ホームページが被害に合わないためにも
ここのところ、ネットワークを通じてホームページの情報が書き換えられるなど、被害をうけたサイトが増えているようです。
そのほとんどが、FTPを利用したものであり、
例をあげると、
ホームページの更新データなどをサーバへアップロードしたり、古いファイルをダウンロードする場合に通常FTPで通信していると思うのですが、対応策を知らないと、パスワードやデータなどがFTP通信時に盗まれることがあります。
通常のFTP通信の場合、暗号化されているわけではないので、垂れ流し状態に近いわけです。
そして、知らないうちに、フォルダができていた...、フォルダの中に知らないファイルがアップロードされていた...等があります。
このようなケースの場合は、そのほとんどがTrojan.xxxx系….いわゆるトロイの木馬といわれるもの等が仕込まれた可能性大です。
ホームページを検索したときやアクセスしようとしたときに、「このサイトはコンピュータに損害を与える可能性があります。」などとメッセージが出てしまう場合は、既に×です。
このような警告が発せられる以前にこういったサイトにアクセスした場合、訪問者にたいしてウィルス感染を誘発することも多くあります。
サイト管理者が知らないうちに訪問者に対して、危害を与えるサイトになる訳です。
そこで、対策をとることが必要になります。
FTP通信時のパスワードやデータなどの内容が、悪意の者によってキャプチャされないような対策をすることです。
よく、レンタルサーバを借りた場合、FTP使用に関してパスワードを定期的に変更してください....等と書かれている場合もあります。
ですが、FTPのパスワードを変更するだけでは、対応策として弱いと考えています。
そこで、サイト管理者(サーバ利用者)側で比較的簡単に出来る対応策の一つとしては、
サーバとのFTP通信をSSLやTLSなどの暗号化通信を介して行うことがあげられます。
ただし、借りているレンタルサーバー側でもSSL/TLSに対応していることが必要条件です。
今のところ無料で使えるFTPソフトで、SSL/TLS対応となっているものとしては、WinSCPやFilezillaが比較的使いやすいでしょう。
また、FirefoxのアドオンでFTPとして使えるFireFTPもSSL/TLSに対応しています。
なので、まだ通常のFTP通信を行っている場合は、SSL/TLS対応の最新のバージョンを利用することをおすすめします。
アップロードした各ファイルやディレクトリのパーミッションを変更することも有効ですが、それ以前に上記のようにまずは、パスワード情報をキャプチャされないようにすることです。
これができていなかったら、パーミッションも意味を成しませんので、ご注意を....。
