WEBサイト運営のためのセキュリティ対応
最近は常時SSLが当たり前になってきましたが、WEBサイトの改ざん、サーバーへの攻撃対策など、個人情報を利用していないサイトでもセキュリティ対応を求められるようになってきました。
Webアプリケーションファイアウォール「WAF」の導入、FTPポートの開閉状況、プロダクトバージョン情報が表示されていないか、SSLが古いバージョンのプロトコルで接続可能になっていないか、サイトをメンテナンスするためのログインページ(お知らせやCMSなど)がオープンになっていないか、パスワードが平文で運用されていないかなどのチェックと対応をしました。
不正アクセスされる可能性を出来るだけ少なくするためにCMSの利用をやめるところも増えてると感じます。
プロダクトバージョン情報を非公開、SSLが古いバージョンのプロトコルで接続できないようにするケースは、サーバーの移転で対応しました。メジャーなサーバー会社はその辺りキチンと整っています。
FTPポートはほとんどのレンタルサーバーで開いているので.ftpaccessで特定の固定IPからだけのアクセス許可を設定、同様にサイトをメンテナンスするページ(ディレクトリ)も.htaccessで設定しました。固定IPを持ってると便利です。
以前は「どんなPC環境からでも同じデザインでサイトを見れるように」でしたが、今は「サポートの切れたOSで古いバージョンのブラウザを利用しているユーザーは対象外」となりつつあります。ほんの1年前に「XPのIE7でプリントアウトすると表示がずれるので対応していただけますか?」といった電話が夢のようです。
WEBサイト運営のためのセキュリティ対応
最近は常時SSLが当たり前になってきましたが、WEBサイトの改ざん、サーバーへの攻撃対策など、個人情報を利用していないサイトでもセキュリティ対応を求められるようになってきました。
Webアプリケーションファイアウォール「WAF」の導入、FTPポートの開閉状況、プロダクトバージョン情報が表示されていないか、SSLが古いバージョンのプロトコルで接続可能になっていないか、サイトをメンテナンスするためのログインページ(お知らせやCMSなど)がオープンになっていないか、パスワードが平文で運用されていないかなどのチェックと対応をしました。
不正アクセスされる可能性を出来るだけ少なくするためにCMSの利用をやめるところも増えてると感じます。
プロダクトバージョン情報を非公開、SSLが古いバージョンのプロトコルで接続できないようにするケースは、サーバーの移転で対応しました。メジャーなサーバー会社はその辺りキチンと整っています。
FTPポートはほとんどのレンタルサーバーで開いているので.ftpaccessで特定の固定IPからだけのアクセス許可を設定、同様にサイトをメンテナンスするページ(ディレクトリ)も.htaccessで設定しました。固定IPを持ってると便利です。
以前は「どんなPC環境からでも同じデザインでサイトを見れるように」でしたが、今は「サポートの切れたOSで古いバージョンのブラウザを利用しているユーザーは対象外」となりつつあります。ほんの1年前に「XPのIE7でプリントアウトすると表示がずれるので対応していただけますか?」といった電話が夢のようです。