お客様側でのセキュリティ対策【Plesk非搭載 クラウド/専用/VPS】

セキュリティ被害にあわないために

パスワード文字列の工夫のと定期的な更新(メール、FTP…)、不要アカウントの削除

パスワードには以下のようなパターンは避け、英数字や半角記号を含むもの、文字数も最低8文字以上で設定するよう工夫ください。
避けたい文字列パターン: •アカウント名やドメイン名と重複する文字列

  • 辞書に登録されている単語や人名
  • 連続した文字列(例:abc、12345)
  • 同じ文字の繰り返し(例:0000、katokato)

また定期的なパスワードの更新も必要です。パスワード更新方法については以下をご参照ください。
また不要なアカウントの削除なども行うようにしてください。

インストールしたツールのセキュリティ情報を確認(WordPress、ModX…)

WordPress、ModX、Joomla、等、外部プログラムの、セキュリティ脆弱性が突かれて不正に利用されるケースも近年多く確認されています。
各プログラム配布元の情報を参照しセキュリティ対策を取ってご利用いただくこと、インストール後に脆弱性が発覚することもございますので随時情報を確認するようにしてください。不要になった場合はアンインストールをし、使用しないプラグイン等は無効にしてください。
上述のようなウェブコンテンツを構成するテキストや画像などを統合的に管理するプログラムは「CMS(コンテンツマネージメントシステム)」とも呼ばれ、近年ご利用される方も大変多いプログラムです。セキュリティの脆弱性が発覚し、悪意のあるアクセスを試みられた際は、FTPパスワードの漏洩、サイトの書き換え、メールの不正送信などが行われる可能性があります。
またCMS以外のサーバ内のプログラムについてもお客様にて管理rいただく形となります。後述のアクセス制限についてと併せて、プログラムのセキュリティ情報についてもご確認いただきますようお願いいたします。

可能な限りのアクセス制限

iptables等で制限を掛けていただくようお願いいたします。 Plesk非搭載プランの場合、コマンドラインでの管理をいただく形となります。
以下参考情報です。
コントロールパネルでiptablesのON、OFFを管理できますか?【Plesk非搭載】
>参照:SSHDの注意喚起やサーバへのアクセス制限について

ログや外部の不正プログラムチェックなど

定期的なログのチェック、メールサービスをご利用の場合はメールキューの有無などをご確認ください。
またウェブサイトへウイルスを設置されたかチェックする無料のオンラインスキャニングツールなどもあります。
aguse.jp ウェブ調査
gred

またリアルタイムの審査ではありませんが
「http://www.google.com/safebrowsing/diagnostic?hl=ja&site=●●●(調査したいサイト名)」
にアクセスすることで情報を確認することもできます。

その他に、Google ウェブマスターツール等のサービスに登録しておくと、Google側で不正なサイトと認知された時点でメール連絡が来ることもあります。
またシマンテック(旧 日本ベリサイン)のセキュアサーバIDのSSL証明書をご利用の場合、シマンテックのSSL導入されたウェブサイトにマルウェアが検知されると当社宛に連絡が来ますので、お客様にご連絡差し上げております。

お手持ちのコンピュータの保護

パスワードの漏洩の原因がお手持ちのコンピュータ上の不正プログラムであるということもありますので、お手元のコンピュータに不正プログラムがインストールされているかどうかなど、セキュリティソフトやオンラインスキャニングサービス等で、随時確認を行ってください。

セキュリティ被害が確認されたら

ウェブサイトの改竄

まずFTPパスワード等、ウェブサイトを更新している際に利用されているパスワードの再設定をしてください。
ウェブサイトに導入したプログラム(WordPressやModXのようなCMS)の脆弱性が見つかった場合、該当のプログラムのセキュリティアップデートが可能かどうか確認ください。
同時に、上述の「セキュリティ被害にあわないために」の各項目の見直しを行ってください。特に必要なアクセス制限は可能な限り行ってください。

Googleウェブマスターツールにご登録の場合、一度マルウェア感染が確認されたサイトに対して、新規にファイルをアップロード(サイトのクリーンアップ)後、Googleにサイトの再審査を依頼することも可能です。
Googleウェブマスターツール>サイトのクリーンアップ