お問い合わせ

レンタルサーバーのハッキング対策、必要なのはコレだけ

  • URLをコピーしました!

この記事は約4分で読めます。
本文は約2487文字です

ある日突然、ご自身のサイトにトラブルが発生したら焦ります。

例えば、

  • サイトが突然ログインできなくなった
  • 403になってサイトが表示できなくなった
  • 検索結果が変なECサイトに飛ばされる

こんなことでお困りではないでしょうか?

この症状は、ご自身のサーバーがハッキングされてサイトの改ざんが起きたことを示すものです。

この記事では、このようなハッキング被害にあわないための対策について詳細に説明します。

記事の内容

日本のサイトは狙われている

あるキーワードで検索した時に全然関係ないECショップが出てくることが結構あります。そのサイトは、サイトがハッキングされ、サイトマップが書き換えられているサイトが表示されています。

Japanese Keyword Hack or Japanese SEO Spamという有名なハッキングです。

もちろんハッキングしているのは国外からの不正アクセスです。日本語のサイトは海外から狙われているのです。

サーバーをハッキングから守る手順

ログインIDはadminは厳禁、パスワードも複雑にする

WordPressを初期インストールするとIDが自動的にadminとなったままインストールが進むレンタルサーバーが多いと思います。

adminを使うのを止めよう

IDとパスワードがわからないとログインされないのですから、わざわざ分かりやすいIDにする必要はありません。

adminというのは誰でもわかるIDです。

adminを使っている場合は、管理者アカウントをもう一つ追加してから、adminを削除しましょう。

パスワードは複雑で長いものにしましょう

パスワードは複雑なものにしましょう。パスワードはchromeなどで自動的に複雑なものを作ることもできます。パスワードが覚えられないという心配があるかもしれませんが、chromeに記憶させておけば、自分で覚える必要はありません。

万が一ログインできなくなってもパスワードを再発行できるように、メールアドレスは常に正しいものを使用しましょう。

ログインに連続で失敗したらログインをロックしましょう

パスワードの総当たり攻撃に耐えられるように、ログインに連続で失敗したらログインできないようにロックしましょう。

Xserverのようにサーバーに連続ログイン失敗時にロックする機能がある場合はそれを使ってもいいです。

プラグインを使う場合は、SiteGuardにその機能があります。

ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。

SiteGuardログインロックという機能で連続でログイン失敗したユーザーをブロックできます。

ログインURLを変更しましょう

Wordpresはログイン画面からログインしますので、ログインするためのURLを知らなければ安全になります。

WordPressのログイン画面のURLは、wp-adminwp-login.phpになりますので、誰でもわかります。

ログインURLを自分だけがわかるURLに変更しましょう。

ログインURLを変更することで、ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくできます。

SiteGuardを使うと変更できます。

SiteGuardログインページ変更という機能でログインURLを変更することができます。

XSS(クロスサイトスクリプティング)対策をしましょう

ファイアーウォールプラグインを使うことでセキュリティホールを狙う外部からのアタックを防ぐことができます。

ファイアーウォールというと設定が複雑なイメージがあります。

設定不要、動作が軽快、高性能という素晴らしいファイアーウォールプラグインがあります。

BBQ FIrewallです。

BBQ FIrewallをインストールして有効化するだけでいいです。

XML-RPCを無効化しましょう

XML-RPCが有効になっているとサイトが改竄される入り口になり得ます。XML-RPCは過去の遺産を使えるために残しているだけで現在では使う必要が無い機能です。

XML-RPCは今後も使うことはありません。XML-RPCをOFFにすることで侵入される入り口を塞ぐことになります。

XML RPCを停止する方法はプラグインを使うのが簡単です。

サイトでXML-RPCが有効になっていると次のようなことが可能です。

  • ハッカーはxmlrpc.phpを悪用して短時間で膨大な数のピンバックをサイトに送信することにより、サイトにDDoS攻撃を仕掛けることができます。
  • 攻撃者がサイトに多数のリクエストを送信し、それぞれに異なるユーザー名とパスワードのペアを指定すると、最終的には正しい組み合わせになりログインされてしまいます。

総当たり攻撃を防ぐため、ログイン失敗時にロックする機能を持つサーバーもありますが、XML-RPCに対しては機能しません。

Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止する必要があります。

SiteGuardXMLRPC防御を使うと簡単にXML-RPCを無効にできます。

まとめ

Wodpressサイトに不正ログインされないためには、パスワードを複雑にするのがまず第一です。次に、ブルートフォースアタック(総当たり攻撃)、DDoS攻撃などからサイトを守る必要があります。

それらは、プラグインの力を借ることで簡単に防ぐことができますので、必ず設定しておきましょう。

記事が参考なったらシェア!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

国内のあらゆるレンタルサーバーを使用、管理した経験があります。サーバー選びからWordpressを使ったサイト運営まで丸っとお任せください。あなた様のご希望にそった本当に使える最適なサーバーをご紹介します。

コメント

コメントする

目次
TOPへ
記事の内容
閉じる