皆さんこんにちは、藤です。
今回はセキュリティについて記載していきたいと思います。
セキュリティについて
そもそもセキュリティを入れる理由はおおきく分けて以下の3点です。
不正アクス禁止=乗っ取り防止、ウイルス感染防止、Google AdSense利用の場合はアドセンス狩り対策の為です。
不正アクセスをされてしまえば、せっかく作ったサイトやブログを乗っ取られてしまうリスクがありますし、ウイルスやマルウェアを埋め込まれてしまうデメリットがあります。
そうなれば確実に悪用されてしまいますので、これられを防ぐ為に最低限のセキュリティ対策は行なっておきましょう。
セキュリティ導入編
【サーバー側設定】
レンタルサーバー側で、行えるセキュリティ設定は必ずチェックしておきましょう。
基本的にデフォルトで設定がONになっていることが多いですが、設定がかかってない場合もあります。
今回もエックスサーバーを利用している想定で解説していきます。
セキュリティについての公式説明もありますのでそちらを参考にされる場合はこちらから
①まずは、サーバーパネルにログインします。
次に下の方にある【WordPressセキュリティ設定】をクリック。
次に該当のドメイン名の右端、【選択する】をクリックします。
以下、基本的に全て推奨設定ONにチェックで大丈夫です。
上のタブの【国外IPアクセス制限設定】の項目が始めに選択されてる状態ですので、その隣の【ログイン試行回数制限設定】もクリックして設定をONにしておきましょう。
②続いては、WAF(Webアプリケーションファイアウォール)設定を行なっていきます。
公式サイトの説明はこちらから
再びサーバーパネル画面に移動します。
右下の【WAF設定】をクリックします。
設定したい該当のドメイン名を選び【選択する】をクリックします。
以下、設定画面ですが基本的に全てONで問題ないです。
ただしセキュリティをかけたらからといって100%安全な訳では無いので普段から注意しましょう。
③ベーシック認証(BASIC認証)を有効にしておく。
ベーシック認証(BASIC認証)とは簡単にアクセス制限をかけることができる機能です。
イメージとして、当ブログの管理画面にいくURLにアクセスしたとします。
すると下記のように、まずはログイン画面に行く前に、別のセキュリティ画面が表示されます。
この設定をサーバーから設定することができるので、必要な方は設定しおきましょう。
公式サイトの設定方法が1番分かりやすいかと思いますのでこちらから
【利用していない不要なプラグインは削除する】
続いては、ワードプレス上の設定について記載していきます。
まず、入れたは良いけど結局使ってないプラグインなどに関してですが、無効化にしていてもそのプラグインを経由して攻撃をうける可能性があります。
その為、使わないプラグインがある場合は削除しておきましょう。
必要になったら再度インストールして利用すれば問題ないですが、なるべくプラグイン提供先のアップデートが定期的に行われているプラグインを利用しましょう。
【SiteGuard WP Plugin 不正アクセスから守る設定】
こちらのプラグインは主にセキュリティを向上させるプラグインになります。
ワードプレスの怖い点として、ログインURLが以下の3つのどれかで入れてしまう点です。
https://サイトのドメイン名/wp-admin/
https://サイトのドメイン名/wp-login.php
https://サイトのドメイン名/wp/wp-login.php
つまり、初期設定のまま放置しておいた場合、誰でもあたなのログイン画面にアクセスすることが可能というわけです。
これは総当たり攻撃(ブルートフォースアタック)という攻撃に遭いやすいのが難点です。
こういった不正ログインなどを防ぐ対策のひとつとして【SiteGuard WP Plugin】のプラグインを使って簡単にログインURLの変更とその他画像認証などのセキュリティを設定することができます。
他にも、ログインに数回失敗した場合ロックをかける、メールで通知を受け取れるなど、その他の設定もあります。
設定の詳細については公式サイトがございますので、そちらをご確認下さい。
JP-Secure公式サイト
【Google Authenticator 二段階認証の設定】
Googleが開発した二段階認証用のソフトウェアです。
こちらの導入でよりセキュリティを向上することが可能です。
導入方法について
とても詳しく解説されてるサイトがありましたので参考にリンクを貼っておきます。
Let’sプログラミング
【Ad Invalid Click Protector はアドセンス狩り対策】
まずは、アドセンス狩りについてですが、不正クリックをして規約違反に抵触させて、アカウントを停止に追い込む嫌がらせ行為のことです。
悲しくもTwitterなどで【 AdSenseに合格】したことを呟いてる初心者の方が特に狙われやすい特徴もありますが、正直、どんなブログやサイトであろうと狙われることはあります。
そんな嫌がらせ行為の対策のひとつとして【Ad Invalid Click Protector】を導入してみてはいかがでしょうか。
こちらの機能としては、【不正クリックをしたユーザーをブロック】したり、【◯時間の間に◯回連続クリックした際は広告を表示しない】などの設定が可能です。
※◯のところは好きな数値で設定できます。
ただし、注意点としては、こちらのプラグインはPCのみ有効ですので、スマホからの攻撃には対策ができないという点がデメリットです。
現状スマホからの対策については、無効なアクセスがあったことをGoogleに報告するしかないのですが、以下のプラグインを導入しておくと不正クリックしたユーザーのIPアドレスを含む情報がわかるのでアクセス禁止など、報告処理などの対処がしやすいです。
今回はセキュリティについて記載しました。
今後も都度新しく情報を更新していこうと思います。
参考になれれば幸いです。
関連シリーズ記事
宜しかったら応援よろしくお願いいたします。
コメント