Web サイトを保護することは、オンライン ビジネスの可用性と運営にとって不可欠です。
インターネット セキュリティは目まぐるしく変化する課題であり、ほぼ毎週見つかるオンラインの脅威に常に注意を払う必要があります。これを手動で行う必要はなく、代わりに Web サイトの定期的なセキュリティ スキャンを実行できます。
完璧なセキュリティはありませんが、最善を尽くしてセキュリティを確保することはできます。
Joomla は 1 億 1,000 万回以上ダウンロードされた 2 番目に大きな CMS であり、 SUCURI による最新の調査により、2 番目に感染した Web サイト プラットフォームが明らかになりました。
ほとんどの Web サイトは、設定ミス、不十分なホスティング、または脆弱なコードが原因でハッキングされています。次の実践は、Joomla のセキュリティを 強化する のに役立ちます。
強力なパスワードによる安全な管理者ログイン
デフォルトの管理者アカウントを「 admin 」のままにし、パスワードを間違ったままにしないでください。これはおそらく Joomla における最大のリスクです。デフォルトの「admin」パスワードと推測可能なパスワードを維持することで、ハッカーの仕事を助けることになります。
解決:
デフォルトの管理者ログイン「admin」を、簡単に推測できない別のものに変更します。
パスワード マネージャーを使用して、長く複雑なパスワード文字列を生成します。自分の名前やサイト名を含むパスワードを保持しないでください。安全なパスワード ジェネレーターを使用することをお勧めします。
定期的に Joomla バックアップを取得する
バックアップはあなたの友人であり、命の恩人です。問題が発生した場合、バックアップはおそらくオンライン ビジネスの運営を復元する最も簡単な方法の 1 つです。
解決:
SiteGround のような優れたバックアップ プランを提供する信頼できるホスティング会社で Web サイトをホスティングしてください。 SiteGround は、毎日のバックアップを無料で行う最高のホスティング プロバイダーの 1 つです。バックアップのホスティングに加えて、 Akeeba バックアップ のような拡張機能を使用します。
秘密キーを使用して Joomla Admin にログインします。
管理者のバックエンドを潜在的なハッカーから隠し、秘密の URL を持つハッカーが管理領域にアクセスできるようにします。
解決:
秘密キーの追加に役立つ AdminExile などのログイン保護拡張機能を使用します。つまり、管理者ログイン ページにアクセスする必要がある場合は、管理者の後に秘密キーを入力する必要があります。
例: example.com/administrator?testing
ここでの秘密鍵は testing です。このキーを使用しない場合は、ホームページにリダイレクトされます。クールじゃないですか?
Joomla と拡張機能の最新バージョンを使用してください。
ほとんどの Web サイト所有者は最新バージョンにアップグレードしませんが、これは重大なリスクです。ほぼすべてのリリースで、セキュリティ修正が行われていることに気づくでしょう。そのため、最新バージョンにアップグレードしないことは、Web サイトを脆弱な状態に保つことを意味します。
解決:
Joomla が提供する 脆弱な拡張機能のリスト を確認し、古い拡張機能を更新します。 Joomla がリリースされるたびに変更ログを確認し、重大な修正が見つかった場合はアップグレードします。
Joomla サイトを監視する
Web サイトがダウンしたり、改ざんされたりしたことをどのようにして知ることができますか? Web サイトにアクセスできない場合は、電子メール、Slack、または SMS で通知を受け取ることができるため、必要な措置をすぐに講じることができます。
解決:
Web サイトを監視し、ダウンした場合には通知する、StatusCake のような無料ツールを使用してください。私がここで言及した同様の仕事をしている人は他にもたくさんいます。
検索エンジンフレンドリー (SEF) を有効にする
SEF は、Joomla ウェブサイトの URL をより検索エンジンに適したものにします。また、優れた SEF コンポーネントはセキュリティ上の利点ももたらします。 SEF コンポーネントはその情報をマスクし、ハッカーが最終的なセキュリティ脆弱性を発見するのを困難にします。
解決:
Joomla 管理領域で検索エンジン フレンドリー URL を有効にします。
- Joomla管理にログインします
- 「サイト>>グローバル構成」をクリックします。
- サイトのタブで、検索エンジン フレンドリー URL の横にある [はい] を選択します。
不要な拡張機能を削除し、未確認の開発者の拡張機能を回避します
Joomla はオープンソースであるため、管理者は多くのモジュールをインストールして新しい機能を試します。改善を試みるのは良いことですが、モジュールをインストールする開発者を知らずに行うのは悪いことです。使用しない拡張機能は削除してください。
セキュリティ拡張機能を使用する
拡張機能を使用して、スパム、ブルート フォース、2 要素認証、既知の脆弱性と闘います。たくさんありますが、ここでは最も優れたもののいくつかをリストしました。
ファイル/フォルダーのアクセス許可を適切に保ちます。
すべてのファイルには適切な CHMOD 構成が必要です。できれば、
PHP ファイル – 644
設定ファイル – 644
その他のフォルダー – 755
Web アプリケーション ファイアウォールを使用する
Web アプリケーション ファイアウォール (WAF) は、トップ OWASP 10 セキュリティ、既知の脆弱性、マルウェアから Web サイトを保護するために不可欠です。
Joomla Web サイトをクラウド VM でホストしている場合は、無料の ModSecurity を使用できます。ただし、共有ホスティングを使用している場合、または時間がない場合は、 Sucuri や Astra などのクラウドベースの WAF を検討してください。
WAF を使用すると、次のことが役立ちます。
- ボット保護
- ログイン保護
- バックドア保護
- DDoS保護
- SQLインジェクション
- XSS攻撃
- Joomla 特有の脆弱性
- ブルートフォース攻撃
- レイヤ 7 DDoS 保護
- などなど…
これらの手順に従えば、Joomla Web サイトの安全性が高まる可能性があります。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
