スパムや乗っ取りなど、メディアで耳にすることもあると思います。
ブログを始める時って、セキュリティが気になりますよね( ̄▽ ̄;)
自分で出来るセキュリティは、しっかり対策をすることをオススメします♪
ここではレンタルサーバー側で出来るセキュリティ設定の紹介をします。
wordpressの管理者ユーザーIDをかくしたい方は↓の記事で紹介しています。
>>>プラグイン【ワードプレス】ユーザー名を隠したい?セキュリティ♪
Xseverでブログのセキュリティ対策/WordPressセキュリティ設定
XseverではWordPressセキュリティ設定を3種類準備されいます。
それぞれのセキュリティ項目の意味を簡単に説明した後に、設定の説明をします(^^♪
| ・国外IPからのアクセスを制限する設定 ・ログイン試行回数制限 ・コメント・トラックバック制限設定 |
上から2つについては初期設定でONになっていますが、「国外IPアドレスからのコメント・トラックバック制限」は初期設定でOFFになっています。
国外IPアドレスからのコメント・トラックバックが必要ないと思われる方は、早めにONに変更することをオススメします。
国外IPからのアクセスを制限する設定について
国外IPアドレスからの接続を制限します。
国外IPアドレスからのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防いでくれます。
自分が国外からアクセスをする場合はOFFにしないと編集や保存が出来ないので気を付けてください( ̄▽ ̄;)
詳しくはこちらで確認して下さい。
DDoS攻撃とは
乗っ取られたマシン(踏み台)から、対象となるマシンに一斉にアクセスする攻撃をいいます。
大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack)という類型がある。
DDoS攻撃は、複数のシステムを使用して、サーバー、ネットワークデバイス、またはトラフィックとリンクして、利用可能なリソースを圧倒し、正当なユーザーに応答できないようにする攻撃である
ダッシュボードの アクセスを制限
ダッシュボードに対する国外IPアドレスからの接続を制限します。
XML-RPC APIの アクセスを制限
「XML-RPC WordPress API」に対する国外IPアドレスからの接続を制限します。
| 「XML-RPC WordPress API」とは スマートフォンアプリや外部システムなどからの、記事の投稿や画像のアップロードを行う際に利用されるAPI(何かと何かをつなぐために作られたインターフェース)です。 |
☆制限の対象外
プラグイン「Jetpack by WordPress.com」は制限の対象外です。
REST API のアクセスを制限
「REST API」に対する国外IPアドレスからの接続を制限します。
☆制限の対象外
プラグイン「Jetpack by WordPress.com」は制限の対象外です。
ログイン試行回数制限設定について
パスワード総当り(ブルートフォースアタック)による不正アクセスを防止してくれます。
※アクセス制限は、制限されてから24時間後に解除されます。
パスワードを忘れて総攻撃を自分でしてしまった場合、自分が制限されてダッシュボードにログインできなくなります。
その場合はこの設定をOFFに変更し、パスワードを確認後もう一度ログインしてください。
その後再度設定をONに変更してください。
そらは一度だけ自分で総攻撃をしてしまい制限がかかって焦りました。
何回間違えたかは忘れましたが( ̄▽ ̄;)
パスワードあってると思って打ち込んでいたので、タイピングミス??と思いながら総攻撃してしまいました。
コメント・トラックバック制限設定について
コメント投稿やトラックバックを制限してくれます。
| ・大量コメント・トラックバック制限 ・国外IPアドレスからのコメント・トラックバック制限 |
大量コメント・トラックバック制限
大量のコメントやトラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限してくれます。
☆6時間が経過した後、制限は自動的に解除されます。
国外IPアドレスからのコメント・トラックバック制限
国外IPアドレスからのコメント投稿、またはトラックバックを制限してくれます。
>>>【ザ・トール】スパムコメント対策♪非表示設定紹介
XSERVERでブログのセキュリティ対策/WordPressセキュリティの設定手順
サーバーパネルにログインして「WordPressセキュリティ設定」をクリックします。
ドメイン選択画面が表示されますので、変更したいドメインの右横にある「選択する」をクリックします。
XSERVERのwordpressセキュリティ制限設定の変更
それぞれの現在の設定を確認後、右側にあるラジオボタンのいずれかを選択してください。
選択した後に下にある「設定する」のボタンをクリックしてください。
XSERVERでブログのセキュリティ対策/WAF設定とは
携帯でよく聞く「ファイアウォール」のWeb版になります♪
xserverでは不正なアクセスを検知し遮断するWAF(Webアプリケーションファイアウォール)を設定することができます。
半角英字を使用したときなど、自分も引っかかる場合があるのでちょっと大変になります。
でも、このWAF設定をすることで不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を向上することができるので私はすべてONしにしています。
でも、WAF設定は、有害な可能性のあるアクセスを100%駆除を保証してくれるものではありません。
あくまでもWebアプリケーションの脆弱性に対する不正アクセスへの最低限の予防策。
この予防策プラス、セキュリティソフトを使用する。
そして、つねに最新バージョンのアプリケーションを使用する事がとても大事なのです。
WAF設定は厳格なルールに従って不正アクセスを判断するため、ご利用のWebアプリケーションの動作についても影響を与える可能性がありますのであらかじめご了承ください。
6種類あるWAF設定
| ・XSS (クロスサイトスクリプティング) ・SQL (SQLインジェクション) ・ファイル (ファイル不正アクセス) ・メール (メールの不正送信) ・コマンド (コマンドアクセス/実行) ・PHP (PHP関数の脆弱性) |
WAF設定1/XSS (クロスサイトスクリプティング)
javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知してくれます。
・クッキーの値を不正に取得、設定しセッションハイジャックを行ってる
・CSRF(クロスサイトリクエストフォージェリ)の踏み台としている
・URL等を偽装し利用者をフィッシングサイトへ誘導している
参照元:XSEVERマニュアル
WAF設定2/SQL (SQLインジェクション)
SQL構文に該当する文字列が挿入されたアクセスについて検知してくれます。
・SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する
・データベース情報の漏洩を試みる
・データベースの情報の書き換えや破壊を試みる
WAF設定3/ファイル (ファイル不正アクセス)
.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知してくれます。
・パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行う
・サーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる
参照元:XSEVERマニュアル
WAF設定4/メール (メールの不正送信)
to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
メールが送信されるフォームを利用した第三者への大量メール送信が行われる
参照元:XSEVERマニュアル
WAF設定5/コマンド (コマンドアクセス/実行)
kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
・コマンドを実行できるスクリプト言語(PHP、PERL等)を通してコマンドを不正実行させる
・サーバーに関する重要な情報の盗み見や、踏み台として利用する
参照元:XSEVERマニュアル
WAF設定6/PHP (PHP関数の脆弱性)
SESSIONファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。
・セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り
・不正ファイルのアップロードを踏み台にサーバーの乗っ取り
参照元:XSEVERマニュアル
XSERVERでブログのセキュリティ対策/WAF設定手順
WAF設定は厳格なルールに従って不正アクセスを判断します。
ご利用のWebアプリケーションの動作についても影響を与える可能性があります。
ドメイン選択画面が表示されますので、変更したいドメインの右横にある「選択する」をクリックします。
設定したい項目を「ON」にした後、「確認画面へ進む」をクリックしてください。
確認画面が表示されたら、「設定する」をクリックしてください。
【Xservser】ブログのセキュリティの話(^^♪ まとめ
Xservserのセキュリティを見ると、国外からの攻撃が多く、そして怖いものだというのがよくわかります。
国外IP対策ばかりなので・・・。
セキュリティ強化の対策は、すべてを常に最新にしておくことだと思います。
自分のマシンのWINDOWSを常にアップデートして最新バージョンにする。
使っているソフトは常に最新にする。
など、wordpressやプラグインを最新のものにするとともに自分のマシンのアプリケーションも最新の状態を心掛けましょう♪
Googleのセキュリティ対策も必ずしておきましょう(^^♪
Googleアカウントの乗っ取りも怖いです( ̄▽ ̄;)
WordPressのスパム対策に興味がある方は下の記事をどうぞ♪
THE THORのお問い合わせをカスタマイズしてスパム対策してみた
【ザ・トール】スパムコメント対策&コメント非表示設定を紹介♪
ランキングに参加しているのでバナーをクリックしていただけると嬉しいです♪
人気ブログランキング
私が個人でAmazonアソシエイトに応募して落ちましたが、「もしもアフェリエイト」を通して申請したら合格しました。
もしもからの申請も保険と思ってしておきましょう♪
A8.netは広告主数・登録サイト数共に日本最大級のアフィリエイトサービスプロバイダーです。
ここもおすすめ♪アフェリエイトの会社によって、扱っている商品は違ったり、又、同じ商品でも成約金額が違う場合があるので複数の登録をお勧めします(^^)/
