最強のサーバー不正アクセス対策とは？日本のサイトだからできる方法です

海外のハッカーから日本のサイトは狙われています。

侵入者は中国やロシアなどからやってきて、日本のサイトをハッキングしようと昼夜を問わず、活動しています。

といっても実際にハッキングするのは人間ではなく、自動化されたスクリプトで日本のサイトを巡回してセキュリティホールを狙っているようです。

この記事では、サーバーの不正アクセスによる改竄やハッキング被害を抑えるために、日本のサイトだから出来る最強の対策をお伝えします。

海外からのサイトへのアクセスは本当に必要でしょうか？

海外からアクセスがあってGoogleアドセンスなどのクリック報酬型の広告をクリックしてくれるかも？と期待するからもしれません。

日本語のサイトの場合、海外から検索しても検索結果に出てきません。Googleは検索した場所と同じ言語のサイトを上位に表示する仕組みになっています。

日本語サイトは日本語で検索されたときしか表示されませんから、海外在住の日本人からのアクセスぐらいしか期待できず、海外経由のアクセスはほぼ無いと考えてよいです。

そう考えると、アドセンスなどのクリック広告収入を前提とした場合、海外にいる日本人向けに情報を発信しているサイト以外では、海外からのサイトアクセスを許可する意味がないことがわかります。

英語圏のサイトであれば、世界中からサイトにアクセスされる可能性がありますが、日本語のサイトであれば日本語を読める人しかアクセスしません。日本語が読める人は日本国内にほぼ限定されます。この事実はセキュリティ対策をするうえで結構大事です。

サーバーへの不正アクセスやハッキングは海外から行われる

最近、サーバーに不正アクセスされてサイトが改ざんされる事例が本当に増えています。

サイトが改竄されると主に以下のような現象がみられます。

ハッキングは海外から行われており、ほとんどが中華系のハッカーの仕業だと思います。日本国内からハッキングされることはまず考えなくてよいです。

ハッキングはログインIDやパスワードが悪用されてログインされるよりも、改竄できるコードを別の方法で仕込むケースが殆どです。ですので、レンタルサーバーのコントロールパネルにある海外からのダッシュボードログイン画面へのアクセスを禁止していても防げません。

海外からダッシュボードログイン画面へのアクセスを禁止して不正アクセスを防げるのであれば、改竄されるサイトが増え続けている昨今の現象の説明がつかないです。

海外からサイトのアクセスを禁止⇒ハッキングされない

海外からサイトが表示できなくするには、海外IPからのアクセスを遮断する必要があります。

海外IPからのアクセスを遮断（403エラー）するには.htaccessを使用します。

.htaccessの編集に、FTPが必要になりますが、コピペで対応できる内容ですので、それほど難しくはないと思います。

.htaccessが壊れるとサイトが表示できなくなり、wordpressにログインも出来なくなります。
WordPress上から.htaccessの編集は行わないでください。
FTPもしくはサーバーコントロールパネルから.htaccessを編集しましょう。

国外IPからのアクセスを完全に遮断するための.htaccess

海外IPからのアクセスを完全に遮断してしまうと、検索botなどもアクセスできなくなるので除外設定が必要です。

以下の記事に詳しく書いてあります。

前半部分はコピペすれば大丈夫でしょう。作業が必要なのは許可する国内IPアドレスの部分です。

Qiita

海外からのアクセス(IP)を拒否するhtaccessの設定 – Qiita 海外からのアクセス(IP)を拒否するhtaccessの設定不要なアクセスを受けるとサーバーのパフォーマンスが落ちたりします。海外のIPから無作為にアクセスを受けることも珍しく…

こちらの方が便利です！

オブジェクト指向がわからない！

.htaccessで海外からのアクセスを制限する方法 Apache 2.4対応版 ウェブサイトの運営をしていると、海外からの不正アクセスやスパムコメントに悩まされている方も多いのではないでしょうか。そんなお悩みを解決する最新の方法を解説します…

許可する国内IPアドレスはどこで調べる？

日本国外からのアクセスを制限する.htaccessは以下のサイトから入手可能です。

http://www.cgis.biz/tools/access/

IPアドレスだけ表示しても、.htaccessにそのまま貼り付けられませんので、.htaccess型式で入手してください。

.htaccessをダウンロードボタンを押すと.htaccessにそのままコピペできる形式でダウンロードできます。

こちらのサイトは大変便利です。

.htaccessに追記したのに海外アクセスが遮断できない場合

セキュリティ系のプラグインなどが自動的に追加した<RequireAll></RequireAll>が.htaccess内部に既にある場合は、手動で国内IPのみ許可する記述を追加しても無視されてしまうことがあります。

その場合は、<RequireAll></RequireAll>の内部に<RequirenAny></RequireAny>を含めるようにすると上手く動きます。

<RequireAll>

<RequireAny>
ここに追加する
</RequireAny>

</RequireAll>

まとめ

海外IPからサイトへのアクセスを禁止してしまえば、海外からのサーバーへのハッキングは殆ど防げます。

開国していたレンタルサーバーを鎖国するとうことです。

最近ではそのような対策を行っているサイトも増えてきていますので、今回ご紹介した方法は今後主流になっていく可能性があります。その流れで、レンタルサーバー側でもダッシュボードログインへの海外アクセスの禁止だけではなく、サイトへのアクセスの禁止も組み込まれる流れがあるかもしれません。

ちなみにWpXには海外からサイトへのアクセス禁止の機能があります。

よくある質問

サーバーの不正アクセスやハッキングはどこから？

中国、ロシア、北朝鮮など、怪しげな国からハッキングや不正アクセスは行われます。

レンタルサーバーのセキュリティ設定では不十分？

WordPressのダッシュボードログイン画面の海外アクセス禁止だけでは不正アクセスやサイトの改竄は防げません。

防げていたら、こんなに改ざん被害は増えないはずです

海外からのサイトへのアクセスは本当に必要？

日本語のサイトは日本語が理解できる人しかアクセスしても読めませんし、効果もありません。日本語が読める人のほとんどは日本にいます。

サイトへのアクセスを国内のみに制限する方法は？

レンタルサーバーのセキュリティ対策では対応できません。.htaccessに日本国内のIPアドレスを全て記載してそれ以外のIPアドレスはアクセス制限を行います。