先日このブログはエジプトから不正アクセスされ、一時的にWebアクセス制限(403エラー)をくらいました。
![](https://welcome-thanx.net/wp-content/uploads/2020/06/b9ea0038bd68330f2f6d847331d6e6f6.png)
幸い、普段からバックアップを取っていたので1日で復旧できましたが、もしバックアップを取ってなかったら、、、頑張れば復旧できるだろうけど時間がかかったはず。
今後もバックアップは取っていくけど、でも不正アクセス被害に遭わないようにできる限りの対策は取っていきたい!
ということで、色々と調べてできる限りの対策を施しました。
エジプトのクソ野郎のおかげでこのブログのセキュリティレベルが数段上がったと考えると、結果的に不正アクセス被害はプラスだったかもしれません笑
全て無料でできるセキュリティ対策なので、この記事を読んだ方はぜひ実践してみてください。
エックスサーバーを例に紹介しますが、その他のサーバーでも似たような機能はあると思います。
(ブログの復旧方法は以下の記事で解説しました)
目次
不正アクセス対策①:FTPにアクセスできるIPアドレスを制限する
先日の不正アクセスはFTP経由のものでした。
そこでエックスサーバーからおすすめされた対策がFTPへアクセスできるIPアドレスを制限する設定です(↓)
![](https://welcome-thanx.net/wp-content/uploads/2020/06/554074f29cf37d951bd3e482d215074d.png)
エックスサーバーカスタマーサポートから送られたメール
FTP制限設定をすると「あらかじめ設定したIPアドレス」以外からのアクセスを拒否できます。
つまり自宅のIPアドレスを設定しておけば、今後エジプトのクソ野郎からアクセスされることはなくなるということです。
ブログを復旧してからすぐ設定しました笑
設定方法はとてもシンプル
まずサーバーパネル中央の「FTP制限設定」をクリック
![FTP制限設定](https://welcome-thanx.net/wp-content/uploads/2020/06/f440d2072fa243a84684685a94d2a864.png)
次に設定したいドメインを選択し、
![FTP制限設定](https://welcome-thanx.net/wp-content/uploads/2020/06/8e4e420b1a57fda7cf26aaaa8c195235.png)
設定したいIPアドレス(今回は自宅で設定作業をしたので現在のIPアドレスを選択)にチェックを入れて確認画面に進みます。
![FTP制限設定](https://welcome-thanx.net/wp-content/uploads/2020/06/11e54e73a4688b922f070a012a96bf61.png)
不正アクセス対策②:ワードプレス管理画面にベーシック認証を設定する
僕は以前にブルートフォースアタック(総当たり攻撃)の被害にあったこともあります。
これは正解の文字列に当たるまでログイン画面のユーザーネームとパスワードをランダムで入力し続けるという超力技です笑
でもコンピューターが自動でやるのでハッカーは疲れません。一秒間に何千回、何万回も入力しているんだと思います。
理論上、時間さえあればこの総当たり攻撃で大抵のページにはログインできます。
でも不安になることはありません。
要はユーザーネームとパスワードを入力するログイン画面を開けなくしてしまえばいいのです。
ログイン画面に辿り着けなければ総当たり攻撃もできませんから。
この対策も簡単にできます。
まずサーバーパネル中央左の「アクセス制限」をクリック
![アクセス制限](https://welcome-thanx.net/wp-content/uploads/2020/06/f9c17dd72c94b153c35d7e80d8b2fae1.png)
アクセス制限を設定したいドメインを選択
![アクセス制限](https://welcome-thanx.net/wp-content/uploads/2020/06/2b74e8b3d0b99a0ccea62622ac1575ed.png)
ユーザー設定をクリック
![アクセス制限](https://welcome-thanx.net/wp-content/uploads/2020/06/88ae58f59a7dca50847e55094b3a7d3d.png)
任意のユーザーIDとパスワードを設定
![アクセス制限](https://welcome-thanx.net/wp-content/uploads/2020/06/64a34d4f36042163cf370d89d508adbc.png)
「wp-admin」のアクセス制限を「off」から「on」に変更
![アクセス制限](https://welcome-thanx.net/wp-content/uploads/2020/06/88ae58f59a7dca50847e55094b3a7d3d.png)
この設定をすると、ワードプレスのログイン画面を開くためにユーザーIDとパスワードの入力が必要になります。
もしハッカーが総当たり攻撃で不正アクセスしたければ
①ログイン画面を開く前に総当たり攻撃
↓
②ログイン画面を開いてからもう一度総当たり攻撃
ということになるので単純に考えて2倍の時間がかかります。
不正アクセス対策③:SiteGuard WP Pluginをインストールする
![SiteGuard WP Plugin](https://welcome-thanx.net/wp-content/uploads/2020/06/d5068f22b11b6ac0002f994fa26e8fcc.png)
これもワードプレスのログイン画面に対するセキュリティ対策です。
SiteGuard WP Pluginという無料のプラグインをインストールするとログイン画面で入力する情報が増えます(↓)
![](https://welcome-thanx.net/wp-content/uploads/2020/06/91de8eb2e5d2859194d52636d766b402.png)
この画像の通り、ユーザー名とパスワード以外に、赤枠で囲んだ「ひらがな」の入力が必要です。
外国から機械的にハッキングをかけてくる相手に対して「ひらがな」の入力を求めるのは効果があります。
(最近増えてきた「ロボットでないことを証明してください」というやつと同じです)
またログインに成功すると登録したメールアドレスにログイン通知が来るので、自分以外の誰かがブログにアクセスしてもすぐに気がつきます。
不正アクセス対策④:WAF設定を全てOnにする
WAF設定もエックスサーバーが無料で提供しているセキュリティです。
設定しておいて損はないのでエックスサーバー利用者はぜひ設定してください。
サーバーパネル右下の「WAF設定」をクリック
![WAF設定](https://welcome-thanx.net/wp-content/uploads/2020/06/55f4979bc1871baa8276537029557a39.png)
設定したいドメインを選択
![WAF設定](https://welcome-thanx.net/wp-content/uploads/2020/06/3449755326b59c2c340bab2e88817a36.png)
初期設定では「off」になっているので全て「on」にします
![WAF設定](https://welcome-thanx.net/wp-content/uploads/2020/06/3e935b4e729f557a348ab91762e704cb.png)
「反映待ち」になるので1時間ほど待ちます。
![WAF設定](https://welcome-thanx.net/wp-content/uploads/2020/06/8eb66459e4d49c900bce4546215ce355.png)
「反映待ち」が消えたら設定完了です。
![WAF設定](https://welcome-thanx.net/wp-content/uploads/2020/06/1e80627db5e8ae584344192769a2bb9f.png)
無料でも強力なセキュリティ対策は可能です
今回紹介したセキュリティ対策は全て無料です。
また設定作業も簡単で、全てやっても30分〜1時間くらいです。
設定したおいた方が絶対にお得です。
不正アクセスされるとブログを元どおりにするのは本当に大変です。
一度設定しておけば半永久的にセキュリティチェックしてくれるようになります。
ぜひやってみてください。
![](https://welcome-thanx.net/wp-content/uploads/2019/12/df0de5f709e0d080f0760cc695b3c43d.png)