スペック解説 セキュリティ
レンタルサーバでも重要なセキュリティ。ただセキュリティと一言で言っても様々な面で考慮する必要があります。
WordPressのセキュリティ
利用者の多いWordPressはそれだけ攻撃の的になりやすいツールです。特にWordpressの下記の機能が狙われやすいようです。いずれも標準の機能です。
- 管理者のログイン画面
- 外部からサイトを書き換える仕組み(コメント、XML-RPC WordPress API)
共通しているのはサイト内を書き換える機能です。
例えば、不正アクセスで一度でもログインに成功すると、サイト内のリンクを書き換えてフィッシングサイトへ誘導することができるようになります。それも管理者に知られず、こっそりと書き換えられます。
防ぐ方法も様々です。
- ログインパスワードを難しくする
- WordPressのバージョンを新しくする(脆弱性をなくす)
- 不要なプラグインを削除する
- コメント機能などは停止する
- 管理画面への海外からの接続を遮断する
基本的には海外からの攻撃が多いと考えられるため、レンタルサーバには「海外から管理画面への接続は一切遮断する」などの機能が用意されています。また自分が海外から管理画面にアクセスしようとしても表示されなくなるという点は注意が必要です。
実際に不正アクセスって尋常な数じゃないから、海外を遮断するだけでもかなり効果があるらしいんだよね。しかもセキュリティだけじゃなくて、単純にサーバにかかる無駄な負荷を抑えられるよ。
またWordPressそのものに不具合(バグ)があり攻撃の対象となるケースや、機能を追加するプラグインの脆弱性を狙った攻撃も頻繁にあります。いずれもできるだけ新しいバージョンを使うようにしましょう。
サイト内のツール全般を想定したセキュリティ「WAF」
WordPressなど普段サイト内で使用しているツール・アプリケーションに、ごく一般的なバグや構造上の欠陥が隠れていることは十分ありえます。「WAF(Webアプリケーションファイアウォール)」はそうした欠陥をカバーする機能です。「ワフ」などと呼ばれています。
ただ「誰でもこういう間違いはするだろう、ここまでの危険は想定していないだろう」という、どちらかというと初歩的な抜け穴を塞ぐイメージです。一定の攻撃しか防ぐことはできませんのでご注意ください。
エックスサーバーなどレンタルサーバでも導入されており、ボタンひとつで利用できます。具体的には下記のような攻撃を防ぐことができます。
- XSS(クロスサイトスクリプティング)
JavaScriptなどをサイトに埋め込み、情報を盗み取るなど - SQLインジェクション
データベースを利用しているページから、データベースの情報に不正にアクセスする - ファイル不正アクセス
- メールの不正送信
- コマンドアクセス/実行
- PHP関数の脆弱性
一つ注意すべき点として、逆にこのWAFの防衛機能がサイトの通常の動作に悪影響を与える可能性もあるようです。利用を開始した後は必ずサイト内をチェックするようにしてください。
万全とは言えませんが、設定しておくことで一定の攻撃を防ぐことができます。できるだけ利用しましょう。
暗号化によるセキュリティ
これはスペック解説「SSL暗号化」の中でも説明していますが、サイトの通信方法を暗号化するというものです。これにより通信内容が第三者に盗聴されづらくなります。
例えば、カフェの公衆無線LANなんかを使っている時、近くの人に通信内容が見られる危険性があるんだ。でも暗号化されたサイトを見に行く場合はその危険性も減るみたいだね。
そんなに簡単に見られるの?
よくは知らないけど、できる人には簡単らしいよ。だから特に外にあるWi-Fiを使っている時は、個人情報が必要な買い物なんかはしない方がいいね。
セキュリティのまとめ
- WordPressのセキュリティ面に注意
- WAFはツールの脆弱性を狙った攻撃を防ぐ
- サイトの暗号化も重要