こんにちは。本職インフラエンジニアなのに不正アクセスを許してしまった、インフラエンジニアの遠島です。
本職ではしっかりやれていることが、プライベートだとかなり甘くなってしまいますね。
影響範囲が自分だけなのでそういうところに意識の違いががっつりでるわけで・・・笑
さて今回は不正アクセスを許してしまったので、良い機会・教訓として、個人でブログ運営するためにセキュリティについて見直しながら、見落としがちな設定等を再度確認してみよう!と思います。
特にウェブ上で有料のコンテンツを提供している人や、収益を上げているようなブログをお持ちの方はマスト・必須ですよ!レッツセキュリティ!基本的に難しいことはないような設定項目しかいじりませんのでご安心ください!
自身のパソコンのセキュリティ
まさかノーガード戦法の人なんていませんよね・・・?
ウィルスソフト入れて
windowsupdate(コントロールパネル>windows update)を実施し、更新プログラムが内情にする。
FlashPlayer(コントロールパネル>windows update)のバージョンアップをしましょうね。
あとアドビなどのソフトウェアを全て常に最新版に保つようにしましょう。ウィルス対策ソフトも同様ですよ!
ワードプレス・テーマ・プラグインの最新化
これは結構やっている人多いかと思いますね。wordpress上で更新しろ!ってよく言われますし、目立ちますからね。これもやっておきましょう。
自動更新機能にしておいても良いと思います。
またワードプレスだけではなく、テーマ、プラグインも同様です。このあたりが古いと脆弱性が出てきてしまう場合もあります。
不要なテーマ、プラグインの削除
以前使っていて更新していないテーマや、試してみて使わなくなったテーマや、プラグイン入れまくって結局使っていないプラグインが多いと思います。
そういうものもいいカモですので、使わないプラグインテーマ等は削除してしまいましょう。
不要なドメインの削除
よく無駄に格好良いドメインをとっていざサーバーに登録したけど、別の方が良くなって結局使わなかった!というドメインがサーバー上に残っていたりします。
そういう使っていないドメインの情報などは削除しましょう。
そういうところは様々なプログラムの更新等もされていないので、格好の餌食になります。削除の仕方はこちらの記事の「ドメインを削除する」に書いてあるとおりです。
パスワードの設定
まさかwordpressのログインユーザーがadminのまま!なんて人はいないですよね・・・?え、ドメイン名をユーザー名にしている?いやそれレベル変わらないですよ!
このへんとか論外です。
- ユーザ名とパスワードが同じ文字列
- パスワードが短い、数字のみや英字のみ
ログインユーザーをadmin以外に変える方法はこちらの記事を御覧ください。
パスワードの繰り返し入力
wordpressの管理画面のパスワード忘れてロックされたから一時的にと思って、このパスワードの繰り返し入力を解除(OFF)してログインしたけど、ログインできてめでたし!とおもってそのままの人とかいませんか?チェックしましょう!
WordPressセキュリティ設定をクリック
ログイン試行回数制限設定タブを選択して、現在の設定がONになっていることを確認しましょう。
Akismetプラグインを有効化する
大体wordpressを導入したときに有効化するように言われていると思いますが念のため・・有効化されていますよね?
自動的にスパムコメントを分類してくれるプラグインになります。コメントを公開するようにしなければまぁ問題はないのかもしれませんが念のため。
PHPのバージョンを確認しよう!
特に古くからブログをやっている方が抜けがちなPHPのバージョン、いつの間にか古くなったままの非推奨のバージョンのものを使い続けていませんか?
PHPってなに?という人もやっておいた方がいいですよ!
PHP.ver切り替えをクリックして、対象のドメインを選択。
PHPバージョン切り替え¥の変更後のバージョンが推奨になっていることを確認しましょう。
Xserver/sixcoreで推奨される設定について
お客様のウェブサイトにてPHPプログラムをご利用の場合、サーバーパネルの「php.ini設定」にて「allow_url_fopen」および「allow_url_include」をいずれも「無効(Off)」にすることを強くお勧めいたします。
と言われておりましたのでその設定について説明します。
◇マニュアル:php.ini設定
https://www.xserver.ne.jp/man_server_phpini_edit.php
とあるのでとりあえず手順の画像は以下になります。
php.ini設定変更のタブをクリックして下の方のその他の設定の箇所に「allow_url_fopen」および「allow_url_include」があるのでいずれも「無効(Off)」にしましょう。そして設定するボタンを押下します。
バックアップをとっておく
これだけセキュリティ関連の設定をしても事故るときは事故ります。事故った後のことを考えましょう。
基本的にそれはバックアップをとっておくことに尽きると思います。基本的なバックアップに対しての知識と実践はバズ部のここが一番わかり易いです。
遠島の独り言
いかがでしたでしょうか?個人でブログやサイトを運営する際には裁量が大きいもののこういう細かなセキュリティなども気をつけなければなりません。
とくにブログで食べている人とかは必須ですね。僕のようなまだアクセスとか少ないところは良いかもしれませんが、アクセス多いサイトなどは影響も大きいと思います。しっかり対策していきましょう!