ホームページ制作・運用に関わるセキュリティ対策
今日はホームページのセキュリティ対策についてお話してみようと思います。
少しばかり専門的なお話になりますが、Webサイトの運用には欠かせない大切なお話なので、お付き合いくださいませ。
「SSL化について」「WordPressのセキュリティ対策について」「保守について」、大きくこの3つの項目に分けてお話してみようと思います。
目次
1.SSL化について
SSLとは
ウェブサイトのSSL(Secure Sockets Layer)とは、ウェブサイトとユーザーの間の通信を暗号化し、情報を守る技術です。これにより、個人情報や大切なデータが安全に送受信され、第三者による盗聴や改ざんから守られます。
目に見える違いとしては、Webサイトのアドレスが変わります。
- 非SSL:http〜
- SSL化:https〜
ブラウザのアドレスバーの表示も変わります。
お問い合わせフォームやショッピング等で、個人情報を送ることも少なくありませんから、ユーザーの心理的にも安心ですね。
具体的には、
- SSLに対応したコードで書くこと
- 証明書の発行
といった作業を行うことでSSL化することができます。
特に証明書の発行にはそれなりのランニングコストがかかるため、ひと昔前まで、中小企業のサイトをSSL化させることは少なかったのが実情でした。
※SSL証明書にはいくつか種類があります。安全性を証明するレベルのようなものだと思ってください。
この種類・レベルの違いによって、証明書の費用(ランニングコスト)がまったく変わってきます。
いずれの場合も証明書を発行する機関と契約をして証明書を使用します。
しかし、近年では最低限レベルの証明書であれば、レンタルサーバーの無料オプションにて、簡単に発行できるようになったため、かなり一般的になりました。
WebサイトのSSL化は、Googleも推奨しているため、SEO的にも実施しておくことが望ましく、弊社でも、ホームページの制作・リニューアル時等には、原則SSL化対応しています。
いずれ、SSL化していないサイトは検索エンジンでヒットしない、ブラウザで表示されない、なんて未来もありうるかもしれませんね。
SSL証明書・証明書情報の見方
簡単にSSL証明書の見方にも触れておきます。
対象サイトをブラウザで開き、アドレスバー内「鍵マーク」をクリック。
続いて「この接続は保護されています」をクリックしてください。
次に「証明書は有効です」をクリック。
表示される証明書情報ビューアにて「証明書の発行機関」「証明書の有効期間」等が確認できます。
Google Chromeでの手順をご説明しましたが、他のブラウザでもほぼ同様の手順、アドレスバーの鍵マークからご覧いただけます。
2.WordPressのセキュリティ対策について
ホームページの制作に欠かせないWordPress。
世界シェアNo1のCMSであり、今やホームページの制作には欠かせないツールひとつです。
WordPressのセキュリティ強化も重要です。
アットノエルでは、WordPressをサイトに導入する場合、ご予算やご要望に応じて下記の施策を講じています。
いくつか例を挙げますね。
管理画面のURL変更
WordPressの管理画面のURLを初期設定されているものから予測し難いURLへ変更します。
WordPressのバージョン情報非表示
ハッキングの手がかりとなるWordPressのバージョン情報を表示させないよう制御します。
管理画面へのIP制限/PW制限
ネットワーク環境が固定IPの場合は、当該IPでのみ管理画面へアクセスできるよう制御。
また、複雑でより強固なパスワード制限をかけます。
管理画面への時間帯制限
管理者が管理画面を利用しない時間帯かつ海外からのアクセスが増える時間帯(例:AM1時〜AM6時)には管理画面をロックし、アクセスできないように設定します。
管理画面へのログイン試行回数制限
同一IPから5分以内に5回ログインに失敗した際(パスワードを知らない者がログインを試みている可能性があるため)、管理画面にロックがかかるよう設定します。
重要なファイルへのアクセス制限
プログラムの根幹を担う重要なファイルへアクセスできないよう制御します。
ファイル変更検知
把握外のファイル変更がサーバー内で行われた場合に検知し、管理者へ通知がくるよう設定します。
3.保守について
アプリやソフトウェアと同じように、プログラムもバージョンアップを重ねていきます。
WordPressやそれに関わるプラグイン等のプログラムも決して例外ではありません。
制作時には最新版でも数年たてば、セキュリティ的に強いとは言えなくなってきます。
そういった意味でも、定期的にバージョンアップしていくことが望ましいですね。
例えばデザインのように、目に見える成果物ではないためなかなかご予算をかけていただくのが難しい場合もあるかもしれません。しかしながらWebサイトの運用には切っても切れないお話であるものまた事実。
セキュリティに完璧はないのかもしれませんが、できうる限りのことはしておきたいところです。
Webサイトの運用をご検討いただく際には、こういったセキュリティ面に対する措置もぜひお考えいただければと思います。
2006年よりWebサイト制作・運用に携わる。2012年アットノエル創業。 個人事業主から上場企業まであらゆる業種のWeb活用を支援。 主にWebサイトの企画や運用サポート、お客さまの相談役を担っています。
お問い合わせ CONTACT
数あるWebサイト制作会社からアットノエルを見つけてくれた方へ。
Webサイト制作会社・パートナーを変える必要はもうありません。
「もっと早く出逢いたかった」そうおっしゃっていただけるのがわたしたちの誇り。
御社の強みを明確にし、企画から制作、改善、運用のお手伝いまで、総合的にサポートいたします。