無料でできるおすすめの不正アクセス対策まとめ【ベーシック認証・FTP制限・WAF設定・プラグイン】

先日このブログはエジプトから不正アクセスされ、一時的にWebアクセス制限(403エラー)をくらいました。

 

幸い、普段からバックアップを取っていたので1日で復旧できましたが、もしバックアップを取ってなかったら、、、頑張れば復旧できるだろうけど時間がかかったはず。

今後もバックアップは取っていくけど、でも不正アクセス被害に遭わないようにできる限りの対策は取っていきたい!

ということで、色々と調べてできる限りの対策を施しました。

 

エジプトのクソ野郎のおかげでこのブログのセキュリティレベルが数段上がったと考えると、結果的に不正アクセス被害はプラスだったかもしれません笑

 

全て無料でできるセキュリティ対策なので、この記事を読んだ方はぜひ実践してみてください。

エックスサーバーを例に紹介しますが、その他のサーバーでも似たような機能はあると思います。

 

(ブログの復旧方法は以下の記事で解説しました)

エックスサーバー403エラー

【エックスサーバー復旧方法】FTPへの不正アクセスでブログが403エラーになったのでUpdraftPlusとFileZillaで直してみた

2020年6月2日

 

不正アクセス対策①:FTPにアクセスできるIPアドレスを制限する

先日の不正アクセスはFTP経由のものでした。

そこでエックスサーバーからおすすめされた対策がFTPへアクセスできるIPアドレスを制限する設定です(↓)

エックスサーバーカスタマーサポートから送られたメール

 

FTP制限設定をすると「あらかじめ設定したIPアドレス」以外からのアクセスを拒否できます。

つまり自宅のIPアドレスを設定しておけば、今後エジプトのクソ野郎からアクセスされることはなくなるということです。

ブログを復旧してからすぐ設定しました笑

 

設定方法はとてもシンプル

 

まずサーバーパネル中央の「FTP制限設定」をクリック

FTP制限設定

 

次に設定したいドメインを選択し、

FTP制限設定

 

設定したいIPアドレス(今回は自宅で設定作業をしたので現在のIPアドレスを選択)にチェックを入れて確認画面に進みます。

FTP制限設定
サーバー全体orドメインごとを選べる
FTP制限設定はサーバーアカウント全体にかけるか、ドメインごとにかけるか選べます。でも一つのドメインにだけかける特別な理由がない場合は「サーバーアカウント全体」を選んだ方が安全です

 

不正アクセス対策②:ワードプレス管理画面にベーシック認証を設定する

僕は以前にブルートフォースアタック(総当たり攻撃)の被害にあったこともあります。

これは正解の文字列に当たるまでログイン画面のユーザーネームとパスワードをランダムで入力し続けるという超力技です笑

でもコンピューターが自動でやるのでハッカーは疲れません。一秒間に何千回、何万回も入力しているんだと思います。

理論上、時間さえあればこの総当たり攻撃で大抵のページにはログインできます。

 

でも不安になることはありません。

要はユーザーネームとパスワードを入力するログイン画面を開けなくしてしまえばいいのです。

ログイン画面に辿り着けなければ総当たり攻撃もできませんから。

 

この対策も簡単にできます。

 

まずサーバーパネル中央左の「アクセス制限」をクリック

アクセス制限

 

アクセス制限を設定したいドメインを選択

アクセス制限

 

ユーザー設定をクリック

アクセス制限

 

 

任意のユーザーIDとパスワードを設定

アクセス制限

 

「wp-admin」のアクセス制限を「off」から「on」に変更

アクセス制限

この設定をすると、ワードプレスのログイン画面を開くためにユーザーIDとパスワードの入力が必要になります。

 

もしハッカーが総当たり攻撃で不正アクセスしたければ

①ログイン画面を開く前に総当たり攻撃

②ログイン画面を開いてからもう一度総当たり攻撃

ということになるので単純に考えて2倍の時間がかかります。

wp-adminも設定可能
今回はワードプレスのログイン画面(wp-admin)に対してベーシック認証を設定しました。その他のページ(wp-contentなど)にもベーシック認証を設定できるので任意で設定してください。

 

不正アクセス対策③:SiteGuard WP Pluginをインストールする

SiteGuard WP Plugin

これもワードプレスのログイン画面に対するセキュリティ対策です。

SiteGuard WP Pluginという無料のプラグインをインストールするとログイン画面で入力する情報が増えます(↓)

この画像の通り、ユーザー名とパスワード以外に、赤枠で囲んだ「ひらがな」の入力が必要です。

外国から機械的にハッキングをかけてくる相手に対して「ひらがな」の入力を求めるのは効果があります。

(最近増えてきた「ロボットでないことを証明してください」というやつと同じです)

またログインに成功すると登録したメールアドレスにログイン通知が来るので、自分以外の誰かがブログにアクセスしてもすぐに気がつきます。

 

不正アクセス対策④:WAF設定を全てOnにする

WAF設定もエックスサーバーが無料で提供しているセキュリティです。

設定しておいて損はないのでエックスサーバー利用者はぜひ設定してください。

 

サーバーパネル右下の「WAF設定」をクリック

WAF設定

 

設定したいドメインを選択

WAF設定

 

初期設定では「off」になっているので全て「on」にします

WAF設定

 

「反映待ち」になるので1時間ほど待ちます。

WAF設定

 

「反映待ち」が消えたら設定完了です。

WAF設定

 

無料でも強力なセキュリティ対策は可能です

今回紹介したセキュリティ対策は全て無料です。

また設定作業も簡単で、全てやっても30分〜1時間くらいです。

 

設定したおいた方が絶対にお得です。

 

不正アクセスされるとブログを元どおりにするのは本当に大変です。

一度設定しておけば半永久的にセキュリティチェックしてくれるようになります。

ぜひやってみてください。

 

周登
最後まで読んでいただきありがとうございました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA