※記事内に商品プロモーションを含む場合があります
去年はVPSのセキュリティ対策の記事を書きました。
【関連】さくらのVPSを契約したらすぐに設定したい3つの事
今回はこのブログでもやっているセキュリティ対策3つを紹介します。
wp-login.phpを海外から遮断
Apacheの128MBあるログをチェックすると所々wp-login.phpへのアクセスがあります。
所々と言っても、分母が多いので数としては多いです(128メガバイト、1115246行)。
しかし、私のアクセス以外はすべて302リダイレクトでエラーページに
飛ばされています。
エラーページに飛ばされると言う事は、すべて海外からのアクセスとなります。
仕組み
仕組みは.htaccessにあります。
.htaccessに以下のコードが仕込んであります。
<Files wp-login.php>
Order deny,allow
deny from all
Allow from .jp
</Files>
このコードは、wp-login.phpにだけ有効。
.jpドメインのホストのみ、アクセスを許可し、それ以外は遮断しエラーページに飛びます。
ただし、日本からのアクセスでもドメインが.jp以外の場合は
アクセスを遮断します。
ヤフー!BBの場合はドメインが.bbtec.netとなるので注意です。
細かく指定したい時、例としてau(iPhone・Android)の場合
Allow from .au-net.ne.jp
にすれば良いと思います。
ちなみに、
これはログインページなのでそんなにアクセス数も多く無いので良いですが
アクセス数の多いページに入れるとサーバ負荷が増大します。
通常、ログにもIPアドレスしか記録されていませんが、
ドメインの指定をするとIPからホスト名を 逆引きする必要が出てきます。
なので、この処理に時間が掛かるので、サーバ負荷が増大します。
パスワードの強化と不正ログイン対策
上の項目では海外からのアクセスを遮断しましたが、
国内にも手先となるbotが存在するかもしれません。
そこで、より強度の強いパスワードに変更します。
【参考】安全なパスワードを作成してアカウントのセキュリティを強化する
また、不正ログインされた事を確認出来るプラグインCrazy Bone(狂骨)
その他、二段階認証プラグインなどを使うよよりセキュリティを強化できるでしょう。
WordPress・プラグインは最新版に更新
特にプラグインはクロスサイトスクリプティング脆弱性が時々見つかっています。
これらの脆弱性を使えばログインせずとも、
ブログを乗っ取ることが出来る可能性があるので、アップデートがある場合は
早めにアップデートしましょう。
最近は、WordPressにも自動更新機能があり
セキュリティアップデートの場合は勝手にアップデートを行う場合もあります。
あまり、ダッシュボード(管理画面)にアクセスしない方は
セキュリティアップデートは出来るだけ自動更新にしておくと良いでしょう。
あとがき
今回はWordPres上のセキュリティ対策でした。
しかし、サーバが乗っ取られたり
パソコンがウイルスに感染しFTP経由でWordPressが乗っ取られる可能性もあります。
万が一に備えて元に戻せる様に
定期的にバックアップを取っておくと安心です。
