こんにちは、なおきです。
あなたのサイトやブログは本当に安全でしょうか?
ブログ運営をしている方なら一度は疑問に思ったことがあるかと思います。
- 自分のサイトは不正アクセスの被害になっていないか?
- 海外から不正に乗っ取りがあったら怖い
まず始めに下の画像を見てください。
3月だけ異常にページビューが伸びていることが分かります。月間83774ビュー...ほかの月と比べても異常に高い数値です。
上記は不正アクセスだとわかりやすいですが、実は1月、2月にも不正アクセスがあったんです。下の画像を見てみると分かります。xmlrpc.phpというファイルにやたらとアクセスが多く集まっています。メールから画像を投稿できる機能を悪用した手口...
不正アクセスは身近なところに潜んでいます。
この記事では、『アクセス解析の仕方』と『海外からのアクセス』、そして『コメントの無効』の方法を紹介します。画像付きで解説するので安心してください。
- 不正アクセスを解析する方法を知りたい
- サイトの安全性を高めるノウハウを探している
- プログラミングとか出来ないけどサイトの安全性は高められたらいいな
実際に狙われているページをXserverのアクセス解析でチェック
アクセス解析をするには、Xserverのサーバーパネルを使います。
まずはXserverのサーバーパネルにログインしましょう。
【不正アクセスの確認】Xserverのアクセス解析の仕方
サーバーパネルにログイン後、
アクセス解析の項目から「アクセス解析」を選択。その後ドメインの選択画面が出るので解析を見たいドメインを選択しましょう。
という方はアクセス解析を追加する必要性が出てきます。やり方は画像の通りに従っていけば簡単。
ここで残念なお知らせです。アクセス解析のドメインを追加したばかりの方はサイトの運営状態によってはすぐに解析画面を確認できません。ただ運用歴が6ヶ月以上の方は統計が溜まっている可能性があります。
その場合は管理画面のリンクをクリック。全体の統計の項目の下にある「ページ別」をクリック。いくつかの項目に注意して確認してください。
中でも「/xmrpc.php」にアクセスが異常に集まっている場合狙われている可能性があります。
これからサイトの安全性を高める4つの施策を紹介していきます。
Xserverとプラグインで安全性を高める施策4つ
海外からのアクセスはほとんど不正なアクセスが狙いの可能性が高いです。そのため、アクセス自体をブロックするのも有効な手段です。ただ万が一海外の読者が多い場合読者を失う可能性があるのでその点には注意してください。
また、仮に国内からのアクセスであっても、不正な操作ができないような設定に変える必要があります。
ポイント
Xserverからセキュリティを強化する設定は大きく分類して3つ。
- WAF設定をして、不正プログラムに対応
- Xserverセキュリティ設定で管理画面へのアクセスを禁止
- phpファイルへのアクセス禁止で、プログラムの実行を防ぐ
WAF設定をして、不正プログラムに対応
サーバーパネル内のセキュリティから「WAF設定」を選択する
ドメインを選択すると、設定項目に飛ばされます。そしたら全ての設定を有効にします。
その後、「確認画面へ進む」→「設定する」を順番にクリックしましょう。設定が終わると「WAF設定の変更が完了しました」と表記され反映待ちと表記されます。
全てのWAF設定の反映までに1時間ほど掛かります。
Xserverセキュリティ設定の操作手順
次はWordpressの項目から「Wordpressセキュリティ設定」を選択します。ここからは、コメントや編集、国外からのアクセス、ログインなどの対策をしていきますよ。
下記の画像のとおりに、設定を変更すれば完了です。
現時点で、海外に住んでいる方は「ダッシュボードアクセス 制限」と 「REST APIアクセス制限」をOFFにしてください。
Xserverは日本のレンタルサーバーなので、海外からのアクセスを禁止した場合、管理者自体もアクセスできなくなってしまいますから。
PHPファイルへのアクセス禁止
ホームページの「hta.ccess編集」を選択。
ドメイン選択から現在使っている、ドメインを選択します。
追加するコード
<files xmlrpc.php>
Order allow,deny
Deny from all
</files>
引用元:エックスサーバーのアクセス解析を徹底分析! 解析で役立つポイント (https://pasonal.com/xserver-how-to-use-analysis/#i)
このコードを「htaccess」に貼り付けると第三者によるメールからの画像アップロードを利用した脆弱性に対策できます。筆者もページ別のアクセス解析画面をチェックした結果「xmlrpc」へのアクセスが非常に多かった...。
これで、Xserverでサイトの安全性を高める設定は一旦終わりになります。
ログインURLを変更できるプラグイン SiteGuard WP Plugin
SiteGuard WP Pluginは日本のセキュリティ会社が提供している国産のプラグインです。
どんなような設定ができるのか実際に見てみましょう。
画像のとおりでして、正しいログイン情報を入力しても一回失敗する「フェールワンス」やログイン通知をメールで知らせる「ログインアラート」、そして「ログインページ変更」などがあります。
セキュリティの都合上全ての行程を記事ではお見せできませんが、SiteGuard WP Pluginをインストール & 有効化したあと、下記の画像にしたがって設定を進めてみてください。
変更後のログインページ名にお好きな英数字、ハイフン、アンダーバーのいずれかを入力してください。また忘れないように「変更を保存」する前にログインページをメモっておきましょう。
終わりに:サイトの安全性を高めて、ブログ運営を楽しもう
今回は、Webサイトのセキュリティを高める方法を『コメントの無効』、『海外からのアクセス禁止』『ログインURLを変更』の3つを主に解説しました。
実践することで不正を試みたアクセスの数は減るかと思います。Webサイトの安全性は常に高めていく必要があります。そのためにも、WordpressやPHPのバージョン、有料 or 無料テーマ、プラグインは常に更新していきましょう。