サイト運営のセキュリティ対策やって無さすぎ問題

また同じようなトラブルが報告されたのでブログに残しておく。

以前あったトラブルはこちらで確認できます↓

今回も迷惑メールの大量送付でサーバーが激重になるというトラブルがあり、調べたらNEWS表示用に使っていたWordPressが動かなくなっていた。管理画面に入ろうとしても真っ白で何も表示されない。一旦消してデータベースに残っているデータをエクスポートしてテスト環境に残っていたファイルを再度アップロードし直してWordPressの再インストールで戻す事になった。

こんなトラブルが多すぎると思う。

今回、phpMyadminに入る際にサーバーの管理画面に入ったのだがセキュリティの警告が5件も溜まっている状態だった。この警告はおそらくサーバー会社からメールで管理者に飛んでいるはずだが全く対応された形跡がない。データベースのバージョンが古すぎるし、SSLを適応してくださいと言うのもスルーされている。海外からのアクセス遮断と言うのもすぐに出来る様になっているがOFFのままである。あまりにもずさんな管理と言える。

サーバーへの攻撃は毎日ある

このブログは一日のアクセス数が100件ほどの超弱小ブログである。私の仕事の備忘録的なブログであり、特にそれほど力を入れているわけでもないのでそのくらいのアクセス数で全く問題はないのだがそんな弱小ブログでも毎日攻撃を受けている。

これはLogin LockdownというWordPressのセキュリティプラグインによって可視化された不審者からのログイン施行回数だ。こんなブログですら毎日数回ログイン攻撃を受けている。このプラグインのお陰で複数回ログインに失敗するとロックが掛かるので不正アクセスは今のところない。
これを導入する前、セキュリティに甘かったころに一度英語の記事を作成された事がある。大きな実害は無かったので良かったがサイトを運営していれば誰もが攻撃を受けるのである。
サイバー攻撃を可視化したサイトがあるがものすごい勢いで攻撃が続いている。

セキュリティ対策まとめ

現状、今管理しているサイトにおいてどんなキュリティ対策をやっているかをまとめておこう。

管理画面へのIP制限

固定IPが必要だがかなり強固なセキュリティ対策と言える。FTPでの接続もWordPressの管理画面への接続も固定IPからのみにするのがベストだろう。

パスワードの長文化

現在有効とされているのがパスワードの長文化である。攻撃手法が総攻撃アタックである場合、パスワードを長文化するだけでかなり防ぐことが可能。4桁とかだと総攻撃で1秒もかからず突破されるが10桁とかになると高性能なパソコンですら非常に時間がかかる。数字と英数字と記号を合わせれば解読に何十年もかかる。

ICTオフィス相談室～最新ITツールを活用したワークスタイルをプロが解説～ |

 

1 Pocket

パスワードは何文字以上がいいのか？ベストは〇文字以上！

https://ardent.jp/rentoffice-consultation-center/security/security-news/pass-mojisu/

ルフトツールズ（LUFTTOOLS） web・ウェブ制作に役立つ便利ツール集

 

317 Users

479 Pockets

パスワード生成（パスワード作成）ツール

https://www.luft.co.jp/cgi/randam.php

パスワード生成（パスワード作成）するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成（自動作成）することができるツールです。利用は完全無料です。

海外からのアクセスを遮断

インターネットの世界で攻撃者は基本的に海外からが多い。ロシアやら中国やらからものすごい数の攻撃が来ているのがサイバー攻撃を可視化したサイトで確認できるだろう。

そう考えれば、日本のサイトで日本語しか使っていない、ユーザーも日本に限られるようなサイトなら海外からのアクセスを遮断してしまっても良いと思われる。サーバーの管理画面から出来るサイトもあるし、htaccessで遮断することも出来る。

Qiita

 

4 Users

26 Pockets

海外からのアクセス(IP)を拒否するhtaccessの設定 - Qiita

https://qiita.com/non0311/items/21516b8bdc0a0fca69fb

海外からのアクセス(IP)を拒否するhtaccessの設定不要なアクセスを受けるとサーバーのパフォーマンスが落ちたりします。海外のIPから無作為にアクセスを受けることも珍しくありません。不正ロ…

WordPressはプラグインで対策

非常に高性能なセキュリティプラグインもある。

www.jp-secure.com

 

23 Users

62 Pockets

SiteGuard WP Plugin – WebセキュリティのEGセキュアソリューションズ

https://www.jp-secure.com/siteguard_wp_plugin/

私の場合はそこまで強固なセキュリティが必要なブログでもないと思うので前述のLogin Lockdownというプラグインで一応対策してはいる。アカウント名も複雑だしランダムな長文パスワードなので基本大丈夫なんだけど一応攻撃されっぱなしってのも嫌なので。

サイト運営のセキュリティ対策やって無さすぎ問題のまとめ

大量のサイト管理をしていると古い案件でセキュリティ対策出来ていなかったところから、急にサイトが閲覧できなくなったとかサーバーが急に重くなったとか相談されることがたまにあるが大体攻撃されている。

状況を見たらそりゃやられるわな…って感じのザルみたいなセキュリティ対策（IDがadminでパスワードが6桁で英数のみとか）の場合が多い。プラグインの更新も何年も止まっている物を使い続けていて脆弱性報告も放置。

インターネットという極悪治安のスラムで後ろポケットに長財布突っ込んで歩いているようなもんなの。そりゃ狙われるって。下手すりゃ捕まって身代金要求される。サイトのデータを人質にした事件なんていくらでも起こっている。

トレンドマイクロ

 

1 Pocket

ランサムウェアとは？感染したらどうなる？感染後の事後対処と予防法を簡単に解説

https://news.trendmicro.com/ja-jp/2023-07-12-article-ransomware-overview/

ニュースなどで「ランサムウェア」という言葉をよく耳にするものの、どのようなものかがわからず、なんとなく怖いと思ったことはありませんか？この記事では、ランサムウェアの概要、感染経路、想定される被害、感染を防ぐための対策や、

サイトを運営するなら最低限のセキュリティ対策は必須だし、何なら上位レベルのセキュリティ対策にお金出すのも大事というお話でした。やられてからでは遅すぎるんです！