ2IW^J$f@Sq
- Plg6#YicW%bh&UzVpp#Z
- f95^*sMm592OwQcg&QZi
醜い?とても。安全な?とても!
最後に、他の人がアカウントを作成できる Web サイトをお持ちの場合は、必ずパスワードの検証を強制し、見ていて不快なもの以外は受け入れないようにしてください。はい、新しい寄稿者は善意を持っていますが、よく言われるように、地獄への道は善意で舗装されています。 ??
ソフトウェアを定期的に更新する
共有ホスティング アカウントで、インストールされているソフトウェアをアップグレードできる管理パネルが提供される場合は、そうすることを強くお勧めします。
なぜ?そうすることがエリートだと感じるからではなく、以前のリリースで発見されたセキュリティの抜け穴に大部分をパッチするために新しいソフトウェアがリリースされるからです (ああ! Windows が更新し続けることをなぜそんなに必死に望んでいるのかがわかりました)。
これを軽く考えないでください (実際、この記事の提案も :D)。古いソフトウェアを実行しているために、どれだけのインストール、アプリ、サーバー、デバイスが時限爆弾を抱えているのかわかりません。
これを見て目を丸くしているのなら、私もそう思います。常にチェック、テスト、更新し、機能しないものを破棄しなければならないことほど苦痛なことはありません。しかし、これは私たちがデジタル インフラストラクチャに対して支払っている「税金」です。私たちのデジタル資産は、私たちが慣れ親しんでいる他のものよりもはるかに機密性が高く、はるかに強力であるため、特別な注意が必要です。
繰り返しになりますが、余裕がある場合は、マネージド製品を選択してください。
より安全なホスティングプロバイダーを選択する
すべてのホスティング プロバイダーが平等に作られているわけではなく、積極的な広告やアフィリエイト マーケティングの世界では、良いホスティング プロバイダーと悪いホスティング プロバイダーを見分けるのは難しい場合があります。
では、どのホスティングプロバイダーが「より良い」かをどのように判断すればよいのでしょうか?
そうですね、魔法の物差しがあればいいのですが、私にはありません。
ホスティング インフラストラクチャは複雑な獣であり、評価、レビュー、Web サイトのデザイン、顧客のフレンドリーさなどが適切な指標となるわけがありません。しかし、私はこれだけは言います。問題を抱えているなら、何か新しいことに挑戦することをためらわないでください。むしろ、ドメインを販売したりホスティングを行ったりしている非常に古い、非常に大規模な企業には近づかず(私が誰のことを指しているのかわかりますよね?! ;-))、代わりに若い企業にチャンスを与えることをお勧めします。 、飢えた企業。
十分に売り飛ばすことはできません。
より安全でパフォーマンスの高いサービス プロバイダーに切り替えることで、毎月数時間の頭痛や眠れない夜を節約できます。
コンテンツ主導型の WordPress サイトを運営している友人が何人かいます。彼らのウェブサイトの悩みは、大胆な (そして痛みを伴う) 一歩を踏み出してすぐに解消され、ここ何年も何の問題もありませんでした。ウェブサイトの遅さやダウンタイムなどの些細なことで時間をかける価値はないと彼らは言いますが、私もその通りだと思います。 🙂
DDoS 保護を使用する
ウェブの重要な点は、それが「ワールドワイド」ウェブであるということです。誰でもどこからでも Web サイトにアクセスしたり、侵入を試みたりすることができます。
ボットでも。
さて、Web サイトに 1 時間ごとに訪れる数千件のアクセスのうち、99% がボットが侵入しようとしている場合、問題が発生します。これらの無駄なリクエストはシステム リソースを消費するだけでなく、消費することになります。クォータからの帯域幅。
共有ホスティング Web サイトが「無制限」の帯域幅を謳っていることは知っていますが、信じてください、無制限のものはありません。
たとえ毎月無制限のデータ転送を提供していると一瞬想定したとしても、すべてを接続する物理ネットワークの容量には限界があることを忘れないでください。言い換えれば、Web サイトが同時にサービスを提供できるユーザーの数は 制限され ているため、月間使用量が無制限であっても、ユーザーにとってサイトは常に非常に遅くなったり、ダウンしたりすることになります。
誰がそのような Web サイトにアクセスしたいと思うでしょうか?
多くの場合、このような攻撃は、攻撃者が複数のコンピュータを制御し、標的の Web サイトにアクセスさせることで組織化されます (ご存知のとおり、あなたのコンピュータはすでに、このような攻撃に不本意ながら参加しています)。
私が今説明したシナリオは、技術的には分散型サービス拒否 (DDoS) 攻撃として知られているものであり (詳細は こちら )、多数のユーザーがリクエストを行う攻撃と事実上区別がつかないため、依然として最もイライラする攻撃形態の 1 つです。 Webサイト。
とはいえ、Cloudflare や SUCURI などの特定の企業は、過去のトラフィック パターンに基づいてインテリジェントに分析し、DDoS 攻撃をブロックできる優れた防御システムを構築しています。
繰り返しますが、これは多くの人にとって高価であると思われるでしょうが、ビジネスをすべて失うリスクを負う価値があるかどうかを自分で判断する必要があります。
クラウドファイアウォール
ご存じない方のために説明すると、ファイアウォールとは、特定のルールに基づいてトラフィックをブロックまたは許可する、コンピュータとネットワーク上で実行される単なるソフトウェアです。 「クラウド」ファイアウォールが何であるかは明らかですが、千の言葉に値するのは間違いなくこの図です。 🙂
私に言わせれば、適切に構成されたファイアウォールは、他のすべての対策を組み合わせたよりもデジタル資産を保護するのに役立ちます。ハイテク大手のネットワークが侵入不可能であるとすれば、すべての送受信トラフィックを積極的にフィルタリングしている恐るべきファイアウォールのおかげです。攻撃者が開口部を探ろうとした場合でも、その結果は即座にブラックリストに登録され、侵入したりネットワークをダウンさせたりすることが非常に困難になります。
ここでは、私たちが推奨する最高のファイアウォールを紹介します。繰り返しますが、高いと思う場合は、カウンターを思い出してください。
「より安全」にするためにできることは他にもたくさんありますが、この記事を真剣に受け止めれば、99.9% の潜在的に恥ずかしい攻撃やハッキングから救われると思います。
WordPress ユーザーは設計上あまり安全なプラットフォームではないため、これは特に当てはまります。プレーンな HTML Web サイトを持っている場合でも、DDoS 攻撃はユーザー、ホスティング プロバイダー、そしてあなた自身の風味を同時に台無しにする可能性があることに注意してください。
言い換えれば、偏執的な人だけが生き残るということです(同じ名前の素敵な本もありますので、興味があればご覧ください)。 🙂
| プレビュー | 製品 | 評価 | 価格 | |
|---|---|---|---|---|
|
パラノイアだけが生き残る: すべての企業が直面する危機をどう活用するか | $12.99 | アマゾンで購入する |
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
