• ホームページ
  • 記事
  • テーマ
  • ホリデーシーズンにオンラインストアを保護する方法:10ポイントのWebサイトセキュリティ監査

ホリデーシーズンにオンラインストアを保護する方法:10ポイントのWebサイトセキュリティ監査

公開: 2020-12-09

オンラインストアを運営している場合、ホリデーシーズン中にトラフィックが急増する可能性があります。 新規顧客が支払い情報と個人の住所をWebサイトに入力する場合、休暇に備えてオンラインストアを保護することがこれまで以上に重要になります。

11月と12月は、1年で最も忙しいショッピング月であり、ハッキングやセキュリティ侵害に関連するダウンタイムは、他のどの時期よりも高くつきます。 あなたのウェブサイトの稼働時間はかつてないほど貴重であり、それがあなたのオンラインストアのセキュリティ監査を実行するのに最適な時期である理由です。

あなたのウェブサイトのセキュリティのための重要な質問

Webサイトのセキュリティ監査が終了すると、次の10の質問に答えられるようになります。

  • 1.私の店は正しいプラットフォームにありますか?
  • 2.私のストアは適切なWebホスト上にありますか?
  • 3.私のショップはPCI-DSSに準拠していますか?
  • 4.顧客に関するデータを収集しすぎていませんか?
  • 5.顧客と店舗間の通信を暗号化していますか?
  • 6.顧客アカウントは安全ですか?
  • 7.オンラインストアを実行しているソフトウェアは最新ですか?
  • 8.サイトのフロントエンドに定期的にアクセスしていますか?
  • 9. CDNとWAFを使用していますか?
  • 10.公共の場で作業するとき、接続を保護しますか?

10ポイントのWebサイトセキュリティ監査

これらの質問の一部またはすべてに答える方法がわからなくても、心配しないでください。 この投稿の終わりまでに、これらすべての質問に答える方法がわかります。

この投稿の残りの部分を見ていくときに、監査の結果と実行するアクションについてメモを取りたいと思うかもしれません。 この監査は、Webデザインクライアントに提供する優れたサービスでもあります(1年中いつでも)。

ホリデーシーズンに備えて、ウェブサイトのセキュリティ監査を始めましょう。

PDFをダウンロード: 10ポイントのeコマースWebサイトセキュリティ監査
ダウンロード中

1.私の店は正しいプラットフォームにありますか?

Shopify、Magento、WordPressは、人々がストアを作成するために使用する最も人気のあるプラットフォームの3つです。 これらのプラットフォームはどれも、安全でなければ人気のあるeコマースソリューションにはなりません。 3つのプラットフォームにはすべて長所と短所があるため、少し調べて、ニーズに最適なプラットフォームを見つける必要があります。

現在のプラットフォームの簡単な監査には、次の質問が含まれる場合があります。

  • 1.プラットフォームは、セキュリティの脆弱性に対処するために更新を頻繁にプッシュしますか?
  • 2.プラットフォームは、セキュリティ基準が満たされていることを確認することに専念するチームを採用/利用していますか?
  • 3.プラットフォームには、オープンのままにされた大規模なデータ侵害または脆弱性の履歴がありますか?
  • 4.安全であるというプラットフォームの評判はどうですか?

覚えておくべきことの1つは、ストアを別のプラットフォームまたはホストに移動するのがいかに簡単かということです。 Shopifyから離れる必要がある場合は、ShopifyをWooCommerceに移行できます。 ただし、WordPressストアを新しいWebホストに移動するほど簡単ではありません。 WordPressでは、使用できるツールをさらにカスタマイズして柔軟性を高めることもできます。

2.私のストアは適切なWebホスト上にありますか?

あなたのウェブサイトをあなたの友人のブログと同じ共有ホスティングに置くことは悪い考えです。 どうして? eコマースWebサイトは、適切に保護するために高度な専門知識を必要とする多くの複雑さを追加します。 サイバーセキュリティの専門家になることを夢見ていたため、ストアを作成しなかったので、その責任をホストに任せる必要があります。

LiquidWebのマネージドWooCommerceホスティングやマネージドWordPressホスティングのようなeコマースに焦点を当てたホスティングソリューションに投資するのが道です。 完全な開示、Liquid Webは私たちの親会社ですが、それはあなたにとって真剣に素晴らしいホスティングです。 価格ショップに行き、その価格でその価値と競合する別のホスティング会社を見つけてください。 マネージドeコマースホストを使用すると、サイトの管理にかかる時間と手間を大幅に節約できます。代わりに、ビジネスの成長に使用できる時間を節約できます。

3.私のショップはPCI-DSSに準拠していますか?

クレジットカードによる支払いを受け入れる場合は、Payment Card Industry Data Security Standards(PCI-DSS)を満たす必要があります。 公式のPCISecurity Standards Councilによると、「ペイメントカードを受け入れるか処理する場合、PCI Data SecurityStandardsが適用されます。」 これらの標準には300を超えるさまざまなセキュリティ要件が含まれていますが、PCI-DSSのベストプラクティスの概要は次のとおりです。

PCIデータセキュリティ標準

目標PCIDSS要件
安全なネットワークの構築と維持
  • 1.カード会員データを保護するために、ファイアウォール構成をインストールして維持します
  • 2.システムパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しないでください。
カード会員データを保護する
  • 3.保存されたカード会員データを保護します
  • 4.オープンなパブリックネットワークを介したカード会員データの送信を暗号化します
脆弱性管理プログラムを維持する
  • 5.ウイルス対策ソフトウェアまたはプログラムを使用し、定期的に更新します
  • 6.安全なシステムとアプリケーションを開発および保守します。
強力なアクセス制御手段を実装する
  • 7.ビジネスの知る必要性によってカード会員データへのアクセスを制限する
  • 8.コンピューターにアクセスできる各ユーザーに一意のIDを割り当てます
  • 9.カード会員データへの物理的アクセスを制限する
ネットワークを定期的に監視およびテストする
  • 10.ネットワークリソースとカード会員データへのすべてのアクセスを追跡および監視します
  • 11.セキュリティシステムとプロセスを定期的にテストします
情報セキュリティポリシーを維持する
  • 12.従業員と請負業者の情報セキュリティに対処するポリシーを維持します

人々のデビットカード番号を取得することを選択した場合、これらの要件を満たすことは、悪意のある攻撃者が銀行口座を使い果たすのを防ぐのに大いに役立ちます。 PCI-DSS要件を確実に満たすために、専門家のアドバイスを得るよう強くお勧めします。

4.顧客に関するデータを収集しすぎていませんか?

顧客に関して収集する情報が多ければ多いほど、侵害の際に危険にさらされる可能性のある情報が多くなります。 最近では、一部の企業が顧客データを公開するデータ侵害の被害者であると聞いていない限り、1週間はほとんど行けません。 たとえば、Doordashの違反では、顧客の電話番号、電子メールアドレス、自宅のアドレス、およびハッシュ化されたパスワードが侵害されました。 その情報の組み合わせは、不正なローンを組むために必要なすべてである可能性があります。

必要以上に顧客に関する情報を収集してはなりません。 自動的に更新されないデジタル製品を販売している場合、なぜ郵送先住所を収集して保存するのでしょうか。

Stripeのような支払いゲートウェイの使用も検討する必要があります。 支払いゲートウェイを使用すると、クレジットカードによる支払いをオフロードできるため、ストアはクレジットカード番号を処理または保存せずにオンライン支払いを受け入れることができます。 Stripeは、PCI-DDSに準拠するのにも役立ちます。

残念ながら、オンラインでは常に攻撃者が存在し、サイトが侵害されたという報告が不足することはありません。 顧客に関して収集する情報を制限すると、違反時に公開される情報の量が制限されます。 あなたが持っていない機密の顧客データを失うことはできません。

5.顧客と店舗間の通信を暗号化していますか?

SSLは、顧客がブラウザに入力してサイトに送信する通信を暗号化します。 SLLを使用すると、誰かがアカウント名とパスワードを入力すると、その情報が確認のためにサイトのサーバーに送信されたときに保護されます。 ユーザー名とパスワードを暗号化すると、攻撃者がブラウザからサーバーに転送する際にユーザー名とパスワードを傍受しにくくなります。

誰もがすでに自分のサイトでSSL証明書を使用していると想定するため、これにあまり時間をかけるつもりはありません。 SSLに慣れていない場合は、WordPresshttpsトレーニングを確認できます。 eコマース専用のホストを使用している場合、サイトはすでにSSLを安全に使用している可能性があります。

6.顧客アカウントは安全ですか?

ブルートフォース攻撃は、顧客アカウントに対する最も一般的なタイプの攻撃です。 ブルートフォースは、ハッカーがユーザー名とパスワードのランダムな組み合わせを、適切なものが見つかるまで推測しようとする攻撃の一種です。 ブルートフォース攻撃が非常に人気がある理由は、参入障壁が非常に低いためです。 Googleですばやく検索すると、無料のパスワードクラッキングツールがたくさん見つかります。

すばらしいニュースは、WordPressサイトでiThemes Security ProなどのWordPressセキュリティプラグインを使用すると、顧客のログインへの攻撃が成功するのを簡単に防ぐことができることです。

Googleのセキュリティブログの調査に基づいて、ブルートフォース攻撃を100%阻止するには、次の5つのルールに従う必要があります。

おすすめ説明解決
失敗したログイン試行を制限するボットがロックアウトされる前に試行できる不正なログイン試行の数を制限します。 iThemes Security Pro WordPressブルートフォース保護機能を使用すると、ユーザー名またはIPがロックアウトされるまでに失敗したログイン試行の許可回数を設定できます。 ロックアウトは、攻撃者がログインを試みる機能を一時的に無効にします。 攻撃者が3回ロックアウトされると、サイトの閲覧も禁止されます。
強力なパスワードを強制する少なくとも12文字の長さのランダムなパスワードで、「ISt8XXa!28X3」のような文字の大きなプールが含まれていると、解読が非常に困難になります。 WordPressを編集できるユーザーに強力なパスワードを使用するように要求します。 iThemes Security ProなどのWordPressセキュリティプラグインを使用して、特権ユーザーに強力なパスワードの使用を強制すると、WordPressのログインセキュリティを強化するのに役立ちます。
侵害されたパスワードを拒否するパスワードを再利用しているユーザーが多いほど、WordPressのログインセキュリティは弱くなります。 顧客が既知の侵害されたパスワードを使用するのを防ぎます。 iThemes Security Proは、HaveIBeenPwned APIを利用して、データ侵害にパスワードが含まれているかどうかを検出します。 データ侵害でパスワードが見つかった場合、iThemesSecurityはアカウントのパスワードをすぐに更新するように要求します。
二要素認証を使用するWordPressの2要素認証を要求する以外に、顧客アカウントを保護するためのより良い方法はありません。 二要素認証では、ログインするためにWordPressのユーザー名とパスワードとともに追加のコードが必要です。 iThemes Security ProなどのWordPressセキュリティプラグインを使用すると、WordPressサイトにWordPress2要素認証を追加できます。 2要素のメールまたはモバイルアプリのいずれかの方法を有効にします。 WordPressのパスワードなしのログイン機能を使用して、2要素のセキュリティでログインをさらに簡単にすることもできます。
外部認証の試行を制限するログインフォームを使用する以外に、WordPressサイトにログインする方法は他にもあります。 攻撃者はXML-RPCを使用して、1回のHTTPリクエストで数百回のユーザー名とパスワードの試行を行うことができます。 強引な増幅方法により、攻撃者はわずか数回のHTTPリクエストでXML-RPCを使用して何千ものユーザー名とパスワードを試行できます。 iThemes SecurityProのWordPressTweaks設定を使用すると、XML-RPC要求ごとに複数の認証試行をブロックできます。 ユーザー名とパスワードの試行回数をリクエストごとに1回に制限すると、WordPressログインを保護するのに大いに役立ちます。

あなたはあなたの顧客がログインするのを決して難しくしないだろうと思っているかもしれません。 私はあなたがどこから来ているのかを本当に理解していますが、あなたの心を変えるかもしれない簡単な話を共有させてください。

アカウントの1つがハッキングされた家族がいました。 ハッカーは、家族が無料で購入した製品しかダウンロードできなかったことを覚えておいてください。 彼らの個人情報はどれも保存されていなかったので(#4を参照)、彼らは何も出ていませんでした。 しかし、この家族はまだ動揺していました。 アカウントが侵害された会社は、全額返金し、パスワードを更新するとアカウントが安全になることを保証しました。

それで、これを聞いて、私はシャーロック・ホームズの印象を最大限に生かして調査を始めることにしました。 私は、ハッカーが複数のデータ侵害ダンプの1つで家族の電子メールアドレスとパスワードを見つけた可能性が高いと判断できました。 私の家族は何年も同じパスワードとユーザー名の組み合わせを使用していました。 私は、haveibeenpwned.comでメールアドレスが含まれていたすべてのデータベース侵害を示し、それらのアカウントもハッキングされる前に、すべてのアカウントのパスワードを更新するように促しました。

彼らのパスワードが誰でも使用できるようになっていることを知った後、彼らは自分のアカウントが侵害されたために弱いパスワードまたは会社を選んだことを非難したと思いますか? あなたが会社を非難したと言ったらあなたは正しいでしょう。 彼らがハッキングの話をするとき、彼らは会社や彼らの貧弱なパスワード慣行について否定的に話す可能性が高いと思いますか? 過失はすべて自分たちのものでしたが、彼らは自分たちのアカウントを保護する責任は会社にあると考えていました。

では、これから何を学ぶことができるでしょうか? 顧客アカウントを保護するために強力なパスワードと2要素認証を要求するのは、ストアの所有者としての私たちの責任です。 なぜなら、顧客のアカウントがハッキングされると、店の所有者が責任を問われる可能性が高いからです。

幸いなことに、iThemes Security Proプラグインには新しいWordPressパスワードなしログイン機能があり、パスワードや追加の認証コードを入力することなく強力なパスワード2要素認証を使用するようユーザーに要求できます。 これで、使いやすさを犠牲にすることなく、すべてのセキュリティを提供できます。

7.オンラインストアを実行しているソフトウェアは最新ですか?

ソフトウェアの更新は、新機能やバグ修正のためだけのものではありません。 アップデートには、既知のセキュリティエクスプロイトのセキュリティパッチを含めることもできます。 既知のエクスプロイトで古いソフトウェアを実行することは、Webサイトがハッキングされる最も一般的な理由の1つです。 WordPressサイトのセキュリティにとって、更新ルーチンがあることは非常に重要です。 更新を実行するには、少なくとも週に1回はサイトにログインする必要があります。

iThemes Security Proプラグインのバージョン管理機能を使用すると、WordPressの自動更新を有効にして、最新のセキュリティパッチを確実に入手できます。 ソフトウェアの更新は、オンラインストアを保護するためにできる最も簡単な方法です。

8.サイトのフロントエンドに定期的にアクセスしていますか?

最後にサイトのフロントエンドを調べたり、ホームページを見たりしたのはいつですか。 忙しいサイトの所有者として、私たちは通常、サイトのバックエンドに直接ログインして、新しい製品やコンテンツを追加し、サイトの更新を実行します。 サイトのページや製品を実行すると、感染の兆候を見つけるのに役立ちます。 サイトのフロントエンドを検査するとき、または私のWordPressサイトがハッキングされているかどうかを尋ねるときは、これらの3つの感染の兆候を探す必要があります。

  1. ホームページで変更を確認する–一部のハッキングの主な目的は、Webサイトを荒らしたり、悪評を得たりすることです。 そのため、彼らはあなたのホームページを面白いと思うものに変更するか、コーリングカードによってハッキングされたままにするだけです。
  2. 悪意のあるポップアップやスパムを探します–サイトで宣伝されている、販売していない製品はありますか?
  3. 予期しないリダイレクトを見つける–製品リンクの1つをクリックして、顧客のデータを収集しようとしている悪意のあるショップにリダイレクトしますか?

iThemes Security Proのファイル変更検出機能を使用すると、サイトに予期しない変更が加えられたことを知ることができます。 サイトへの攻撃が成功したことを警告することが重要です。違反が特定されるのが早ければ早いほど、被害を軽減することができます。

9. CDNとWAFを使用していますか?

Cloudflare CDNのようなコンテンツ配信ネットワーク(CDN)を使用すると、DDoS攻撃からショップを保護するのに役立ちます。 CDNはサイトとは別のサーバー上にあり、サイトに到達する前にサイトへのリクエストを検査できます。 サービス拒否攻撃(DDos)は、攻撃者が大量のインターネットトラフィックでサイトを破壊またはダウンさせようとする場合です。 ホスティングプランによっては、サイトをダウンさせるのにそれほど余分なトラフィックを必要としない場合があります。

CDNは、いくつかの異なる方法でDDoS攻撃を軽減するのに役立ちます。 CDNが最初に行うことは、サイトが攻撃を受けていることを積極的に監視および特定することです。これは重要です。 検出するように設定されていない攻撃を停止することはできません。 悪意のあるIPが特定されると、CDNはIPからのリクエストがサイトに到達するのを防ぎます。

Webアプリケーションファイアウォール(WAF)の使用も検討する必要があります。 WAFは、悪意のあるトラフィックがサイトに到達する前に、それを識別して除外することができます。 PHP Web Application Firewallとは異なり、Cloudflare WAFが提供するようなWAFは、サイトと同じサーバー上にはありません。 したがって、すべてのセキュリティフィルタリングはオフサイトで行われ、余分な負荷を追加したり、サイトの速度を低下させたりすることはありません。

10.公共の場で作業するとき、接続を保護しますか?

オンラインショップを運営することの素晴らしい点の1つは、どこでも仕事ができることです。 残念ながら、公共のwifiは非常に安全でないことが知られており、公共図書館、ホテル、コーヒーショップ、空港は、ハッカーが通信を傍受してパスワードを収集するのに最適な場所になっています。

私はかつて、パスワードを変更した後も管理者アカウントがハッキングされ続ける方法を理解できなかったiThemes SecurityProの顧客と協力していました。 何度か行ってみると、彼らは地元の図書館で仕事をするのが好きで、仮想プライベートネットワーク(VPN)を使用せずにwifiに接続されていることがわかりました。

仮想プライベートネットワークを使用すると、インターネットトラフィックを暗号化することで、銀行やオンラインショップと安全に通信できます。 iThemes Security Proの顧客はVPNを使用していなかったため、トラフィックは暗号化されず、パスワードは悪意のある攻撃者によって傍受され続けました。 ローカルライブラリでVPNを使用することを提案した後、VPNを使用するとハッキングが停止したと報告されました。

公共のwifiの不安定さについてさらに証拠が必要な場合は、USA Todayのすばらしい記事で、ジャーナリストが機内Wi-Fiの使用中にハッキングされた経験について書いています。Apple-FBIの記事を書いているときに空中でハッキングされました。

まとめ:オンラインセキュリティのベストプラクティス

オンラインストアへのほとんどの攻撃は、あなたの側で少しの行動をとることで成功するのを防ぐことができます。 今は、ホリデーシーズンにサイトが安全であることを確認するために、セキュリティ監査を行う絶好の機会です。

ワードプレスセキュリティプラグイン

WordPressセキュリティプラグインはWordPressウェブサイトを保護するのに役立ちます

WordPressセキュリティプラグインであるiThemesSecurity Proは、一般的なWordPressセキュリティの脆弱性からWebサイトを保護および保護するための50以上の方法を提供します。 WordPressの2要素認証、ブルートフォース保護、強力なパスワードエンフォースメントなどを使用すると、Webサイトにセキュリティの層を追加できます。

iThemes SecurityProを入手する