新しいウェブサイトをオープンした興奮で、ついミスを犯しがちです。小さなショップやポートフォリオ、ブログを立ち上げるのは楽しいものです。しかし、セキュリティ侵害やハッキングに対処するのは、それほど楽しいことではありません。新しいウェブサイトを立ち上げるときは、安全性を確認することが重要です。

幸いなことに、やるべきことのほとんどはとてもシンプルです。少し時間がかかるものもありますが、価値ある投資だと思います。あなたのウェブサイトを無防備にしないでください。そのためにできる10のことをご紹介します。

1 安全なドメインレジストラを選択する

ドメイン名を登録する際には、誰にもコントロールされないようにしたいものです。悪徳業者がお客様のドメインレジストラにログインできた場合、ドメインレジストラを自分たちに移管したり、さらに被害を拡大させる可能性があります。

二要素認証（2FA）を使用するドメインレジストラの場合、いくつかのオプションがあります。これにより、より高い安全性が確保され、他人がアクセスすることが難しくなります。たとえパスワードを知られたとしても、あなたの**にアクセスできない可能性があります。

2FAを提供しているレジストラは以下のとおりです。

• ダイナミックポイント
• ゴッダールディ
• リックスシナジー
• お名前ドットコム
• 安価な名称

2 誰から情報を隠すか

すべてのウェブサイトにはWHOISの項目があり、情報を確実に保護するための措置を講じなければ、あなたの名前や電子メールアドレスはスパム業者に簡単に見つかってしまうのです。名前もメールアドレスも、なりすましに必要なものなので、秘密にしておくと、この点でも安心です。

ほとんどのウェブホストは、わずかな料金で匿名のWHOIS登録を提供していますが、無料で提供しているところもあります。dreamhostと1and1は、匿名のWHOIS情報を含むサイトを無料で開設することができます。

お金を払うかどうかにかかわらず、WHOISの記録からあなたの名前と電子メール（または電子メールアドレスだけ）を消去するためにできることをやってください。迷惑メールに対処する時間を大幅に短縮し、他人があなたの情報を入手するのを難しくします。

iii. パスワードの変更

言うまでもないことですが、パスワードはすぐに変更してください。ドメイン、ホスト、CMSなど、標準的な管理者パスワードが設定されている場合は、変更する。ユーザー名もデフォルトの「admin」から他のものに変更したほうがいいでしょう。

パスワードは定期的に変更するのがよいでしょう。パスワードマネージャーを使用して、パスワードを記録し、安全性を確認します。

4ウェブサイトソフトウェアの更新

登録を確保したら、次はサイトそのものを保護する番です。このための最初のステップは、他のものを守るための最初のステップと同じように、すべてを最新の状態に保つことです。

企業は、自社のセキュリティ上の脆弱性を発見すると、パッチやアップデートを公開します。ソフトウェアをアップデートしなければ、脆弱なままです。ほとんどのホストでは、これを簡単に行うことができ、新しいバージョンが利用可能になると、頻繁に更新するようあなたに通知します。それでも、定期的にバージョン情報を確認するのがよいでしょう。

5 セキュリティプラグインの使用

CMS（コンテンツ・マネジメント・システム）を使用している場合、そのシステムに対応したセキュリティ・プラグインがあります。WordPress、Drupal、Joomla、Magentoなどの大企業が多く持っています。あとは、自分の状況に合ったものを選び、ダウンロード、インストール、アクティベーションを行うだけです。

各CMSやセキュリティ拡張機能によって、正確に何を使うべきかのアドバイスが異なります。また、セキュリティプラグインについては、第三者によるレビューを参考にするのもよいでしょう。しかし、プラグインは、信頼できるプロバイダからである場合, それはあなたのサイトのセキュリティを維持するのに役立ちます.より多くの脆弱性を排除し、拡張機能を最新の状態に保つために、より高いセキュリティ設定を使用してください。

6 httpsを有効にする

考えるべきは、自分自身のセキュリティだけではありません。あなたのサイトのトラフィックを暗号化することは、訪問者とGoogleの両方から高く評価されます。特に、訪問者が機密情報を共有する場合は、注意が必要です。

ホスティングサービスによっては、自動的に HTTPS を有効にするものもありますし、1～2 回クリックするだけで有効にすることができるものもあります。セルフホスティングやサーバースペースを借りているだけの場合は、難しい方法を取らなければならないかもしれません。これは、SSL証明書を購入し、それを有効化し、サイトがHTTPSを使用するように設定することです。

特に複雑ではありませんが、ご利用のホスティングサービスによって手順が異なる場合がありますので、最適な方法を見つけるために、ホスティングサービスにお問い合わせください。

7 権限を確認する

あなたのサイトのユーザーによって、権限レベルは異なります。cmseでは通常、訪問者、ログインした訪問者、編集者、投稿者、その他多くのユーザーグループの権限を変更することができます。

各グループがどの程度のアクセス権を持つべきかを考える。編集者が新しいユーザーを作成する必要がありますか？読者がページを編集できるようにする必要がありますか？各人にできるだけアクセスさせないようにして、仕事をさせる。

本当に技術的なことを知りたいのであれば、FTPクライアントを使用してサイト上のすべてのファイルを調べ、そのパーミッションをシンボルまたは数値で確認することができます。その後、コマンドターミナルでパーミッションを変更することができます。(何のことかわからない人は、気をつけましょう)

8 管理画面を隠す

ログインや管理に使用するページは、検索エンジンに表示されないようにする必要があります。これはセキュリティ対策とは言えないかもしれませんが、悪意のあるユーザーがこれらのページを見つけることが非常に難しくなります。これは通常、簡単にできることなので、数分かける価値はあります。

cmseやセキュリティプラグインの中には、これらのページを検索エンジンから隠すことができるものもあります。もし、お使いのアプリケーションがこの機能を提供していない場合は、CMSの設定またはcPanelの管理セクションからアクセスできるはずのrobot.txtファイルを編集することによって、この機能を利用することができます。を追加してください。

WordPressでは、「/wp admin/」をURLとして使用します。他のCMSEでは、異なるURLを使用します。また、ユーザーが見る必要のない他のページを無効化することもできます。これはセキュリティだけでなく、SEOにも効果がありますよ。

9 クロスサイトスクリプティングの防止

XSSは、回りくどい方法でWebサイト上のコードを実行するハッキングの手口です。例えば、コンタクトのような形で発生することもあります。コンタクトフォームにスクリプトを含めることで、ハッカーはあなたのウェブサイトにそのコードを実行させ、アクセス権を与えたり、深刻な損害を与えたりすることができるのです。

このような攻撃に対する防御は、実は非常に複雑です。もし、あなたが何ができるかを知りたいなら、OWASPが提供する素晴らしいXSS対策メモシートをチェックしてください。あまり技術的に詳しくない場合は、XSS対策用のプラグインがたくさんあります。標準的なセキュリティプラグインの中には、この脆弱性をカバーするものもありますが、そのように決めつけないようにしてください。保護されていることを確認する。

10 情報漏えいの防止

XSS、SQLインジェクション、パスワードクラッキングなどのハッキング手法は、最も危険なもののように思われるかもしれませんが、問題を引き起こすのは最も単純なものであることが多いのです。情報漏えいもその一つです。

いらない（知っている）情報をうっかり渡してしまうのが情報漏えいです。例えば、開発者がウェブサイトのコードに誤って機密情報を含むHTMLコメントを残してしまうことはよくあることです。

標準的なCMSの実装であれば、あまり問題はないでしょう。しかし、誰かにカスタムテーマをデザインしてもらった場合や、サイトでの開発作業が多い場合は、情報漏えいがないかを確認する必要があります。ブラウザの「ソースコードを見る」オプションを使って、削除されていないHTMLのコメントをすばやくスキャンするのも良い方法の一つです。

数百ページで構成される大規模なWebサイトでは、専任のセキュリティ専門家（または少なくとも訓練生）がプロセスを完了させる必要があるかもしれません。いずれにせよ、簡単に確認できることなので、省略しないようにしましょう。

今すぐあなたのウェブサイトを保護する

新しいウェブサイトを立ち上げるとき、やらなければならないことがたくさんあります。こうした基本的なセキュリティ対策は、つい忘れてしまいがちです。しかし、長い目で見れば、多くの手間（そしておそらく多くのお金）を省くことができるのです。だから、飛ばさないように!コンテンツの制作に取りかかる前に、サイトの安全性を確認してください。

新しいウェブサイトのセキュリティについて、他にどんな提案がありますか？ あなたの考えを以下のコメントで共有してください。