「うちのサイトがハッキングされることはないのでは…」となんとなくハッキングを遠い世界のように感じている方もいらっしゃるのではないでしょうか。
しかし常にどのウェブサイトもハッキングの危機にさらされており、対策は必須です。
基本的な対策で防げることも多くありますので、下記の方法を是非試してみてください。
行っておきたい7つの事
目次
1.ログインIDやパスワードを定期的に見直す
主に、ワードプレス、サーバー管理画面、FTPサーバーのパスワードの3つです。
分かりやすいパスワードを避けて複雑なパスワードにして、IDとパスワードを似た文字にするのも避けましょう。狙われやすいパスワードの例:admin系、サイト名と同じ、1234などの単純な数字。
ID情報の共有も注意しましょう。チャットで共有したりしない。暗号化して送るなど。
2.ワードプレス本体やプラグインを更新する
ワードプレス本体やプラグインにセキュリティホールや脆弱性があると、その穴をめがけて無作為に攻撃されてしまいます。適宜これらのプログラムを最新にしておくことをお勧めします。更新の際はプログラム同士の干渉やバージョン整合性にご注意ください。プログラムがカスタマイズされている可能性がある場合は制作者に問い合わせ、更新前にバックアップを取る事をお勧めします。長い間更新されていないプラグインはセキュリティに課題がある場合があります。代替のプラグインを探すなど、プログラムを削除することをお勧めします。
ワードプレス以外にもPHPプログラムやデータベースなど、ワードプレスに関わるプログラムも適宜更新する事をお勧めしています。
3.使っていないプログラムや記事等を削除する
テストの為に入れたプラグインや、元々入っていたテーマなどの使用していないプログラムを削除しましょう。停止した状態でもハッキングされる場合があるので完全に削除する事を強くお勧めします。記事やコメントにスパムが含まれる場合がありますので時々確認することをお勧めします。
ハッキングされやすいのは使っていなくて忘れ去られているプログラムの場合が多いです。ワードプレス以外にも、ムーバブルタイプやXOOPSなど以前使っていたプログラムの穴を狙われることもよくあります。時々、FTPサーバーやデータベースを点検して不要なプログラムを削除してください。
4.レンタルサーバーのセキュリティ対策機能を利用する
レンタルサーバーには様々なセキュリティ対策が用意されています。サーバー側についているファイアーウォールは「最後の砦」ですのでしっかり設定をしておきましょう。代WAFを代表として、IPアドレス制限、海外アクセス制限、REST API制限など細かく設定できるものもあります。レンタルサーバーによって違うので管理画面で確認してみてください。
デフォルトの設定はOFFにしましょう。これらの設定をONにするとホームページの一部の機能が使えなくなることがあるので、サーバー運営会社はONを推奨にするだけでデフォルトの設定がOFFになっている場合があるので注意してください。また、セキュリティ対策は日々進化しています。サーバー運営会社から送られてくる案内メールは注意して読む事をお勧めします。
5.セキュリティ対策のプラグインを導入する
ワードプレス側にもセキュリティ対策のプログラムを導入することをお勧めします。セキュリティ対策のプラグインは無数にありますが、条件としては①導入に際し他のプログラムに影響を与えないこと、②頻繁にプログラムの更新されていること、③監視機能がついていることです。
もっと高度なセキュリティ対策を行いたい場合は、FTPサーバーのパーミッション設定やhtaccessファイルに行う対策もあります。高度な知識が必要になりますので、自信が無い方は、まずはサーバー管理画面やワードプレスのダッシュボードでできる範囲で大丈夫です。
6.サイトのリスク分散をする
レンタルサーバー内に複数のワードプレスを導入している方は分散することをお勧めしています。借りている(与えられている)サーバー内に悪意あるファイルがあると、例えドメインが分かれていても、ドメインをまたいで別のドメインに飛び火する事が多いからです。
ドメイン単位でサーバーを借りる事が理想ですが、コストに見合わない場合は重要なサイトだけ独立したサーバーを利用するなどのリスク分散をすることをお勧めします。
7.”もしも”に備えて定期的にバックアップを取る
万が一ハッキングされてサイトが感染した場合、サーバー運営会社から「サーバー内部を全て削除してください」と言われる場合が多いです。専門家に相談する場合は有料になってしまうので、ワードプレスやデータのバックアップを取っておくことをお勧めします。バックアップを取る方法としては、簡単な順から①サーバーの自動バックアップ機能を使う、②自動でバックアップを行うプラグインを使う、③手動で行うといったやり方です。
ホームページが以前のように正しく表示されたとしても安心してはいけません。パスワードが流出されている、プログラムに穴がある、以前からスパムが仕込まれていたといった場合はすぐに再発する恐れがあります。サイトが正しく表示された後もセキュリティ対策をしっかり行ってください。
一度ハッキングをされてしまうと、思ったより復旧に時間がかかってしまったり、ウイルスが再発していたちごっとのようになる事が多々あります。
そんなことにならないように、今のうちにしっかりと対策を行い、大切なウェブサイトを守りましょう!
