ナカシマリニューアルサイトのセキュリティー対策!
新潟スイーツ・ナカシマ最近、私がお邪魔させていただいているブログでセキュリティーの話題が書き込まれているのをよく拝見しています!
それを踏まえてナカシマのサイトリニューアルの際にはよりセキュアなシステムになるようにも変更を行いました^^
今日はお菓子の話とまったく関係のないことですがナカシマのサイトをより安心して見ていただくべく、この投稿をさせていただこうと思います^-^
ウェブページの改竄
まずは近年どんなセキュリティーの問題が起こっているのかということを知ることがセキュアなシステムを作る上で重要だと思いました^^
私の使っていたサーバーにも注意喚起のページが公開されていて、それによるとウェブサイトが改竄されて意図しないJavaScriptを埋め込まれる事象が発生 しているとの報告を受けているとのこと*-*
改竄されたウェブサイトを閲覧した場合、 別のウェブサイトに誘導され、ウイルスに感染する可能性があるそうでこれは防止の対策が絶対に必要と判断いたしました!
ちなみに改竄されたウェブサイトを閲覧したユーザーに対する攻撃では、主にAdobe Flash,Adobe Acrobat, Adobe Readerの脆弱性を利用し、PCに感染後、感染PCからFTPアカウントを盗み、FTPでアクセスしてまたサーバー上のコンテンツを改竄するそうです@-@
ではどんな対策が有効なのかまったく私的な対策ですが読んでいただければ幸いです♪
コンテンツを作るパソコンをクリーンに
まずはサイトを作るパソコン自体をクリーンにしておくことが1番重要でしょう!
でもインターネットに接続しているパソコンを使用している限り完全に安心ということはあり得ない状況だそうです^^;
そんな中でも出来るだけクリーンにしておくためにサーバーと接続するパソコンは決めておき、そのパソコンは常駐のウィルスセキュリティーソフトとオンラインウィルススキャンを定期的に使用しています^^
またcmd.exeやregedit.exeが起動しない場合もウィルスに感染していることがあるのでそれも合わせてチェックしています^-^
.htaccessでのセキュリティー対策
次に行ったセキュリティー対策は.htaccessでの対応です^^
.htaccessとは簡単に言うと、ウェブサーバの動作をディレクトリ単位で制御するためのファイルです^-^
ナカシマのリニューアルサイトはすべてWordPressというブログシステムで作られているのですがこのログインページにベーシック認証をかけてあげます^^
こんなIDとパスワードを入れる画面、見たことないですか?^^
方法は簡単でルート上の.htaccessに
<files wp-login.php>
AuthName "Input ID and Password."
AuthType Basic
AuthUserFile /フルパス/.htpasswd
require valid-user
</files>と記述しこれに対応する.htpasswdを作成してアップロードするだけでベーシック認証がかけれます^^
MTOSでもこれをログインする時のファイルに設定してあげればいいと思います^-^
ちなみにAuthUserFileは相対パスでも絶対パスでもなくフルパスなのでご注意ください!
フルパスはサーバー管理者に問い合わせるかKENT WEBさんのFullPath Viewerを使うことをお勧めです*^-^*
またWordPressの設定が記述されているwp-config.phpを保護するために
<files wp-config.php>
Order deny,allow
deny from all
</files>を記述してアクセスを制限します^-^
とっても簡単なのにかなりセキュリティはアップ…したはずです^^;
WordPressでのセキュリティー対策
そして最後はWordPress自体のセキュリティー対策です^^
これはいっぱいあるので箇条書きで…^^;
- ①wp-config.phpにセキュリティキーを設定する
- ②WordPressのバージョンは最新のものにする
- ③WordPressのバージョンを非表示にする
- ④ユーザー名とブログ上の表示名を変える
- ⑤Akismetを設定する
- ⑥robots.txtにシステムファイルを検索エンジンにインデックスさせないように記述する
- ⑦テーブル名の接頭辞($table_prefix)を「wp_」以外のものに変更する
と主なものをあげましたがまだまだいろいろ対策は講じています^^
これでかなりウィルスの脅威から遠くに身をおけたかなと思っていますが油断はできないですね^^;
これからもセキュリティーをしっかりとして安全なサイト作れたらと思っています^-^
「楽しくておいしいサイトに安全を!」を目標にこれからもがんばっていきますね♪
ナカシマさん、こんにちは!
むむむ、セキュリティー対策は奥が深いんですね。
私は、セキュリティーソフトを入れて安心していますが、どうやらそれでは危険そうですね。
最近は、動画サイトの動画にウイルスがいるとか言われているし、ブログの記事や画像を、知らない他の場所で二次利用されるのを防いだりする、セキュリティも必要かと思います。今度、ウイルスバスター2010を個人で購入しますが、セキュリティのレベルによって必要な物まで削除してしまうので、難しいです。
セキュリティー万全で新しいサイトも完璧ですね。
すばらしい。
こんばんは。
先日、WoedPressもセキュリティホールが見つかり、話題に
なりましたよね。私も常に最新版を使う様にはしていますが、
それだけでは不十分な様ですね。
>.htaccessでのセキュリティー対策
通常のログインページに入る為に、もう一つセキュリティ
ページを作るって事ですか?
二重のロックを掛けて、外部から侵入出来にくくするのですね。
GENさん、コメントありがとうございます!
セキュリティーは奥が深かったです^^
まだまだ全然なのですが、サイトのセキュリティーとPCのセキュリティーはまた別(結果的には別ではないのですが…)なので両方しっかりやる必要があると思います^-^
もっとこの点は勉強したいですね♪
国富さん、コメントありがとうございます!
最近はインターネットのあらゆるところにウィルスが潜んでいそうで怖いですね^^;
私はもちろんセキュリティソフトを使いながらブラウザでスクリプトを切って閲覧するようにしています^^
感染すると最終的にはリカバリーしなければ安心はできないないので予防が重要だと思いますよ♪
アゴスさん、こんばんは!
セキュリティーはどんな手法が出てくるかわからないので万全と思えることは絶対にないのでしょう^^;
どんなにCMSツール側のセキュリティを高めてもPCにスパイウェアが入ればFTPのパスワードを抜かれてしまいますので@-@
そうならないようにクリーンなパソコンを保っておきたいです♪
豆蔵さん、こんばんは!
>通常のログインページに入る為に、もう一つセキュリティ
ページを作るって事ですか?
その通りです^^
最近はサイトを作るジェネレーター(WordPress等)を調べ攻撃してくるのでその前にひとつベーシック認証を挟みました^-^
プラグインでそのようなパスワードを入力させるものもあるのですがうまく機能しなかったでベーシック認証にしました♪
手間は増えますが少し安心感も増えます*^-^*
こんばんは。
なるほど、勉強になります。
じっくり読ませていただき、ウチも参考にしたいと思います。
この手の対策はいたちごっこですから困ったものですよね*_*
こんばんは
MTはディレクトリ名をmtにしないほうがいいそうです
おはようございます
セキュリティー対策
重要ですね!
ちょうど昨晩にPC内の整理とウィルスチェックのスキャンを行ったばかりです
定期的に行っています
自分のPCを守る為、他人に迷惑をかけない様に心がけています
この分野も多くの知識が必要ですね
今日も勉強になりました
有難うございます
新潟スィーツ・ナカシマさん
おはようございます。
ナカシマさんは凄いなぁ・・・・棺桶に片足を入れている溶射屋としては読めない英語を読んでいるように思えます^^;
色んな問題があるんでしょうね。
セキュリティソフトは必需品だと思います。
ymqwxweyanvi