メインコンテンツにスキップ

セキュリティに関する推奨事項

ウェブサイトに不可欠なセキュリティに関する推奨事項

お使いのサイトで悪意のあるアクティビティのリスクを低減できるよう、重要なセキュリティガイドラインをまとめました。 これらの実践に従うことで、データの安全性を高め、サイトの円滑な運用を確保できます。

ブルートフォース攻撃を防ぐために複雑なパスワードを使用する

パスワードは8文字以上にし、大文字と小文字、数字、特殊文字を組み合わせるようにしてください。 重要なポイント:

  • アカウントごとに異なるパスワードを使用する(FASTPANELユーザー、FTP/SFTPアカウント、メールボックス、サイト管理パネル)。
  • 漏えいリスクを減らすために、パスワードを定期的に変更する。

サイトは別々のFASTPANELユーザーアカウントでホストする

複数のサイトを同じユーザーアカウントの下でホストすることは避けてください。 1つのサイトが侵害されると、そのアカウントを共有するすべてのサイトに影響が及ぶ可能性があります。 別々のアカウントでホスティングすることで、悪意のあるスクリプトがサイト間に広がるのを防げます。 これは、複数のクライアントのウェブサイトを管理する代理店やユーザーにとって特に重要です。

バックアップを設定する

定期的なバックアップにより、障害やハッキングが発生した場合でも、サイトを迅速に復元できます。 バックアップが不可欠である理由は次のとおりです:

  • 更新の失敗やセキュリティ侵害の後にサイトを復元できます。
  • 緊急時のデータ損失を防ぎます。

自動バックアップの設定方法については、このガイドを参照してください。

バックアップ用の容量がさらに必要ですか?
バックアップストレージをレンタル

スパムやブルートフォース攻撃を防ぐためにcaptchaを導入する

ボットによるスパムやハッキングの試行を減らすには:

  • すべてのウェブフォーム(ログイン、登録、コメント欄)にcaptchaを導入します。
  • CMSに組み込みのcaptchaプラグインがあるか確認してください。 WordPressやJoomlaなどの一般的なCMSプラットフォームでは、Google reCAPTCHA のような使いやすいプラグインが提供されています。

Captcha はスパム投稿やパスワードのブルートフォース攻撃を大幅に減らし、サイトの完全性を保護できます。

OS、CMS、プラグインを最新の状態に保つ

ソフトウェアの脆弱性は開発者によって定期的に発見され、それを保護するためのパッチが公開されます。 実施すべきことは次のとおりです:

  • CMS、サーバーOS、インストール済みプラグインの更新を定期的に確認してください。
  • 可能な場合は自動更新を設定し、重要なセキュリティパッチが常にインストールされるようにしてください。

ウェブサイトがハッキングされた場合の対処方法

不幸にもハッキングされた場合は、被害を最小限に抑え、サイトを復旧するために次の手順に従ってください:

アクセスを制限する:
悪意のあるスクリプトの拡散を防ぐため、HTTP認証を使用して侵害されたサイトへのアクセスを直ちに閉じてください。 これはFASTPANELのサイト設定から管理できます。

cronジョブを確認する:
攻撃中に悪意のあるcronジョブが追加されることがよくあります。 侵害されたユーザーの cron ジョブを確認するには、SSH 経由で次のコマンドを実行してください(USER は実際のユーザー名に置き換えてください):

crontab -l -u USER

サーバーを再起動する:
悪意のあるプロセスを停止するには、FASTPANEL の「Settings」->「Main」からサーバーを再起動してください。

侵害を調査してクリーンアップする

  • サーバーログとファイル更新日時を使って、侵害の発生源を追跡してください。
  • 悪意のあるコードを手動で削除するか、ハッキング前に作成したクリーンなバックアップから復元してください。
  • FASTPANELのスキャン機能を使用できますが、すべてのマルウェアが検出されるとは限らないことに注意してください。

ソフトウェアを更新する:
脆弱性を特定した後、CMS、プラグイン、サーバーコンポーネントを最新バージョンに更新してください。

クリーンアップ後にバックアップする:
サイトがクリーンになったら、新しいバックアップを作成してください。

サイトの動作を監視する:
サイトへの一般公開アクセスを許可し、それ以上の悪意のあるアクティビティが発生しないことを確認するため、動作を注意深く監視してください。

継続的なメンテナンス

ハッキングから復旧した後でも、積極的なセキュリティ対策を継続することが重要です:

  • サーバーログを定期的に確認し、異常なアクティビティがないか確認してください。
  • 定期的に脆弱性スキャンを実行してください。
  • サイトのすべてのコンポーネントが常に最新であることを確認してください。
  • 重要なアカウントには多要素認証(MFA)を導入してください。