お客様側でのセキュリティ対策【共用:START/FLEX/SECURE】

セキュリティ被害にあわないために

パスワード文字列の工夫のと定期的な更新(メール、FTP…)、不要アカウントの削除

パスワードには以下のようなパターンは避け、英数字や半角記号を含むもの、文字数も最低8文字以上で設定するよう工夫ください。

避けたい文字列パターン:

  • アカウント名やドメイン名と重複する文字列
  • 辞書に登録されている単語や人名
  • 連続した文字列(例:abc、12345)
  • 同じ文字の繰り返し(例:0000、katokato)

また定期的なパスワードの更新も必要です。パスワード更新方法については以下をご参照ください。
また不要なアカウントの削除なども行うようにしてください。
FTPのユーザーID・パスワードがわかりません。(FTPパスワードの再設定方法)
メールアドレスのパスワードを変更する方法を教えてください。
パスワード、ユーザ情報の管理について(その他のパスワードも含む)

FLEX、SECUREサーバのお客様でSSHアクセスアカウントを有効にされていて、ご利用されていない方は、無効に設定しなおすようお願いいたします。(セキュリティ上の理由のため、現在SSHを停止しております)
 1.コントロールパネルにログイン>対象ホスティング契約を上部で選択
 2. ホームタブ>ドメイン名をクリック
 3.「設定」をクリック
 4.アカウントプリファレンス欄、「システムアクセス」にて「拒否」を選択
 5.「OK」をクリック

インストールしたツールのセキュリティ情報を確認(WordPress、ModX…)

WordPress、ModX、Joomla、等、外部プログラムの、セキュリティ脆弱性が突かれて不正に利用されるケースも近年多く確認されています。
各プログラム配布元の情報を参照しセキュリティ対策を取ってご利用いただくこと、インストール後に脆弱性が発覚することもございますので随時情報を確認するようにしてください。不要になった場合はアンインストールをし、使用しないプラグイン等は無効にしてください。

なお、STARTプラン、FLEXプラン、SECUREプランではPHPのバージョンが既定の5.1.6でインストールがされているため、WordPress、Joomlaなどの最新版がインストールできません。以下をご参照いただき、プラン変更等のご希望がございましたらサポートセンターまでご相談ください。
PHPのバージョンを変更することは可能ですか?

上述のようなウェブコンテンツを構成するテキストや画像などを統合的に管理するプログラムは「CMS(コンテンツマネージメントシステム)」とも呼ばれ、近年ご利用される方も大変多いプログラムです。セキュリティの脆弱性が発覚し、悪意のあるアクセスを試みられた際は、FTPパスワードの漏洩、サイトの書き換え、メールの不正送信などが行われる可能性があります。

可能な限りのアクセス制限

ウェブサイト上に一般公開すべきでないデータが公開されている場合は、保護ディレクトリ機能や.htaccess によるネットワーク制限などで、アクセスを制御することができます。また、FTPについても、ネットワークレベルでアクセス制限が可能です。
保護ディレクトリの設定
FTPのアクセス制限

ログや外部の不正プログラムチェックなど

ウェブサーバのアクセスログ、FTPのログなどはログマネージャでご確認いただけます。
 1.コントロールパネルにログイン>対象ホスティング契約を上部で選択
 2. ホームタブを開き、FLEX、SECUREプランは下部のドメイン名をクリック
 3.「ログマネージャ」をクリック
access_log、error_logがウェブへのアクセスログとエラーログ、xferlog はFTPのログになります。

また公開されている無料のオンラインスキャニングツールなどもあります。
aguse.jp ウェブ調査
gred

またリアルタイムの審査ではありませんが
「http://www.google.com/safebrowsing/diagnostic?hl=ja&site=●●●(調査したいサイト名)」
にアクセスすることで情報を確認することもできます。

その他に、Googleウェブマスターツール等のサービスに登録しておくと、Google側で不正なサイトと認知された時点でメール連絡が来ることもあります。
またFLEX、SECUREプランでシマンテックのセキュアサーバIDをご利用の場合、SSLを導入されたウェブサイトにマルウェアが検知されると当社宛に連絡が来ますので、お客様にご連絡差し上げております。

お手持ちのコンピュータの保護

パスワードの漏洩の原因がお手持ちのコンピュータ上の不正プログラムであるということもありますので、お手元のコンピュータに不正プログラムがインストールされているかどうかなど、セキュリティソフトやオンラインスキャニングサービス等で、随時確認を行ってください。

セキュリティ被害が確認されたら

ウェブサイトの改竄

まずFTPパスワードを再設定をしてください。
FTPのユーザーID・パスワードがわかりません。(FTPパスワードの再設定方法)

その後、お手元にある本来のコンテンツでサイトをつくり直していただきますようお願いいたします。

ウェブサイトに導入したプログラム(WordPressやModXのようなCMS)の脆弱性が見つかった場合、該当のプログラムのセキュリティアップデートが可能かどうか確認ください。
同時に、上述の「セキュリティ被害にあわないために」の各項目の見直しを行ってください。また、WordPress等のCMSの管理パスワードが漏洩している場合はそちらのパスワードの再設定が必要な場合もあります。

Googleウェブマスターツールにご登録の場合、一度マルウェア感染が確認されたサイトに対して、新規にファイルをアップロード(サイトのクリーンアップ)後、Googleにサイトの再審査を依頼することも可能です。
Googleウェブマスターツール>サイトのクリーンアップ

メールのパスワード漏洩による不正送信

共用サーバのメールログや配信状況に関しましてはお客様から直接の確認ができないため、当社側で検知した場合、ご連絡をする形となります。
パスワード漏洩が判明したメールアカウントについてはパスワードを変更いただく 必要があります。
メールアドレスのパスワードを変更する方法を教えてください。

お客様側で、必要な対策(パスワードの変更や不要アカウントの削除、メール送信プログラムなどあれば不正プログラムの除去)を取っていただいた後は当社にご報告いただくようお願いいたします。

メールパスワードが漏えいし、送信者を偽った状態でログインし、不特定多数のメールアドレス宛てに送信を試みる、という不正利用は多く確認されております。スパム送信元となってしまったIPアドレスは、世界に複数存在するスパム対策業者のブラックリストに登録され、特定のプロバイダから受信を拒否されるようになることももございます。
共用サーバにて、スパム対策業者宛にブラックリスト解除申請を行う必要がある場合は、当社よりご連絡をさせていただいております。