WordPressサイトを使うレンタルサーバーでのセキュリティ対策について調べてみました
サイトが乗っ取られたり、サイトが改ざんされたり、サーバーが乗っ取られたりという被害は、たいていの場合は大してセキュリティ対策していないことによって起こります
これでもう安心というものにはならないとは思いますが、最低限の対策は取っておかないとなりません
レンタルサーバーで行うセキュリティ対策
レンタルサーバーで行うセキュリティ対策があります
まずレンタルサーバーのIDとパスワードを漏らさないようにしましょう
類推されない強固なパスワードにするとか、レンタルサーバーに接続するパソコンのウィルス対策は行っておかないとならないです
さらにレンタルサーバーの設定でサイトのセキュリティ強化対策があります
レンタルサーバーやWordPressに対する攻撃が、主に海外から行われることから、海外からのアクセス制限を行うことが主要な対策になっています
そして、パスワード総当り(ブルートフォースアタック)による不正アクセスを防止、FTPによる不正アクセス防止、WAF設定などがあります
主な対策は
・海外からの不正アクセス防止
・パスワード総当り(ブルートフォースアタック)不正アクセス防止
・FTP不正アクセス防止
・WAF設定
ですね
レンタルサーバー ロリポップ! 設定で行うセキュリティ対策
ロリポップ!サーバー
ロリポップ!サーバーのサーバー設定で行うセキュリティ対策は、海外アタックガード、FTPアクセス制限、WAF設定があります
海外アタックガードは、WordPressのダッシュボード、コメント、外部記事投稿(XML-RPC APIアクセス)への海外のIPからのからのアクセスを制限するもので、初期値は有効になっています
クローラーのアクセスは制限の対象外ですし、通常のサイト閲覧は海外からでも可能です
FTPアクセス制限では、サーバーとのファイルの送受信を行うFTPアクセスを特定のIPからのみに制限することができます
自宅のIP以外からはFTPアクセスできないようにするなど設定しておけます
WAF設定はウェブアプリケーションのやり取りでの不正侵入を防ぐ設定で、初期値は有効になっています
レンタルサーバー Xサーバー 設定で行うセキュリティ対策
まずエックスサーバーはサーバーへのログインが2段階認証になっています
サイトのセキュリティ強化対策としては、Xサーバーもロリポップと同様で、まずは国外IPアクセス制限です
WordPressのダッシュボードへのアクセス制限、XML-RPC APIへのアクセス制限、 REST APIへのアクセス制限が設定でき、初期値はそれぞれONになっています
また、パスワード総当り(ブルートフォースアタック)による不正アクセスを防止として、ログイン試行回数制限があり、初期値はONです
ロリポップ!では、サーバーの設定画面には、ログイン試行回数制限の設定がないのですが、WordPressを簡単インストールすると、最初からSiteGuard WP Pluginがインストールされています
SiteGuard WP Pluginに、ログイン失敗を繰り返す接続元を一定期間ロックするログインロック設定やログインアラート設定などがありますので、同様の設定はできます
そして、コメント・トラックバック制限として、大量コメント・トラックバック制限、国外IPからのコメント・トラックバック制限があります
コメント・トラックバック制限はスパム対策だと思いますが、初期値はOFFになっています
昔はスパムがよくありましたが、最近はあまりないのですかね?
ロリポップ!では、Akismet Anti-Spam (アンチスパム)プラグインが初期インストールされていますから、すぐ有効化して使用しています
XサーバーもFTPアクセス制限設定、WAF設定が可能ですが、WAF設定が初期値がOFFですね
サーバーで設定を行うセキュリティ対策では物足りないので、WordPressプラグインでのセキュリティ対策も追加します