サーバーの不正アクセス対策

記事

IT・テクノロジー

サーバーの不正アクセスでサイトが改ざんされる事例が多発しており、改竄被害を受けたお客様からサイト復旧のご依頼を頂くことがございます。

特に、企業のサイト（co.jp）は検索結果を乗っ取るような改竄被害にあいやすいようです。検索結果を乗っ取るような改竄の場合、信頼性のあるco.jpドメインの方が有利なためです。

Wordpressはセキュリティが弱いとよく言われます。基本的な対策を行い運用しているならそうそう不正アクセスされることはありません。

Wordpress利用者が多いため基本的な対策をしていない人が多いだけだと思います。

この記事では、Wordpressサイトを運用していくうえで簡単にできる基本的な不正アクセス対策をご紹介します。

Wordpressやプラグインをアップデートする

アップデートして問題が起きたら困るからということで、Wordpressやプラグインのアップデートが来てもアップデートしない方が多いです。

アップデートするかしないかの判断して、セキュリティアップデートというキーワードを確認しましょう。もしあったら、必ずアップデートしましょう。

公になったセキュリティホールですので、確実に狙われます。

また、プラグインが多すぎると管理できなくなりますので、プラグインを減らしたり、テーマの機能でカバーするなど検討した方が良いでしょう。

普通にWordrpessにログインされてサイトを改竄されるケースも多いです。

ID、パスワードは複雑なものにしましょう。

不正アクセスは主に海外（中国系？）から行われますので、国外からWordpressのログイン画面が表示されないようにサーバーのコントロールパネルの設定を確認しましょう。

WordpressのログインURLは、xxxx.com/wp-admin　もしくは　xxx.com/wp-login.phpで表示されます。

プラグインを使用して、このURLを変更しましょう。

WAFがあるサーバーでは必ず有効にしましょう。最近のサーバーにはWAF機能が付いています。

ただし、WAFが初期状態で有効かどうかはサーバー会社によって異なります。

利用者の多いXserverではWAFは初期状態でOFFになっています。

必ず、WAFをONにして運用しましょう。

バックアップ機能が無料で使えるサーバーがほとんどです。しかし、バックアップ機能が有効になっていないサーバーがありますので、必ず有効化しましょう。

バックアップは最長でも14日間ぐらいまで残せます。

もし、サイトが改ざんにあっても直ぐに気が付けば、バックアップから戻すことができれば被害は最小限に抑えることができます。

どんなに対策しても世の中には知られていない方法で侵入してくる可能性はあります。実際に改竄被害にあっても、侵入経路がわからないことがほとんどです。

もし不運にも、サイトが改ざんされてしまった場合は、サイト復旧をお手伝いするサービスをご提供しています。

迅速丁寧なサービス提供を心がけております。是非ご相談ください。