【Xservse】レンタルサーバーから出来るブログのセキュリティの話♪

スパムや乗っ取りなど、メディアで耳にすることもあると思います。

ブログを始める時って、セキュリティが気になりますよね( ̄▽ ̄;)

自分で出来るセキュリティは、しっかり対策をすることをオススメします♪

ここではレンタルサーバー側で出来るセキュリティ設定の紹介をします。

wordpressの管理者ユーザーIDをかくしたい方は↓の記事で紹介しています。

>>>プラグイン【ワードプレス】ユーザー名を隠したい?セキュリティ♪

Xseverでブログのセキュリティ対策/WordPressセキュリティ設定

XseverではWordPressセキュリティ設定を3種類準備されいます。

それぞれのセキュリティ項目の意味を簡単に説明した後に、設定の説明をします(^^♪

・国外IPからのアクセスを制限する設定

・ログイン試行回数制限

・コメント・トラックバック制限設定

上から2つについては初期設定でONになっていますが、「国外IPアドレスからのコメント・トラックバック制限」は初期設定でOFFになっています。

国外IPアドレスからのコメント・トラックバックが必要ないと思われる方は、早めにONに変更することをオススメします。

 

 

 

国外IPからのアクセスを制限する設定について

 国外IPアドレスからの接続を制限します。

国外IPアドレスからのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防いでくれます。

自分が国外からアクセスをする場合はOFFにしないと編集や保存が出来ないので気を付けてください( ̄▽ ̄;)

 

そら
初期状態はONになっています(^^♪
うみ
国外IPアドレスからのアクセスと誤認された場合はマニュアルの設定手順に従って、制限を解除してください。

詳しくはこちらで確認して下さい。

DDoS攻撃とは

乗っ取られたマシン(踏み台)から、対象となるマシンに一斉にアクセスする攻撃をいいます。

大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃Distributed Denial of Service attack)という類型がある。

DDoS攻撃は、複数のシステムを使用して、サーバー、ネットワークデバイス、またはトラフィックとリンクして、利用可能なリソースを圧倒し、正当なユーザーに応答できないようにする攻撃である

参照元:フリー百科事典『ウィキペディア(Wikipedia)
自分が知らないうちに加害者にならないように、セキュリティに気を付けましょう( ̄▽ ̄;)

ダッシュボードの アクセスを制限

ダッシュボードに対する国外IPアドレスからの接続を制限します。

XML-RPC APIの アクセスを制限

「XML-RPC WordPress API」に対する国外IPアドレスからの接続を制限します。

「XML-RPC WordPress API」とは

スマートフォンアプリや外部システムなどからの、記事の投稿や画像のアップロードを行う際に利用されるAPI(何かと何かをつなぐために作られたインターフェース)です。

☆制限の対象外

プラグイン「Jetpack by WordPress.com」は制限の対象外です。

REST API のアクセスを制限

「REST API」に対する国外IPアドレスからの接続を制限します。

☆制限の対象外

プラグイン「Jetpack by WordPress.com」は制限の対象外です。

ログイン試行回数制限設定について

パスワード総当り(ブルートフォースアタック)による不正アクセスを防止してくれます。

※アクセス制限は、制限されてから24時間後に解除されます。

そら
初期状態はONになっています(^^♪

パスワードを忘れて総攻撃を自分でしてしまった場合、自分が制限されてダッシュボードにログインできなくなります。

その場合はこの設定をOFFに変更し、パスワードを確認後もう一度ログインしてください。

その後再度設定をONに変更してください。

そらは一度だけ自分で総攻撃をしてしまい制限がかかって焦りました。

何回間違えたかは忘れましたが( ̄▽ ̄;)

パスワードあってると思って打ち込んでいたので、タイピングミス??と思いながら総攻撃してしまいました。

コメント投稿やトラックバックを制限してくれます。

・大量コメント・トラックバック制限

・国外IPアドレスからのコメント・トラックバック制限

大量コメント・トラックバック制限

大量のコメントやトラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限してくれます。

☆6時間が経過した後、制限は自動的に解除されます。

そら
初期状態はONになっています(^^♪

国外IPアドレスからのコメント・トラックバック制限

国外IPアドレスからのコメント投稿、またはトラックバックを制限してくれます。

うみ
初期状態はOFFになっています(^^♪
国外IPアドレスからのコメント・トラバックが必要ないと思う時は、この設定をONに変更します。
コメントについては、この他にwordpressの方でも制限が出来ますので、そちらの設定もすることをオススメします。
>>>【ザ・トール】スパムコメント対策♪非表示設定紹介

XSERVERでブログのセキュリティ対策/WordPressセキュリティの設定手順

サーバーパネルにログインして「WordPressセキュリティ設定」をクリックします。

ドメイン選択画面が表示されますので、変更したいドメインの右横にある「選択する」をクリックします。

XSERVERのwordpressセキュリティ制限設定の変更

それぞれの現在の設定を確認後、右側にあるラジオボタンのいずれかを選択してください。

選択した後に下にある「設定する」のボタンをクリックしてください。

 

XSERVERでブログのセキュリティ対策/WAF設定とは

携帯でよく聞く「ファイアウォール」のWeb版になります♪

xserverでは不正なアクセスを検知し遮断するWAF(Webアプリケーションファイアウォール)を設定することができます。

半角英字を使用したときなど、自分も引っかかる場合があるのでちょっと大変になります。

でも、このWAF設定をすることで不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を向上することができるので私はすべてONしにしています。

 

でも、WAF設定は、有害な可能性のあるアクセスを100%駆除を保証してくれるものではありません。

あくまでもWebアプリケーションの脆弱性に対する不正アクセスへの最低限の予防策

この予防策プラス、セキュリティソフトを使用する。

そして、つねに最新バージョンのアプリケーションを使用する事がとても大事なのです。

WAF設定は厳格なルールに従って不正アクセスを判断するため、ご利用のWebアプリケーションの動作についても影響を与える可能性がありますのであらかじめご了承ください。

参照元:Xserverヘルプ

6種類あるWAF設定

・XSS (クロスサイトスクリプティング)

・SQL (SQLインジェクション)

・ファイル (ファイル不正アクセス)

・メール (メールの不正送信)

・コマンド (コマンドアクセス/実行)

・PHP (PHP関数の脆弱性)

 

WAF設定1/XSS (クロスサイトスクリプティング)

javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知してくれます。

・クッキーの値を不正に取得、設定しセッションハイジャックを行ってる

・CSRF(クロスサイトリクエストフォージェリ)の踏み台としている

・URL等を偽装し利用者をフィッシングサイトへ誘導している

参照元:XSEVERマニュアル

WAF設定2/SQL (SQLインジェクション)

SQL構文に該当する文字列が挿入されたアクセスについて検知してくれます。

・SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する

・データベース情報の漏洩を試みる

・データベースの情報の書き換えや破壊を試みる

参照元:XSEVERマニュアル

WAF設定3/ファイル (ファイル不正アクセス)

.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知してくれます。

・パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行う

・サーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる

参照元:XSEVERマニュアル

WAF設定4/メール (メールの不正送信)

to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。

メールが送信されるフォームを利用した第三者への大量メール送信が行われる

参照元:XSEVERマニュアル

WAF設定5/コマンド (コマンドアクセス/実行)

kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。

・コマンドを実行できるスクリプト言語(PHP、PERL等)を通してコマンドを不正実行させる

・サーバーに関する重要な情報の盗み見や、踏み台として利用する

参照元:XSEVERマニュアル

WAF設定6/PHP (PHP関数の脆弱性)

SESSIONファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。

・セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り

・不正ファイルのアップロードを踏み台にサーバーの乗っ取り

参照元:XSEVERマニュアル

XSERVERでブログのセキュリティ対策/WAF設定手順

WAF設定は厳格なルールに従って不正アクセスを判断します。

ご利用のWebアプリケーションの動作についても影響を与える可能性があります。

ドメイン選択画面が表示されますので、変更したいドメインの右横にある「選択する」をクリックします。

設定したい項目を「ON」にした後、「確認画面へ進む」をクリックしてください。

確認画面が表示されたら、「設定する」をクリックしてください。

【Xservser】ブログのセキュリティの話(^^♪ まとめ

Xservserのセキュリティを見ると、国外からの攻撃が多く、そして怖いものだというのがよくわかります。

国外IP対策ばかりなので・・・。

セキュリティ強化の対策は、すべてを常に最新にしておくことだと思います。

自分のマシンのWINDOWSを常にアップデートして最新バージョンにする。

使っているソフトは常に最新にする。

など、wordpressやプラグインを最新のものにするとともに自分のマシンのアプリケーションも最新の状態を心掛けましょう♪

Googleのセキュリティ対策も必ずしておきましょう(^^♪

Googleアカウントの乗っ取りも怖いです( ̄▽ ̄;)

 

/TOOL/TOP/THE THOR

最新情報をチェックしよう!