Xserverが今なら最大50%OFF! 2022年11月25日(金)12:00まで

サーバー不正アクセスを完全に防ぐ!日本向けのサイトだからできる方法です

この記事は約7分で読めます。
本文は約4230文字です

海外のハッカーから日本のサイトは狙われています。

侵入者は中国やロシアなどからやってきて、日本のサイトをハッキングしようと昼夜を問わず、活動しています。

といっても実際にハッキングするのは人間ではなく、自動化されたスクリプトで日本のサイトを巡回してセキュリティホールを狙っているようです。

この記事では、サーバーの不正アクセスによる改竄やハッキング被害を抑えるために、日本のサイトだから出来る最強の対策をお伝えします。

こんな疑問にお答えします!

  • サーバーの不正アクセスやハッキングはどこから?
  • レンタルサーバーのセキュリティ設定では不十分?
  • 海外からのサイトへのアクセスは本当に必要?
  • サイトへのアクセスを国内のみに制限する方法は?
この記事の内容

海外からのサイトへのアクセスは本当に必要か?

日本語のサイトでターゲットが日本人の場合、海外からサイトアクセスは不要です

ほとんどのサイトは、GA4などのアクセス解析ツールを見ると、少なからず海外からサイトにアクセスがあるものです。

Googleアドセンスなどのクリック報酬型の広告をクリックしてくれるかも?と期待するからもしれません。

日本語のサイトの場合、海外から検索しても検索結果に出てくることはありません。

なぜなら、Googleは検索した場所と同じ言語のサイトを上位に表示する仕組みになっています。

日本語サイトは日本語で検索されたときしか表示されませんから、海外在住の日本人からのアクセスぐらいしか期待できず、海外経由のアクセスはほぼ無いと考えてよいです。

そう考えると、アドセンスなどのクリック広告収入を前提とした場合、海外にいる日本人向けに情報を発信しているサイト以外では、海外からのサイトアクセスを許可する意味がないことがわかります。

英語圏のサイトであれば、世界中からサイトにアクセスされる可能性がありますが、日本語のサイトであれば日本語を読める人しかアクセスしません。日本語が読める人は日本国内にほぼ限定されます。

この事実はセキュリティ対策をするうえで結構大事です。

サーバーへの不正アクセスやハッキングは海外から行われる

最近、サーバーに不正アクセスされてサイトが改ざんされる事例が本当に増えています。

サイトが改竄されると主に以下のような現象がみられます。

  • サイトが表示できなくなる
  • Wordressにログインできなくなる
  • Google検索結果に変な記事が表示される

ハッキングは海外から行われており、ほとんどが中華系のハッカーの仕業だと思います。日本国内からハッキングされることはまず考えなくてよいです。

ハッキングは、ログインIDやパスワードの組み合わせが簡単なため、外部からログインされることもありますが、それ以外に改竄できるコードを別の方法で仕込むケースもあります。

ですので、レンタルサーバーのコントロールパネルにある海外からのダッシュボードログイン画面へのアクセスを禁止していても防げないことが多いです。

海外からダッシュボードログイン画面へのアクセスを禁止して不正アクセスを防げるのであれば、改竄されるサイトが増え続けている昨今の現象の説明がつかないです。

海外からサイトのアクセスを禁止⇒ハッキングされない

サイトが表示できなければ、脆弱性がサイトにあってもそこから侵入されることはありません。

海外からサイトが表示できなくするには、海外IPからのアクセスを遮断する必要があります。

海外IPからのアクセスを遮断(403エラー)するには.htaccessを使用します。

.htaccessの編集に、FTPが必要になりますが、コピペで対応できる内容ですので、それほど難しくはないと思います。

.htaccessが壊れるとサイトが表示できなくなり、wordpressにログインも出来なくなります。
WordPress上から.htaccessの編集は行わないでください。
FTPもしくはサーバーコントロールパネルから.htaccessを編集しましょう。

国外IPからのアクセスを完全に遮断するための.htaccess

海外IPからのアクセスを完全に遮断してしまうと、検索botなどもアクセスできなくなるので除外設定が必要です。

以下の記事に詳しく書いてあります。

前半部分はコピペすれば大丈夫でしょう。作業が必要なのは許可する国内IPアドレスの部分です。

#########  海外IPを許可しないための設定  #########

### 検索エンジンをまとめて許可するためにenv化する (Must)
SetEnvIf User-Agent "Googlebot" allowbot
SetEnvIf User-Agent "msnbot" allowbot
SetEnvIf User-Agent "bingbot" allowbot
SetEnvIf User-Agent "Slurp" allowbot

### いったん全てを拒否する (Must)
order deny,allow
deny from all

### 検索エンジンからのアクセスを許可 (Must)
allow from env=allowbot

### SearchConsoleのプロパティが確認出来るためにの対策 (使っていなければ不要)
### https://support.google.com/webmasters/answer/80553?hl=ja
allow from googlebot.com
allow from google.com

### vagrantなどのアクセス許可 (使っていなければ不要)
### vagrantなど使っていれば許可にしないと開発環境が使えないため
allow from 192.168.xx.xx/24

### 日本国内のIPを許可 (Must)
### http://www.cgis.biz/tools/access/
### 2018.12.1時点 割り当て個数 203,957,760
allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
allow from 1.5.0.0/16
allow from 1.21.0.0/16

( 中略 )

allow from 223.223.164.0/22
allow from 223.223.208.0/21
allow from 223.223.224.0/19
allow from 223.252.64.0/19
allow from 223.252.112.0/20

こちらの方が便利です!

許可する国内IPアドレスはどこで調べる?

日本国外からのアクセスを制限する.htaccessは以下のサイトから入手可能です。

http://www.cgis.biz/tools/access/

IPアドレスだけ表示しても、.htaccessにそのまま貼り付けられませんので、.htaccess型式で入手してください。

.htaccessをダウンロードボタンを押すと.htaccessにそのままコピペできる形式でダウンロードできます。

こちらのサイトは大変便利です。

.htaccessに追記したのに海外アクセスが遮断できない場合

セキュリティ系のプラグインなどが自動的に追加した<RequireAll></RequireAll>が.htaccess内部に既にある場合は、手動で国内IPのみ許可する記述を追加しても無視されてしまうことがあります。

その場合は、<RequireAll></RequireAll>の内部に<RequirenAny></RequireAny>を含めるようにすると上手く動きます。

<RequireAll>

<RequireAny>
ここに追加する
</RequireAny>

</RequireAll>

まとめ

海外IPからサイトへのアクセスを禁止してしまえば、海外からのサーバーへのハッキングは殆ど防げます。

開国していたレンタルサーバーを鎖国するとうことです。

最近ではそのような対策を行っているサイトも増えてきていますので、今回ご紹介した方法は今後主流になっていく可能性があります。その流れで、レンタルサーバー側でもダッシュボードログインへの海外アクセスの禁止だけではなく、サイトへのアクセスの禁止も組み込まれる流れがあるかもしれません。

ちなみにWpXには海外からサイトへのアクセス禁止の機能があります。

よくある質問

サーバーの不正アクセスやハッキングはどこから?

中国、ロシア、北朝鮮など、怪しげな国からハッキングや不正アクセスは行われます。

レンタルサーバーのセキュリティ設定では不十分?

WordPressのダッシュボードログイン画面の海外アクセス禁止だけでは不正アクセスやサイトの改竄は防げません。

防げていたら、こんなに改ざん被害は増えないはずです

海外からのサイトへのアクセスは本当に必要?

日本語のサイトは日本語が理解できる人しかアクセスしても読めませんし、効果もありません。日本語が読める人のほとんどは日本にいます。

サイトへのアクセスを国内のみに制限する方法は?

レンタルサーバーのセキュリティ対策では対応できません。.htaccessに日本国内のIPアドレスを全て記載してそれ以外のIPアドレスはアクセス制限を行います。

この情報は役に立ちましたか? はい いいえ
参考なったらシェアお願いします!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

サーバーソムリエのアバター サーバーソムリエ レンタルサーバー鑑定士

国内のあらゆるレンタルサーバーを使用、管理した経験があります。サーバー選びからWordpressを使ったサイト運営まで丸っとお任せください。あなた様のご希望にそった本当に使える最適なサーバーをご紹介します。

コメントを閉じる

コメント

コメントする

コメントは日本語で入力してください。(スパム対策)

CAPTCHA

この記事の内容