サイトのセキュリティ対策

これからは少しサイト運営や作成などの技術的なことにも触れてみようかと思います。
私もまだまだ勉強中ですが、歯科医の先生や歯科医院でWEB担当になられた方にとって少しでも参考になれば嬉しいです。

サイトのセキュリティ対策

サイトの運営担当の皆様、日々の更新、メンテナンスお疲れ様です。
今年も検索エンジンとスパム対策に振り回された一年でしたね。
主にセキュリティ対策としてどんな事を行ったのかまとめてみようと思います。

その1:常時SSL化

常時SSL化に対応しましたの記事にもありますが、遅ればせながら夏にサイトの常時SSL化対応を行いました。
SSLとはインターネット上でのデータのやりとりを暗号化する仕組みで、サーバ・PC間の通信を安全に行なうことができるものです。
今はもう多くのサイトが常時SSL化されていて、逆にSSL化未対応だとブラウザで注意文が出たりします。

SSL化がされている場合の判断材料としては、下記のようなものがあります。

・アドレスバー(ブラウザの上部、アドレスが表示されているところ)に鍵マーク()がついている
・「アドレスの頭が「http://」ではなく「https://」になっている
・セキュリティの警告や「保護されていません」などのエラーが表示されない

常時SSL化の手順

手順としては、まずサーバーがSSLに対応しているか確認しました。
そしてSSL証明書を発行し、ドメインに対してSSL証明書を設定しました。

大手のレンタルサーバでは証明書の取得も設定も簡単にできるようになっていると思います。
ちなみにSSL証明書はいくつか種類があり、値段も色々です。

証明書が正しく適用されると、アドレスを「https://ドメイン」にしてもアクセスできるようになります。

既存サイトをSSL化する流れで説明しますと、次に行うのはFTPの設定変更です。
WORDPRESSなどを使用している場合はそちらも設定変更の必要があります。一般設定でアドレスの変更をして、パーマリンク設定でも「変更を保存」します。

ここからはサイトの作りによってはちょっと手間かもしれませんが、絶対パスでサイト内のリンクを記述している場合、「http://~」を「「https://~」に書き換えます。
画像リンクも変えなければなりません。
もし「https://~」のページに「http://~」で参照している画像などがあると、混在コンテンツですといったようなアラートが出てしまいます。

サイトの設定が終わったら、サーチコンソールやgoogleアナリティクス、リスティングのリンク先なども変更します。
しかし被リンクなどは変更できないものも多いので、リダイレクト設定をします。
.htaccessに下記のように記述すると「http://~」でアクセスしても「https://~」にリダイレクトされます。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

その2:フォームのスパム対策

秋ごろからロシアなどからのスパムメールが増えました。
メールフォームからなんらかのシステムで自動的に送られてきているのはアドレスや文面から分かっていましたので、対策として、「reCAPCHA」というgoogle提供のスパム対策を取り入れることにしました。
こちらはgoogleアカウントがあれば使用することができます。無料です。

reCAPCHA(英語サイトです) https://www.google.com/recaptcha/intro/v3.html

大本のCAPTCHAシステムは、コンピュータ・プログラム、すなわちボットによるシステムへの自動アクセスを防止する為に考案された認証システムである。
(Wikipediaより)

以前は画像認証するもの(9枚のパネルから指示通りの写真を選ぶもの。難しすぎた!)でしたが、現在のv3というバージョンは怪しい動きをしなければチェックや認証なしで送信できますので、ユーザにとってもストレスが少ないと思います。

reCAPCHAのサイトで使用するドメインを入力すると、keyがふたつ発行されますので、そちらをサイトに埋め込みます。
Contactform7でしたら「インテグレーション」から簡単に設定できます。Jsで埋め込むのも難しくないです。

サイトへの設定ができたら送信ができるかをチェックします。

しかし、これでもスパムはゼロにならないかもしれません。
そういった場合はメールサーバでドメイン拒否設定をしたり、WORDPRESSを使用しているサイトであればAkismetやHoneypotなどのプラグインで対応するなどの方法があります。


他にも細かな対応はありますが、大きな対策としてはこの2つを行いました。
これからもセキュリティ対策には力を入れて行こうと思います!