この記事は約5分で読めます。
本文は約2819文字です
5つのセキュリティ対策で防御!レンタルサーバーのハッキング対策

ある日突然、ご自身のサイトにトラブルが発生したらとても焦りますよね。
例えば、こんなことでお困りではないでしょうか?
- サイトが突然ログインできなくなった
- 403になってサイトが表示できなくなった
- 検索結果が変なECサイトに飛ばされる
この症状は、ご自身のサーバーがハッキングされ、サイトが改ざんされたことを示すものです。
この記事では、このようなハッキング被害にあわないための対策について詳細に説明します。
日本のサイトは狙われている
あるキーワードで検索した時に全然関係ないECショップが出てくることが結構あります。
そのサイトは、サイトがハッキングされ、サイトマップが書き換えられて存在し無いページがインデックスされています。
『Japanese Keyword Hack』とか『 Japanese SEO Spam 』という有名なハッキングです。
もちろんハッキングしているのは外国からの不正アクセス経由です。
日本語のサイト(特に企業ドメイン:co.jp)は海外から狙われやすいのです。
サーバーをハッキングから守る5つの手順
- ログインIDはadminは厳禁、パスワードも複雑にする
- ログインに連続で失敗したらログインをロックしましょう
- ログインURLを変更しましょう
- XSS(クロスサイトスクリプティング)対策をしましょう
- XML-RPCを無効化しましょう
①ログインIDはadminは厳禁、パスワードも複雑にする
WordPressを初期インストールするとIDが自動的にadminとなったままインストールが進むレンタルサーバーが多いと思います。
adminを使うのを止めよう
IDとパスワードがわからないとログインされないのですから、わざわざ分かりやすいIDにする必要はありません。
adminというのは誰でもわかるIDです。
adminを使っている場合は、管理者アカウントをもう一つ追加してから、adminを削除しましょう。
パスワードは複雑で長いものにしましょう
パスワードは複雑なものにしましょう。パスワードはchromeなどで自動的に複雑なものを作ることもできます。パスワードが覚えられないという心配があるかもしれませんが、chromeに記憶させておけば、自分で覚える必要はありません。
万が一ログインできなくなってもパスワードを再発行できるように、メールアドレスは常に正しいものを使用しましょう。
②ログインに連続で失敗したらログインをロックしましょう
パスワードの総当たり攻撃に耐えられるように、ログインに連続で失敗したらログインできないようにロックしましょう。
Xserverのようにサーバーに連続ログイン失敗時にロックする機能がある場合はそれを使ってもいいです。
プラグインを使う場合は、SiteGuardにその機能があります。
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。

③ログインURLを変更しましょう
Wordpresはログイン画面からログインしますので、ログインするためのURLを知らなければ安全になります。
WordPressのログイン画面のURLは、wp-adminかwp-login.phpになりますので、誰でもわかります。
ログインURLを自分だけがわかるURLに変更しましょう。
ログインURLを変更することで、ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくできます。
SiteGuardを使うと変更できます。

④XSS(クロスサイトスクリプティング)対策をしましょう
ファイアーウォールプラグインを使うことでセキュリティホールを狙う外部からのアタックを防ぐことができます。
ファイアーウォールというと設定が複雑なイメージがあります。
設定不要、動作が軽快、高性能という素晴らしいファイアーウォールプラグインがあります。
BBQ FIrewallです。

⑤XML-RPCを無効化しましょう
XML-RPCが有効になっているとサイトが改竄される入り口になり得ます。XML-RPCは過去の遺産を使えるために残しているだけで現在では使う必要が無い機能です。
XML-RPCは今後も使うことはありません。XML-RPCをOFFにすることで侵入される入り口を塞ぐことになります。
XML RPCを停止する方法はプラグインを使うのが簡単です。
サイトでXML-RPCが有効になっていると次のようなことが可能です。
- ハッカーはxmlrpc.phpを悪用して短時間で膨大な数のピンバックをサイトに送信することにより、サイトにDDoS攻撃を仕掛けることができます。
- 攻撃者がサイトに多数のリクエストを送信し、それぞれに異なるユーザー名とパスワードのペアを指定すると、最終的には正しい組み合わせになりログインされてしまいます。
Pingback機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化し、悪用を防止する必要があります。

究極のハッキング対策
かなり強引なハッキング対策になりますが、効果抜群の方法があります。
プラグインを使わず、海外からのサイト表示を一切禁止したり、怪しい国からのアクセスを禁止するという方法です。
まとめ
Wodpressサイトに不正ログインされないためには、パスワードを複雑にするのがまず第一です。次に、ブルートフォースアタック(総当たり攻撃)、DDoS攻撃などからサイトを守る必要があります。
それらは、プラグインの力を借ることで簡単に防ぐことができますので、必ず設定しておきましょう。
使用するプラグインは2つだけ
- SiteGuard
- BBQ Firewall
コメント