サイト運営のセキュリティ対策やって無さすぎ問題

サイト運営のセキュリティ対策やって無さすぎ問題
また同じようなトラブルが報告されたのでブログに残しておく。

以前あったトラブルはこちらで確認できます↓

今回も迷惑メールの大量送付でサーバーが激重になるというトラブルがあり、調べたらNEWS表示用に使っていたWordPressが動かなくなっていた。管理画面に入ろうとしても真っ白で何も表示されない。一旦消してデータベースに残っているデータをエクスポートしてテスト環境に残っていたファイルを再度アップロードし直してWordPressの再インストールで戻す事になった。

こんなトラブルが多すぎると思う。

今回、phpMyadminに入る際にサーバーの管理画面に入ったのだがセキュリティの警告が5件も溜まっている状態だった。この警告はおそらくサーバー会社からメールで管理者に飛んでいるはずだが全く対応された形跡がない。データベースのバージョンが古すぎるし、SSLを適応してくださいと言うのもスルーされている。海外からのアクセス遮断と言うのもすぐに出来る様になっているがOFFのままである。あまりにもずさんな管理と言える。

サーバーへの攻撃は毎日ある

このブログは一日のアクセス数が100件ほどの超弱小ブログである。私の仕事の備忘録的なブログであり、特にそれほど力を入れているわけでもないのでそのくらいのアクセス数で全く問題はないのだがそんな弱小ブログでも毎日攻撃を受けている。

これはLogin LockdownというWordPressのセキュリティプラグインによって可視化された不審者からのログイン施行回数だ。こんなブログですら毎日数回ログイン攻撃を受けている。このプラグインのお陰で複数回ログインに失敗するとロックが掛かるので不正アクセスは今のところない。
これを導入する前、セキュリティに甘かったころに一度英語の記事を作成された事がある。大きな実害は無かったので良かったがサイトを運営していれば誰もが攻撃を受けるのである。
サイバー攻撃を可視化したサイトがあるがものすごい勢いで攻撃が続いている。

セキュリティ対策まとめ

現状、今管理しているサイトにおいてどんなキュリティ対策をやっているかをまとめておこう。

管理画面へのIP制限

固定IPが必要だがかなり強固なセキュリティ対策と言える。FTPでの接続もWordPressの管理画面への接続も固定IPからのみにするのがベストだろう。

パスワードの長文化

現在有効とされているのがパスワードの長文化である。攻撃手法が総攻撃アタックである場合、パスワードを長文化するだけでかなり防ぐことが可能。4桁とかだと総攻撃で1秒もかからず突破されるが10桁とかになると高性能なパソコンですら非常に時間がかかる。数字と英数字と記号を合わせれば解読に何十年もかかる。


私の場合も基本的にランダムなパスワードを10桁以上で作成して自分では覚えずにブラウザに記憶させている。

こういうところで作ろう。

海外からのアクセスを遮断

インターネットの世界で攻撃者は基本的に海外からが多い。ロシアやら中国やらからものすごい数の攻撃が来ているのがサイバー攻撃を可視化したサイトで確認できるだろう。

そう考えれば、日本のサイトで日本語しか使っていない、ユーザーも日本に限られるようなサイトなら海外からのアクセスを遮断してしまっても良いと思われる。サーバーの管理画面から出来るサイトもあるし、htaccessで遮断することも出来る。

WordPressはプラグインで対策

非常に高性能なセキュリティプラグインもある。


こういうのを入れておけばまずWordPressへの攻撃が成功することはないだろう。

私の場合はそこまで強固なセキュリティが必要なブログでもないと思うので前述のLogin Lockdownというプラグインで一応対策してはいる。アカウント名も複雑だしランダムな長文パスワードなので基本大丈夫なんだけど一応攻撃されっぱなしってのも嫌なので。

サイト運営のセキュリティ対策やって無さすぎ問題のまとめ

大量のサイト管理をしていると古い案件でセキュリティ対策出来ていなかったところから、急にサイトが閲覧できなくなったとかサーバーが急に重くなったとか相談されることがたまにあるが大体攻撃されている。

状況を見たらそりゃやられるわな…って感じのザルみたいなセキュリティ対策(IDがadminでパスワードが6桁で英数のみとか)の場合が多い。プラグインの更新も何年も止まっている物を使い続けていて脆弱性報告も放置。

インターネットという極悪治安のスラムで後ろポケットに長財布突っ込んで歩いているようなもんなの。そりゃ狙われるって。下手すりゃ捕まって身代金要求される。サイトのデータを人質にした事件なんていくらでも起こっている。

サイトを運営するなら最低限のセキュリティ対策は必須だし、何なら上位レベルのセキュリティ対策にお金出すのも大事というお話でした。やられてからでは遅すぎるんです!

\よかったら使ってね/

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)