5つのセキュリティ対策で防御！レンタルサーバーのハッキング対策

ある日突然、ご自身のサイトにトラブルが発生したらとても焦りますよね。

例えば、こんなことでお困りではないでしょうか？

この症状は、ご自身のサーバーがハッキングされ、サイトが改ざんされたことを示すものです。

この記事では、このようなハッキング被害にあわないための対策について詳細に説明します。

日本のサイトは狙われている

あるキーワードで検索した時に全然関係ないECショップが出てくることが結構あります。

そのサイトは、サイトがハッキングされ、サイトマップが書き換えられて存在し無いページがインデックスされています。

『Japanese Keyword Hack』とか『 Japanese SEO Spam 』という有名なハッキングです。

もちろんハッキングしているのは外国からの不正アクセス経由です。

日本語のサイト（特に企業ドメイン：co.jp）は海外から狙われやすいのです。

サーバーをハッキングから守る5つの手順

①ログインIDはadminは厳禁、パスワードも複雑にする

WordPressを初期インストールするとIDが自動的にadminとなったままインストールが進むレンタルサーバーが多いと思います。

adminを使うのを止めよう

IDとパスワードがわからないとログインされないのですから、わざわざ分かりやすいIDにする必要はありません。

adminというのは誰でもわかるIDです。

adminを使っている場合は、管理者アカウントをもう一つ追加してから、adminを削除しましょう。

パスワードは複雑で長いものにしましょう

パスワードは複雑なものにしましょう。パスワードはchromeなどで自動的に複雑なものを作ることもできます。パスワードが覚えられないという心配があるかもしれませんが、chromeに記憶させておけば、自分で覚える必要はありません。

万が一ログインできなくなってもパスワードを再発行できるように、メールアドレスは常に正しいものを使用しましょう。

②ログインに連続で失敗したらログインをロックしましょう

パスワードの総当たり攻撃に耐えられるように、ログインに連続で失敗したらログインできないようにロックしましょう。

Xserverのようにサーバーに連続ログイン失敗時にロックする機能がある場合はそれを使ってもいいです。

プラグインを使う場合は、SiteGuardにその機能があります。

ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。

SiteGuardのログインロックという機能で連続でログイン失敗したユーザーをブロックできます。

WordPress.org

SiteGuard WP Plugin SiteGurad WP Plugin is the plugin specialized for the protection against the attack to the management page and login.

③ログインURLを変更しましょう

Wordpresはログイン画面からログインしますので、ログインするためのURLを知らなければ安全になります。

WordPressのログイン画面のURLは、wp-adminかwp-login.phpになりますので、誰でもわかります。

ログインURLを自分だけがわかるURLに変更しましょう。

ログインURLを変更することで、ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくできます。

SiteGuardを使うと変更できます。

SiteGuardのログインページ変更という機能でログインURLを変更することができます。

WordPress.org

SiteGuard WP Plugin SiteGurad WP Plugin is the plugin specialized for the protection against the attack to the management page and login.

④XSS（クロスサイトスクリプティング）対策をしましょう

ファイアーウォールプラグインを使うことでセキュリティホールを狙う外部からのアタックを防ぐことができます。

ファイアーウォールというと設定が複雑なイメージがあります。

設定不要、動作が軽快、高性能という素晴らしいファイアーウォールプラグインがあります。

BBQ FIrewallです。

BBQ FIrewallをインストールして有効化するだけでいいです。

WordPress.org 日本語

BBQ Firewall – Fast & Powerful Firewall Security The fastest firewall plugin for WordPress. Protect against a wide range of threats with minimal performance impact.

⑤XML-RPCを無効化しましょう

XML-RPCが有効になっているとサイトが改竄される入り口になり得ます。XML-RPCは過去の遺産を使えるために残しているだけで現在では使う必要が無い機能です。

XML-RPCは今後も使うことはありません。XML-RPCをOFFにすることで侵入される入り口を塞ぐことになります。

XML RPCを停止する方法はプラグインを使うのが簡単です。

サイトでXML-RPCが有効になっていると次のようなことが可能です。

• ハッカーはxmlrpc.phpを悪用して短時間で膨大な数のピンバックをサイトに送信することにより、サイトにDDoS攻撃を仕掛けることができます。
• 攻撃者がサイトに多数のリクエストを送信し、それぞれに異なるユーザー名とパスワードのペアを指定すると、最終的には正しい組み合わせになりログインされてしまいます。

総当たり攻撃を防ぐため、ログイン失敗時にロックする機能を持つサーバーもありますが、XML-RPCに対しては機能しません。

Pingback機能を無効化する、あるいは、XMLRPC全体（ xmlrpc.php ）を無効化し、悪用を防止する必要があります。

SiteGuardのXMLRPC防御を使うと簡単にXML-RPCを無効にできます。

WordPress.org

SiteGuard WP Plugin SiteGurad WP Plugin is the plugin specialized for the protection against the attack to the management page and login.

究極のハッキング対策

かなり強引なハッキング対策になりますが、効果抜群の方法があります。

プラグインを使わず、海外からのサイト表示を一切禁止したり、怪しい国からのアクセスを禁止するという方法です。

まとめ

Wodpressサイトに不正ログインされないためには、パスワードを複雑にするのがまず第一です。次に、ブルートフォースアタック（総当たり攻撃）、DDoS攻撃などからサイトを守る必要があります。

それらは、プラグインの力を借ることで簡単に防ぐことができますので、必ず設定しておきましょう。

使用するプラグインは2つだけ