 |
「セキュリティ保護なし」って何?? 解消するにはどうすればいいの? レンタルサーバーで出来るセキュリティって? |
この記事では、「セキュリティ保護なし」の説明と、レンタスサーバーのxサーバーを例に解消方法を紹介とレンタルサーバーからできるセキュリティについて紹介していきます。
- 1 「セキュリティ保護なし」は危険
- 2 「https://」(SSL設定済み)にしないとWebサイトが正常に表示されない
- 3 「独自SSL」と「無料SSL」との違い
- 4 エックスサーバー独自SSL(無料)の手順
- 5 無料SSL設定したのに?!「セキュリティ保護なし」に
- 6 Xseverでブログのセキュリティ対策/WordPressセキュリティ設定
- 7 XSERVERでブログのセキュリティ対策/WordPressセキュリティの設定手順
- 8 XSERVERでブログのセキュリティ対策/WAF設定とは
- 9 XSERVERでブログのセキュリティ対策/WAF設定手順
- 10 【Xserver】無料SSL設定♪「セキュリティ保護なし」を解消 まとめ
「セキュリティ保護なし」は危険
「http://」から始まるアドレスを使用している場合は「セキュリティ保護なし」と表示されます。
「セキュリティ保護なし」が表示されているという事は、データが暗号化(SSL)されておらず悪意を持った第三者に情報をとられる危険がある状態という事なのです。
「https://」(SSL設定済み)にしないとWebサイトが正常に表示されない
Googleは2019年12月から2020年2月にかけて、Google Chromeに対してWebサイト内の「HTTP」コンテンツがブロックされるよう段階的な仕様変更を行いました。
「HTTP://」だと検索結果に表示されないという事が発生するのです。( ̄▽ ̄;)
「https://」(SSL設定済)は送信される重要な情報の改ざんを防ぐ
SSL(Secure Sockets Layer)とは、自分のPCで使用しているWEBブラウザとインターネット上のサーバーとの間の情報のやり取りを暗号化し、送受信させる仕組みのことです。
インターネット上で頻繁に送受信される氏名・住所・メールアドレスなどの個人情報や、ショッピングの決済に必要なクレジットカード情報、ログインに必要なID・パスワードといった情報は、常に悪意ある第三者から狙われております。
SSLは、これらの重要な情報を、悪意ある第三者による盗聴を防いだり、送信される重要な情報の改ざんを防ぐ役割を持っています。
参照元: フリー百科事典『ウィキペディア(Wikipedia)』
「独自SSL」と「無料SSL」との違い
レンタルサーバー2社のSSLについてをちょこっとだけ紹介します。
2社とも無料独自SSLのブランドは同じです。
Xserverのオプション独自SSLは数個あるブランドから選べます。(年間1000円~も有り)
レンタルサーバー「Xserver」
「無料独自SSL」は、当サービスに設置するWebサイトを対象に、SNI SSL(ネームベース)で提供する【無料・無制限】で利用可能な独自SSLです。
SSLサーバー証明書ブランドに「Let’s Encrypt」を採用し、証明書の更新も当サポートで実施いたします。「オプション独自SSL」は、著名ブランドのSSLサーバー証明書を選択することが可能で、 Webサイト上に設置することでSSLが有効であることをPRできる「サイトシール」や、SSLタイプとしてIPアドレスベースも利用可能な有料の独自SSLです。
参照元:エックスサーバー
レンタルサーバー「ConoHa」
「無料独自SSL」についてはSSLサーバー証明書ブランドに「Let’s Encrypt」を採用したSNI SSL(ネームベース)で提供するSSLとなります。
参照元:ConohHa
「オプション独自SSL」にはGMO Global Sign社のクイック認証SSLを採用しております。
読んでわかりますか?( ̄▽ ̄;)
難しい説明ばかり書いてしまいました。
クリックしてみてください。
そのサイトの証明書を見ることが出来ます。
無料SSLはドメインの契約者の同意がありばオンライン上で簡単に作成できてしまうもの。
有料SSLは審査が厳しく行われてるため「なりすまし」など防げるため信頼性が高い証明書が作成されるという事です。
エックスサーバー独自SSL(無料)の手順
サーバーパネルにログインしてください。
SSL設定画面が表示されます。
SSL設定したいドメインの右横にある「選択する」をクリックしてください。
「SSL設定一覧」が表示されていますので、横の「独自SSL設定追加」タブをクリックしてください。
サイトにSSL設定をしたいドメインが表示されているか確認してください。
もし、表示されてない場合は、横の「v」をクリックして設定したいドメインを選択してください。
「確認画面へ進む」をクリックした後「追加する」をクリックしてください。
無料SSL設定したのに?!「セキュリティ保護なし」に
設定したのにも関わらず、「セキュリティ保護ない」になったら驚きますよね(;^_^A
Google chromeは大丈夫なのに、Microsoft edgeでブログを見ていたら「セキュリティ保護なし」と表示されて焦りました。
その時は、使用している画像の中に「http://」からはじまるものが1枚だけありました( ノД
)確認する項目
サイトすべてが「」セキュリティ保護なし」ではなく、特定のページのみの場合は画像を疑ってください。
自分が登録した画像はもちろんなのですが、テーマについている画像を確かめてみてください。(私&友人体験談です(笑))
SSL化する前に画像をアップロードしていませんでしたか?
「メディア」→「ライブラリ」で画像一覧が見れますので、画像の下の「編集」をクリックしてみてください。
ファイルのURLが表示されていますので、「http://」になっていないか確認してください。
テーマの画像だった場合は着せ替えをし直して画像をもう一度インストールしてください。
Xseverでブログのセキュリティ対策/WordPressセキュリティ設定
XseverではWordPressセキュリティ設定を3種類準備されいます。
それぞれのセキュリティ項目の意味を簡単に説明した後に、設定の説明をします(^^♪
| ・国外IPからのアクセスを制限する設定 ・ログイン試行回数制限 ・コメント・トラックバック制限設定 |
上から2つについては初期設定でONになっていますが、「国外IPアドレスからのコメント・トラックバック制限」は初期設定でOFFになっています。
国外IPアドレスからのコメント・トラックバックが必要ないと思われる方は、早めにONに変更することをオススメします。
国外IPからのアクセスを制限する設定について
国外IPアドレスからの接続を制限します。
国外IPアドレスからのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防いでくれます。
自分が国外からアクセスをする場合はOFFにしないと編集や保存が出来ないので気を付けてください( ̄▽ ̄;) そら 初期状態はONになっています(^^♪ うみ 国外IPアドレスからのアクセスと誤認された場合はマニュアルの設定手順に従って、制限を解除してください。
詳しくはこちらで確認して下さい。
DDoS攻撃とは
乗っ取られたマシン(踏み台)から、対象となるマシンに一斉にアクセスする攻撃をいいます。
大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack)という類型がある。
DDoS攻撃は、複数のシステムを使用して、サーバー、ネットワークデバイス、またはトラフィックとリンクして、利用可能なリソースを圧倒し、正当なユーザーに応答できないようにする攻撃である
参照元:フリー百科事典『ウィキペディア(Wikipedia) 自分が知らないうちに加害者にならないように、セキュリティに気を付けましょう( ̄▽ ̄;)
ダッシュボードの アクセスを制限
ダッシュボードに対する国外IPアドレスからの接続を制限します。
XML-RPC APIの アクセスを制限
「XML-RPC WordPress API」に対する国外IPアドレスからの接続を制限します。
| 「XML-RPC WordPress API」とは スマートフォンアプリや外部システムなどからの、記事の投稿や画像のアップロードを行う際に利用されるAPI(何かと何かをつなぐために作られたインターフェース)です。 |
☆制限の対象外
プラグイン「Jetpack by WordPress.com」は制限の対象外です。
REST API のアクセスを制限
「REST API」に対する国外IPアドレスからの接続を制限します。
☆制限の対象外
プラグイン「Jetpack by WordPress.com」は制限の対象外です。
ログイン試行回数制限設定について
パスワード総当り(ブルートフォースアタック)による不正アクセスを防止してくれます。
※アクセス制限は、制限されてから24時間後に解除されます。 そら 初期状態はONになっています(^^♪
パスワードを忘れて総攻撃を自分でしてしまった場合、自分が制限されてダッシュボードにログインできなくなります。
その場合はこの設定をOFFに変更し、パスワードを確認後もう一度ログインしてください。
その後再度設定をONに変更してください。
そらは一度だけ自分で総攻撃をしてしまい制限がかかって焦りました。
何回間違えたかは忘れましたが( ̄▽ ̄;)
パスワードあってると思って打ち込んでいたので、タイピングミス??と思いながら総攻撃してしまいました。
コメント・トラックバック制限設定について
コメント投稿やトラックバックを制限してくれます。
| ・大量コメント・トラックバック制限 ・国外IPアドレスからのコメント・トラックバック制限 |
大量コメント・トラックバック制限
大量のコメントやトラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限してくれます。
☆6時間が経過した後、制限は自動的に解除されます。 そら 初期状態はONになっています(^^♪
国外IPアドレスからのコメント・トラックバック制限
国外IPアドレスからのコメント投稿、またはトラックバックを制限してくれます。 うみ 初期状態はOFFになっています(^^♪ 国外IPアドレスからのコメント・トラバックが必要ないと思う時は、この設定をONに変更します。 コメントについては、この他にwordpressの方でも制限が出来ますので、そちらの設定もすることをオススメします。
>>>【ザ・トール】スパムコメント対策♪非表示設定紹介
XSERVERでブログのセキュリティ対策/WordPressセキュリティの設定手順
サーバーパネルにログインして「WordPressセキュリティ設定」をクリックします。
ドメイン選択画面が表示されますので、変更したいドメインの右横にある「選択する」をクリックします。
XSERVERのwordpressセキュリティ制限設定の変更
それぞれの現在の設定を確認後、右側にあるラジオボタンのいずれかを選択してください。
選択した後に下にある「設定する」のボタンをクリックしてください。
XSERVERでブログのセキュリティ対策/WAF設定とは
携帯でよく聞く「ファイアウォール」のWeb版になります♪
xserverでは不正なアクセスを検知し遮断するWAF(Webアプリケーションファイアウォール)を設定することができます。
半角英字を使用したときなど、自分も引っかかる場合があるのでちょっと大変になります。
でも、このWAF設定をすることで不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を向上することができるので私はすべてONしにしています。
でも、WAF設定は、有害な可能性のあるアクセスを100%駆除を保証してくれるものではありません。
あくまでもWebアプリケーションの脆弱性に対する不正アクセスへの最低限の予防策。
この予防策プラス、セキュリティソフトを使用する。
そして、つねに最新バージョンのアプリケーションを使用する事がとても大事なのです。
WAF設定は厳格なルールに従って不正アクセスを判断するため、ご利用のWebアプリケーションの動作についても影響を与える可能性がありますのであらかじめご了承ください。
6種類あるWAF設定
| ・XSS (クロスサイトスクリプティング) ・SQL (SQLインジェクション) ・ファイル (ファイル不正アクセス) ・メール (メールの不正送信) ・コマンド (コマンドアクセス/実行) ・PHP (PHP関数の脆弱性) |
WAF設定1/XSS (クロスサイトスクリプティング)
javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知してくれます。
・クッキーの値を不正に取得、設定しセッションハイジャックを行ってる
・CSRF(クロスサイトリクエストフォージェリ)の踏み台としている
・URL等を偽装し利用者をフィッシングサイトへ誘導している
参照元:XSEVERマニュアル
WAF設定2/SQL (SQLインジェクション)
SQL構文に該当する文字列が挿入されたアクセスについて検知してくれます。
・SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する
・データベース情報の漏洩を試みる
・データベースの情報の書き換えや破壊を試みる
参照元:XSEVERマニュアル
WAF設定3/ファイル (ファイル不正アクセス)
.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知してくれます。
・パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行う
・サーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる
参照元:XSEVERマニュアル
WAF設定4/メール (メールの不正送信)
to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
メールが送信されるフォームを利用した第三者への大量メール送信が行われる
参照元:XSEVERマニュアル
WAF設定5/コマンド (コマンドアクセス/実行)
kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
・コマンドを実行できるスクリプト言語(PHP、PERL等)を通してコマンドを不正実行させる
・サーバーに関する重要な情報の盗み見や、踏み台として利用する
参照元:XSEVERマニュアル
WAF設定6/PHP (PHP関数の脆弱性)
SESSIONファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。
・セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り
・不正ファイルのアップロードを踏み台にサーバーの乗っ取り
参照元:XSEVERマニュアル
XSERVERでブログのセキュリティ対策/WAF設定手順
WAF設定は厳格なルールに従って不正アクセスを判断します。
ご利用のWebアプリケーションの動作についても影響を与える可能性があります。
ドメイン選択画面が表示されますので、変更したいドメインの右横にある「選択する」をクリックします。
設定したい項目を「ON」にした後、「確認画面へ進む」をクリックしてください。
確認画面が表示されたら、「設定する」をクリックしてください。
【Xserver】無料SSL設定♪「セキュリティ保護なし」を解消 まとめ
ブログの初期設定終了後、SSL設定を忘れずにすることをオススメします。
SSL設定する前に画像をアップロードした場合は要注意です。
画像が「http://」になっているかも?!。
画像を沢山保存してから、「http://」からはじまる画像を探すのは大変でした( ノД)シクシク…
Googleアドセンスを申請するなら、必ずSSL設定をしましょう(^^♪
ランキングサイトに登録しているのでクリックしていただけると嬉しいです(^^♪
