この記事を読んでほしい方
- Webサイト制作のエンジニアの方で、セキュリティにあまり詳しくない方
- これからWordpressやサーバーを使いたい方
- サイト制作において、最低限のセキュリティ対策をして安心したい方
最近はサイバー攻撃など、よく耳にしますよね。
今からエンジニアを始めたい方は特に、不安になられている方もいるかと思います。
セキュリティに詳しく、対策のできるエンジニアは、
Webサービスを展開している企業だと、必須で必要になるかと思います。
とはいえ、個人でブログをやっている方や、メディアを作っている方は、
セキュリティに強いサーバー構築から制作・開発までをこなすのは至難の業ですよね。
そこで今回は、そういった制作や開発において、セキュリティ面で最低限やるべきことや、
サイバー攻撃にやられないための知識を、初心者向けに紹介していきます。
レンタルサーバーの最初にやるべきセキュリティ対策
まとめると、下記の対策をしましょう。
- WAFの設定
- IP制限
- パーミッションの設定
WAF
WAFとは、「Web Application Firewall」のことで、
Webアプリケーションへの攻撃を守るための機能です。
レンタルサーバーの多くは、このWAFの設定が「レンタルサーバーのコントロールパネル上」でできまして、
WordPressなどへの「脆弱性をついた攻撃」からサイトを守ることができます。
特にWordpressに関しては、多くのWebサイトがWordpressで構築されていることもあり、
WordPressを狙うハッカーは多いそうです。
理由は、「多く使われているツールを狙ったほうが、多くの情報を搾取できる」からだとか。
なので狙われる可能性は結構高いです。
お問い合わせフォームやログイン機能を持ったサイトを構築するときは、個人情報・機密にすべき情報を取り扱うことになるので、
情報漏えいを防ぐために、ぜひ設定しておきましょう。
IP制限
IP制限とは、ざっくりいうと「あるネットワークのIPアドレスからアクセスできないようにする」制限です。
レンタルサーバーだと「国外IP制限」という設定があったりします。
「国外IP制限」は海外からアクセスできないようにする設定です。
国外には、なんとなくイメージつくかと思うんですが、凄腕のハッカーがいます。
そこからの攻撃をさせないための設定ですね。
これは(海外向けのサイトを構築するわけでなければ、)設定しておいたほうがいいかと。
IP制限の設定方法は他にも色々ありまして、
「あるサイトは、自分が使っているIPのみアクセス可能にする」だったりの設定もできます。
この方法は、例えば、他会社の案件をコーディングしているときに役立つかもしれません。
テスト用のサーバーで他会社の案件のWordpressサイトを構築するときは、なるべく他の人が閲覧できないようにしておくべきですよね。
なぜかというと、リリース前の知られたくない情報が載っていたりするので、サイトを見られてはいけない場合があったり、
そもそもコーディング途中の表示崩れが起こっているサイトを見ることができる状態が好ましくないです。
こちらも設定方法を知っておくと、良いかもしれません。
パーミッションの設定
パーミッションとは、「ファイルに対する制限」になります。
レンタルサーバーにファイルを上げたあと、そのファイルに対して、設定することができます。
具体的には、「読み」「書き」「実行」の制限が、ユーザーの種類ごとにできます。
「読み」とはファイルの内容などを表示する権限
「書き」とはファイルを上書き削除したりする権限
「実行」とはファイルのプログラムを実行する権限
になります。
ユーザーの種類によって分けることができて、
「自分」「他者」「グループ」といったユーザーの種類に対して、どこまでの権限を与えるか?
みたいな感じで設定できます。
FTPソフトを使うと、より簡単に設定できるかと思いますので、ぜひやってみてください!
WordPressの最初にやるべきセキュリティ対策
プラグイン
セキュリティのプラグインを入れてください。
個人的によく使っているのは、Siteguardというプラグインです。
ざっくりなにができるのか、といいますと、
- 不正アクセスの防止
- 不正ログインの防止
ですね。(それ以外もあるけど主な目的はこれ。)
WordPressのURLを変更できる機能がありまして、
第三者がWordpressの管理画面に不正にアクセスすることを防ぎます。
具体的には、Wordpressの管理画面にアクセスするとき、デフォルトの状態だと、
【サイトのURL】/wp-admin/
になります。これだと、サイトのURLが分かる時点で、第三者がアクセスできてしまいますよね。
もちろんログイン情報を持っていないと管理画面の中身までみることはできませんが、あまり好ましくありません。
ですが、siteguardを使用すると、
【サイトのURL】/login_任意の5桁の数字/
にURLを変更してくれます。つまりURLを隠す機能があります。
不正ログインの防止については、ログイン画面の画像認証という機能がついてます。
「コンピュータからの攻撃を防ぐ」ための判別するための機能です。
コンピュータだと、ログイン情報を自動で打ち込んで管理画面に入ったりという動作も可能ですので、
画像認証があると、コンピュータからの攻撃を受けにくくなるそうです。
ログインのユーザー名、パスワード
これに関しては、それぞれ「24桁のランダムな文字列」がよいかなと。
少なくとも、簡単な意味のある文字列「admin」などは設定しない方が無難です。
WordPressを設置する際にユーザー名とパスワードを設定することになるので、その際に設定してください。
ちなみに、「パスワードを自動で生成してくれるツール」もあるので、
こういったツールを使ったほうが楽です。
もちろん、100%サイバー攻撃を防げるわけではない
今回は初心者向けに、セキュリティ対策を紹介してきました。
もちろんこれらの設定をおこなったからといって、100%サイバー攻撃を防げるわけではない、ということを忘れずにしておきましょう。
ただ、最低限の設定をしておくことで、防御力は確実に上がるかと思いますので、設定してみてください!
それでは〜
