ハッキング攻撃からあなたのウェブサイトを保護する7のヒント

書かれた記事:
  • 特集記事
  • 最終更新日:06、2019

Webはビジネスだけではありません。 何十億ものページとブログエントリが毎日書かれています毎秒、小規模なWebサイトの所有者やブロガーが自分の意見を世界と共有しようとしていることが原因です。 それがWebの魅力です。すべての人に、そしてあらゆる種類のプロジェクトにスペースを提供します。

無限の可能性。

しかし、インターネットもまた野生のジャングルです。それはいたるところで危険を隠しています。 あなたがオンラインで非営利または一人前ビジネスを経営している場合、特に、あなたはすべての取引をWebに移すことがあなたのサービスに関して特別な注意に変換することができることに気づくでしょう。

セキュリティは、Webサイトを計画する際に考慮すべき真の重要な側面です。コンテンツを保護するにはどうしたらよいですか? 最高のユーザーエクスペリエンスを提供するにはどうすればよいですか? あなたのウェブサイトを更新するたびにあなた自身に尋ねるべき質問です。

なぜこの記事と7が役立つのか

簡単でn00b的な方法であなたのサイトを保護することは現実よりももっと理想的ですが、それはプログラマーでもコンピュータ科学者でもない誰かが彼らのウェブサイトにセキュリティを加えることができないという意味ではありません。 私はあなたがセキュリティ問題についてのあなたの好奇心をくすぐるのに十分適用し易くそして十分に詳細である7つのヒントを選んだので、あなたはあなた自身のウェブセキュリティ専門家になるでしょう。 すべてのヒントはWebハッキングに固有のものであり、セキュリティホールについてWebサイトをテストするために使用できる手法も紹介します。 心配しないでください。難しいことは何もありませんが、プロジェクトのために、攻撃を防ぐための簡単なツールやテクニックに慣れることが重要です。 :)

楽しんでください!

ヒント#1 - あなたのパスワードを少しでも心がけてください

最大のWebセキュリティホールは、より多くのWebサイトまたはWebサービスで同じパスワードを使用することです。 1つのパスワードを見つけ出したハッカーは、自分のブログでもPayPalアカウントでも、すべてのパスワードを見つけ出し、すべてのデータに簡単にアクセスできるようになります。 あなたのパスワードのリストを紙やファイルに保存しておくのも安全な代替策ではありません(あなたのファイルをパスワードで保護しているのでなければ)。あなたのコンピュータをハックする誰かがあなたのデータベースに簡単にアクセスできるからです。

しかし、まともなパスワードを思いつくことができない場合はどうすればよいですか?

  1. 用途 強力なパスワードジェネレータ 英数字と代替記号を含め、解読が困難なパスワードを生成します。 シンボルの文字列の方がランダムまたは疑似ランダムであるほど(つまり、パスワードのシンボルには内部メモリがなく、互いに無関係であるため、すべてのシンボルが次々に来る可能性が等しくなります)、安全です。
  2. 用途 パスワードセーフ すべてのパスワードを保存して暗号化します。パスフレーズを覚えてロックを解除することができます。 このプログラムは、 Twofishアルゴリズム すべてのパスワードを暗号化するPassword Safeは、Bruce Schneierによって開発されたWindowsのオープンソースプロジェクトです。 Windowsを使用していない場合は、 パスワードゴリラ Password Safeの有効なオープンソースの代替手段です。

これは、 'Websites'という名前のデータベースを含むPassword Safeの正面図です。

パスワードセーフプログラムの表示

「Webサイト」データベース内のファイルの詳細は次のとおりです。

パスワードセーフなファイル表示

ヒント#2 - スクリプトをうまく扱う

WebサイトのスクリプトとCMSプラットフォームがハッキング攻撃の主な原因であることはよく知られています。 PHP、ASP、およびJavaScriptで書かれたスクリプトをホストする場合は、それらに開発者が見落としているかもしれないセキュリティホールとバグがあるかもしれないことを知っていてください。 上記の問題の1つが発見されたらすぐに開発者に連絡すること以外に、スクリプトがあなたを傷つけないようにするために使用できる非技術的な方法があります。

  • あなたのスクリプトのバージョンドキュメントをよく読んでください:それはパッチとバグ修正に関する詳細をしばしば含みます
  • ソフトウェアのインストーラや管理パネル、あるいはグーグル(ウェブマスターツールを介して)の警告にリストする:あなたがファイルを更新または編集/削除する必要があるなら、それをする
  • 既存のプラグインをすべてインストールするのではなく、まず互換性とセキュリティ上の注意を確認してください。

また、これがおそらく最も重要な要素です。常に、スクリプトとCMSを常に最新の状態に保ってください。 ソフトウェアの最新のパッケージには通常、前のバージョンのバグやセキュリティ問題に対するパッチが含まれています。

例:SoftaculousからのWordPressのアップグレードの警告

激しいアップグレードの警告

ヒント#3 - 通常のフォルダと管理パネルのチェックを実行する

時々ハッカーがあなたのサイトに猫のようにこっそりと侵入しますが、サイトのなりすまし、ウイルスを含むメディアファイル、実行可能ファイル、記録されたWebページなどの災害を後に残します。 ファイルに何も問題がないことを確認するために、少なくとも2週間に1回、フォルダを定期的にチェックしてください。 認識できないファイルを見つけたら、ただちに削除してください。 それでもうまくいかない場合は、Webホストに連絡して支援を受けてください(これはあなたが最も良いウェブホストを最も必要とするときです) そのような場合:

  • 管理パネルのパスワード(および可能であればユーザー名)を変更する
  • すべてのファイルをチェックして、ファイルが損傷していないかどうかを確認します。
  • ウイルス対策ソフトウェアをインストールしている場合は、それを実行します。

ヒント#4 - 安全な認証

Webセキュリティの専門家は、動作するシステムやWebトランザクションに最適な安全性を提供するために、公開キー暗号化、信頼チェーン、署名、SSL、TSL(Transport Layer Security)など、さまざまな方法を利用しています。 暗号化について確実に習得する必要がありますが、専門家が用意している単純な多要素認証ツールの使用方法を習得することから始めることが重要です。

なぜあなたは必要なのですか? マルチファクタ認証? あなたのユーザ名、パスワード、あなたの使い方を知るためには、一度そのトークンを廃棄してあなたのコンテンツにアクセスする必要があります。 そうしないと、アクセスは拒否されます。

可能であれば、Webセキュリティについて学んだり、オンラインチュートリアルやコースを利用したりする際に、あなたを教えるための専門家を見つけてください。

ヒント#5 - DDoS攻撃に注意してください

サービス拒否攻撃 サーバの乗っ取りや、なりすましのサービスによるサービスの置き換えとともに、急速に変化し、危険です。

DDoS攻撃により、サーバーは通常のサービスが機能しない状態になり、エンドユーザーはシステム全体を使用できなくなります。

DDoS攻撃を引き起こす原因は何ですか?

  • オープンなネットワーク構成
  • 不安定な、アップグレードされていないアプリケーション
  • セキュリティで保護されていないサーバー構成
  • ネットワーク活動の維持および/または監視なし

このような攻撃についてISPに通知し、情報を入手してください。 あなたのウェブサイトのホストができることは、代替DNSアドレスのリストを各サーバに設定することです。デフォルトのDNSが利用できなくなっても、ウェブサイト全体は引き続き機能します。 ハッカーは、リスト上のすべてのサーバーをブロックするようになると、彼の行動は成功するしかありません。厳しい仕事だと思いませんか? もう1つの対策として、異常なタイミングで、および/またはリスクの高いIPアドレスからのすべての着信パケットのフィルタリングを行うことができます。 あなたのホストはDoS攻撃について知識を持っている必要がありますので、DDoS防止について議論してください。

ヒント#6 - SFTPによる安全なFTPアクセス

何も変わらず、通常のFTPと同じように動作しますが、SFTP、またはSecure FTPには、セキュリティ上の利点がたくさんあります。

  • ファイル転送中にSSHを使用してデータとコマンドを暗号化する
  • クライアントのサーバーの公開鍵を使用して、接続時にサーバーを検証し、仲介者ではないことを確認します。
  • ハッカーがあなたのネットワークトラフィックを聞くことを不可能にします

「通常の」FTPコマンドの問題は、暗号化されていないことです。サーバーとの間のすべてのアップロードおよびダウンロードは、クリアデータとして送信されます。

コマンドラインからFTPにアクセスするには(あなたがUnix / Linux / Mac OSユーザーなら)あなたは使うことができます

sftp [メール保護]

SFTPをサポートする無料のFTPプログラムをダウンロードするだけです FileZillaを (オープンソース)。

ヒント#7 - SQLインジェクションについてあなたのサイトを保護する方法を学ぶ

この厄介なハッキング方法に注意し、スクリプトを最新の状態に保ち、セキュリティ違反が発生した場合は直ちにスクリプト開発者に連絡してください。 簡単なテストを実行する方法は次のとおりです。

  • Webフォームに次のSQLコードを入力します(ユーザー名とパスワード)。
    'OR' t '=' t '; -
    これは、SQLレベルでは次のようになります。
    SELECT * FROM users where userid = 'admin' AND password = '' OR 't' = 't'; - '
  • それはあなたのデータベースの内容を返しますか?

't' = 't'は数学的に正しい文であるため、コードは機能する可能性があります(非常に安全なスクリプトをインストールできれば幸いです)。そのため、SQL要求は常に実行されます。 知識のあるハッカーが自分の目標を達成するために非常に手の込んだSQL文を作成する可能性があるため、使用するスクリプトが簡単に攻撃できる場合は、必ずスクリプト開発者に連絡して支援を受けてください。 またはスクリプトを変更してください。

BONUSヒント#1 - 管理パネルのログを定期的にチェックする

cPanelログセクション

管理パネル(cPanel、Pleskなど)には、トラフィック分析、アクセス、セキュリティログのためのツールが組み込まれており、少なくとも週に1回は目を通す必要があります。

cPanelを使用している場合は、 アナログ統計 ツールは2日ごとに詳細なレポートを表示するので、

  • HTTPリクエスト
  • トラフィックアクティビティの月/日/時間別レポート
  • 参照元、ブラウザ、OSからのトラフィックは

ログツールは、ウェブサイトが攻撃されたと思われるときに最初に調べるべきツールです。

BONUSヒント#2 - バイ・ウィークリー・バックアップを実行する

バックアップは2週間ごと、または毎週、できる場合はバックアップしてください。 のようなプラグインで 仰々しい そして iThemesセキュリティ毎日または3日ごとにバックアップすることもできます。 何が重要なのは、コンテンツの新鮮なコピーを常にダウンロードし、途中で何か悪いことが起きた場合に復元する準備ができていることです。 この記事では、あなたのウェブサイトがどのような攻撃を受ける可能性があるか、どのように戦うか、防止するかを示しましたが、あなたの最強の武器は実際これです: バックアップ。 それはあなたのウェブサイトを元の状態に戻す唯一の方法です、まるでハッカーが彼の汚いトリックをプレーすることができなかったかのように。

サマリー

だから、本質的に何をする必要がありますか?

  1. 学ぶ。 知識は力である! 暗号化、DDoS、SQLインジェクション、クロスサイトスクリプティング(XSS)、その他の種類の攻撃について学びます。 あなたのウェブサイトがハッキングされたときに何が起こっているかの完全な光景を発展させるのを助けることができるすべてそして何でも。 知れば知るほど、反撃のためにできることは増えます。
  2. 最新の状態に保つ。 発見、ツール、スクリプトのアップグレードにより。 この記事では、攻撃者に対するより強固な保護を確実にするために、サイトソフトウェアのアップグレードと更新の重要性を強調しました。
  3. 定期的なチェックとバックアップを実行します。 あなたがバックアップする場合は、復元することができます!
  4. レポート。 事態が制御不能になったら、スクリプトの開発者、当局、ホストに問題を報告してください。 彼らはあなたができないことをすることができます。

ソフトウェア工学からのセキュリティトリック

ソフトウェアエンジニアリングは、優れた技術者やコンピュータサイエンティストがソフトウェアを開発する際に適用する必要がある魅力的な分野です。 しかし、それは他の方法でも動作することを知っていましたか? ユーザーは、ソフトウェアエンジニアリングの概念を使用して、開発者から提供されたサイトソフトウェアの中からインテリジェントな選択を行うことができます。 あなたはできる:

  1. バグがシステムの深刻なハッキングやデータの損失を招く可能性があることを理解する
  2. 信頼性の4の次元について学び、それをあなたの優位性に利用してください:可用性、信頼性、安全性、セキュリティ
  3. 機密性の高い重要なデータの損失、特定のサービスの障害、高い再構築コスト(時間、金額)など、考えられるすべてのセキュリティ上の問題を特定します。

スクリプトをインストールして使用する前に、あなた自身に尋ねるべきことは何ですか?

信頼性 このソフトウェアを信頼できますか?

  • 公開設定 スクリプトは簡単に利用できますか? ヘルプを受けるためにデベロッパーに連絡が可能ですか?
  • 信頼性 スクリプトはうまくいくのですか? 私の目標に関連する行動を実行するときにバグがありますか、問題がありますか?
  • 安全性 誤動作やバグはセキュリティとパフォーマンスに重大な影響を及ぼしますか?
  • セキュリティ ソフトウェアにはセキュリティモジュールが組み込まれていますか? それは私が管理できるものですか?
  • 償還可能性 何か問題が起こったら、それを管理できますか?
  • 保守性 私はこのソフトウェアを自分で保守できますか?
  • 生存 ソフトウェアはまだ攻撃を受けて動作しますか? 攻撃からうまく回復できますか?

脆弱性の一覧

  • 本ソフトウェア バグ。 透明なデータ伝送; エラー。 パブリックログ
  • 人間 強度の低いパスワード 保護されていないディレクトリ。 機密データの開示 システムメンテナンスとアップデート/アップグレードの欠如

ルアナスピネッティについて

Luana Spinettiは、イタリアに拠点を置くフリーランスの作家であり、情熱的なコンピュータサイエンスの学生です。 彼女は心理学と教育に高校の卒業証書を持ち、3を卒業したコミックブックアートの2008年の講座に参加しました。 彼女は多面的な人物であるため、ソーシャルメディアへの関心が特に高く、SEO / SEMとWebマーケティングに大きな関心を持ち、母国語(イタリア語)の3つの小説に取り組んでいます。インディーズはすぐに出版します。