この記事は約9分で読めます。
本文は約5299文字です
2023年 鉄板のセキュリティ対策でWordPressサイトをハッキングから守る!
アフィリエイターの皆さんは、レンタルサーバーを借りてアフィリエイトサイトを運営している人は多いと思います。
そして、一つのサーバーで多くのサイト(ドメイン)を運用しているのではないでしょうか?
WordPressサイトのハイジャックや改竄被害は世界中で起きています。
特に、日本のサーバーは世界中から狙われています。
サイトに不正ログインされたり改竄被害にあわないために一番良い対策はなんでしょうか?
それは、サーバーレベルで対応することです。
サーバーレベルでセキュリティ対策が万全であればいいのですが、利用しているサーバーによってセキュリティ対策はまちまちです。
多くのサイトが入っているサーバーの場合は、一つのサイトから不正アクセスを許してしまうとすべてのサイトが改ざん被害にあい、復旧するのに時間もお金もかかります。
この記事では、サーバーレベルのセキュリティ対策とサイトレベルのセキュリティ対策の方法についてご紹介します。
目次
なぜ日本のサーバーは改竄被害に弱いか?
サーバーレベルで必要なセキュリティ対策
サーバーレベルで必要なセキュリティ対策は以下の4つだと言われています。
改竄被害を避けるには、この4つのセキュリティ対策が行われてるサーバーを選ぶべきです。
- WAF(Web Application Firewall)
- IDS(Intrusion Detection System):不正侵入検知システム
- IPS(Intrusion Prevention System):不正侵入防止システム
- Web改ざん通知
cPanelがセキュリティ対策に強い理由
日本のレンタルサーバーが改竄被害が多い原因の1つは、世界標準のcPanelを使っていないレンタルサーバーが多いことが挙げられます。
cPanelには有料オプションでマルウェアスキャンと駆除を行うimunify360が利用できます。
imunify360は、サーバーレベルで必要な4つのセキュリティ対策を全てカバーしています。
国内のcPanelを利用しているサーバーは、imunify360が無料で使えるものがあります。
代表的な例では、mixhostとカラフルボックスはcPanelでimunify360が無料で使えるサーバーです。
国内で人気のXserverやcPanelを利用できないサーバーでは、サーバーレベルのセキュリティ対策が弱いので、しっかりセキュリティ対策をする必要があります。
セキュリティを高めるのが基本の考え方
WordPressサイトのセキュリティを高める際の基本的な考え方を説明します。
WordPresssサイトがハッキングされるの2つの経路。
- セキュリティホールを突かれるケース
- パスワードの漏洩
この2つをガードすることがセキュリティ対策になります。
- WAF(Web Application Firewall)でセキュリティホールをガード
- パスワード総当たり攻撃に耐えられるようにする
①WAFを導入する
WAFとは、Web Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃への対策を行うものです。
WAFがあれば、Wordpressやプラグインなどに知られていない脆弱性があっても防げる可能性があります。
主要なレンタルサーバーにはWAF機能があります。
しかし、WAFが初期状態で有効かどうかはレンタルサーバーによって扱いが違います。
その影響でロリポップではWordpressのカスタマイズをしていると403になることが多いですが、改ざんの被害は少ないです。
その影響でXserverは改竄被害が絶えません。
Xserverでサーバーに不正アクセスがあった場合、Xserverに調査を依頼するとWAFをONに設定されます。このことから見てもXserverではWAFは必要なセキュリティ対策として重要と考えられており、確信犯であるといえます。
②ログインセキュリティを高める
ログインセキュリティを高めるには、第三者がが簡単にログインできないような仕組みが必要です。
ログインしにくくする
まず、パスワードですが、パスワードが簡単な場合やIDとパスワードが同じ場合は、簡単にログインされます。
例えパスワードを複雑にしても、総当たりでログインを試されてしまえば、いつか突破されてしまいます。
通常のログインフォームからのログインでは、ログイン失敗時にログインロックする機能を使うことで、総当たり攻撃でも突破されることはまずありません。
また、ログインURLを変更してしまえば、ID、パスワードが漏れたとしても、ログインURLもわからない限りログインされることはなくなります。
XML-RPCを無効にする
しかし、WordPressには別のログイン経路がある点も注意が必要です。
XML-RPCでログインされてしまうことがあるので、XML-RPCを無効化することが重要です。
WAF + Site Guardの組み合わせが基本対策
セキュリティ対策の基本は、WAFとログインセキュリティを高めることだと申し上げました。
不正ログインされにくくする仕組みを導入するには、Site Guardというプラグインが使えます。
それに倣って、WAFとSite Guardを組み合わせるというのが今までのセキュリティ対策のトレンドだったと思います。
BBQ Firewall + XO Securityの組み合わせがトレンドらしい
BBQ Firwall + XO Securityがセキュリティ対策のトレンドのようです。
しかし、WAF+Site Guardの組み合わせと比べて特に目新しい部分は無いので過度な期待はしない方がよいです。
BBQ Firewall
BBQ Firewallは、軽いWAF(Web Application Firewall)のプラグインです。
BBQ Firewallはこちらからダウンロード
WAFが利用できないサーバーの場合は簡単にWAFが導入できるプラグインということで人気があります。
BBQ Firewallは設定もなく、導入してもサイトも重くならないのが人気の理由かもしれません。
国内のサーバーでWAFが利用できないサーバーというのは実は少ないです。初期状態でWAFが有効になっているかどうかの差だけです。
WAFが利用できるサーバー
- Xserver
- Conoha WING
- さくらインターネット
- ロリポップ
国内の主要なサーバーはWAFが使えますので、WAFをONにしてあれば、BBQ Firewallは必要ないです。
WAFをONにするデメリットとして、管理画面でテーマのカスタマイズが保存できない、カスタマイザーが動かなくなったりするので、WAFが嫌いな人は多いと思います。
カスタマイズするときだけWAFをOFFにして、再度ONに戻すのも結構面倒なので、WAFをOFFにして利用している人も多いと思います。
BBQ FirewallはWAFをONにしたくない人には便利なプラグインといえます。
XO Security
XO SecurityはSite Guardの置き換えとして人気があります。
XO Securityのダウンロードはこちら
XO Securityはなぜ人気?
SIte Guardも機能的には十分なのですが、Site Guardのデメリットとして.htaccessを編集してログインURLの変更機能を実現している点があります。
Nginxには.htaccessが無いため、SiteGuardは使えません。
XO Securityで不要になるプラグイン
- Site Guard
- Edit Author Slug
国内のレンタルサーバーで.htaccessが使えないサーバーは無いと思うので、Site Guardが本当に使えないのはVPSやCloudサーバーでNginxを使う場合だけだと思います。
Edit Author slugが不要になるのはメリットかもしれませんが、XO Securityにはユーザー名でログインできなくする設定もありますので、そもそもuser名を隠すメリットはありません。
Site GuardにはWAFの除外ルールを設定できる機能があります。XO Securityには無い機能です。
WAFの除外ルールを適用したい場合は、Site Guardとの組み合わせが便利だと思います。
まとめ
cPanelを使っているサーバーでimunify360が有効になっていれば、サーバーレベルでの対策が強いので、それほど心配しなくてもよいのが現実です。
cPanelを使っていても、imunify360が使えない場合は、ほかのサーバーと同じく対策が必要です。
BBQ Firewallはいるのか?
WAFを有効にしていればBBQ Firewallは不要です。
ただし、『WAFが無いサーバー』や『WAFを有効にしないでサーバーを使用している場合』にはBBQ Firewallは有効です。
XO Securityはいるのか?
ログインのしにくさを提供するという点では、Site GuardとXO Securityは機能的にそれほど違いがないので、無理に乗り換える必要はない気がします。
WAFを導入し、Site GuardのWAF除外機能が使えるサーバーであれば、Site Guardの方がよいかもしれません。
よくある質問
コメントを閉じる
コメント