阿部 雅彦 (まさ) この記事を読むのに必要な時間は約 9 分です。
最近、私の周りのブロガー仲間のサイトが立て続けに攻撃を受けました。
直接的な被害は受けなかった方も居ますが、侵入されてしまいWordpressをインストールし直す羽目になった方も居ます。そういう私自身も、去年攻撃を受けてページを一部改ざんされる被害にあっています。
参考: 第三者によるユーザーサイトの改ざん被害に関するご報告 - 2013年09月09日 / 新着情報 / お知らせ
私たちは所詮プロではありません。少々勉強したところで、攻撃のプロ(?)に目を付けられたら知識やテクニックでは太刀打ちできません。
ただ、素人でも攻撃を受けても被害を受けにくくしたり、万一被害を受けても復活できるようにするために、あらかじめやっておけることがあります。
今回周りの仲間が被害を受けて、私自身も改めてきちんとしておかないといけないな、と感じたことを4つ紹介します。よく言われる当たり前のことなんですが、あなたはちゃんとやってますか?
ちなみに下記はWordpressを利用していることを前提に書いていますが、MovableTypeを利用している場合も考え方は同じです。
レンタルサーバーを利用する人が最低限やっておきたい4つのこと
1.IDとパスワードに気を付ける
一番の基本です。
WordPressの管理者画面であるダッシュボードへの玄関口が"wp-login.php"だということは、攻撃者は当然知っています。ですから、その玄関を空けるための鍵であるIDとパスワードがバレると侵入されてしまいます。そうなると攻撃者のやりたい放題。ウィルスの発信源にされたり、自分のサイトを目茶苦茶にされてしまう可能性があります。
参考:WordPress › フォーラム » wp-login.php へのアタックが多くなってきているので……
こういった事態を避けるためには、まずパスワードをできるだけ安全なものにしましょう。以下のサイトが参考になります。文字数が少なかったり、数字だけだったりのパスワードを利用していませんか?
www.lifehacker.jpまた、Wordpressの標準の管理者ユーザのIDである"admin"は削除しましょう。
攻撃者にとって、どのユーザのパスワードを破ればいいのか分かっているかどうかで、安全性は大きく違ってきます。
以下のページが参考になります。
ushigyu.netadminで記事を書いていた方は、削除する前に新しいIDに記事の引き継ぎをしておくと良いです。
2.システムやプラグインを小まめにアップデートする
WordPressやMovableTypeなどのブログを管理するためのシステムや、そのプラグインにはセキュリティホールが見つかることがよくあります。
これは攻撃者にとっての侵入口になります。IDとパスワードを破ろうとするのが、玄関から入るための鍵を盗もうとしている行為であるのに対して、セキュリティホールを使った攻撃は裏口や壁に空いた小さな穴から入ろうとする行為です。
WordPressは、最近こういった抜け穴に対するアップデートを自動で実行してくれるようになりました。ただ、プラグインが同様の理由でアップデートされることもあります。 下記のページにあるように何でもかんでもすぐアップデートしていると、たまに地雷を踏むことがあります。なので、できれば更新内容を確認した上で、セキュリティ対応の更新版であれば早めに適用するようことを心がけましょう。
3. 定期的にデータをバックアップする
これは私もできていなくて最近やるようになったことです。
万一、攻撃を受けてデータが消されてしまったり、ウィルスに汚染されたりしてしまった場合を考えておきましょう。
バックアップが無いと、全て1からの出直しです。
システムはインストールし直せば良い話ですが、自分が今まで書いてきた記事やアップしてきた画像は戻ってきません。定期的にバックアップして、万一の場合の被害を最小限に止めるようにしましょう。
ちなみに下記のプラグインでのバックアップでは、設定した回数より前のデータは削除されてしまいます。気がついたらバックアップも全て汚染されていたというのでは意味がありませんので、バックアップの保管期間や実施回数はそれも考慮して決めましょう。また、定期的に自分のPCにもコピーをダウンロードしておくと良いと思います。
masalog.net4. レンタルサーバー業者からのお知らせをよく確認する
自分が利用しているレンタルサーバー業者(ロリポップや、さくらインターネット)からのお知らせメールって読んでいますか?
レンタルサーバー業者は、自分たちのサーバーを監視しています。もし攻撃を受けていると判断すると、そのことを知らせてくれることもあります。
今回攻撃を受けたお仲間には、いずれもレンタルサーバー業者側で緊急対応をした結果がメールで事後通知されていました。また、そのメールの中に自分が何をしなければならないかも書かれていました。 わからなければ、どこに問い合わせれば良いかも書かれていたと思います。
宣伝を送ってくることも多いので、サーバー業者からのメールは読み飛ばしている方も多いと思います。ただ、重要なメールが送られてくることもあるので、タイトルだけでも確認して、重要そうなメールについては中身も速やかに確認するようにしましょう。
まとめ
レンタルサーバーを利用してブログを更新する上で、最低限実施しておきたい以下の4つのことを説明しました。
- IDとパスワードに気を付ける
- システムやプラグインを小まめにアップデートする
- 定期的にデータをバックアップする
- レンタルサーバー業者からのお知らせをよく確認する
今回ご紹介したポイントは、あくまで最低限のことです。
例えば、ロリポップでは以下のページでユーザに実施して欲しいことを解説しています。今回説明した内容も含まれていますが、その他の項目についても極力対応するようにしましょう。
参考: サイト改ざんへの対策をお願いいたします - ロリポップ!レンタルサーバー
ブログのサーバーは、常に攻撃に晒されています。おそらく個人のPCよりも、何らかの被害を受ける可能性は高いです。
攻撃を受けて被害があると、ブログに対するモチベーションもかなり影響を受けてしまいます。適切な対応をしておくことで、楽しいブログ・ライフを続けていきましょう。
photo credit: IntelFreePress via photopin cc
![[まとめ] ロリポップからエックスサーバーにWordpressを移転する際に参考になるページ](https://masalog.net/wp-content/uploads/2014/10/141031-0005-150x150.jpg)
