自分のウェブサイトを持っている人は常に不正アクセスの標的になっています。
不正アクセスなんて大手が対象じゃないの??
などと思っていると乗っ取られます。
不正アクセスとは
文字通り、外部の人間が許可なくアクセスすることです。
ウェブサイトやシステム、アプリなど様々な対象に対して行われますが、今回はウェブサイトに焦点を当てようと思います。
ウェブサイトに不正アクセスされるとどうなる?
改ざんや削除などのおそれがあります。
ウィルスの頒布元にされることもあるため、信用にも関わります。
対策
ではどう対策したらいいのか、その方法の一部を紹介します。
WAFを導入する
レンタルサーバーを使用している場合はWAF(Web Application Firewall)設定が備わっている場合が多いので、その機能をオンにしましょう。
当サイトはXserverを使用していますが、以下のようなWAF設定が存在します。
自前でサーバーを用意している場合でも無償のModSecurityやその他の有償WAFもあるので、できれば導入すべきだと思います。
WordPressでの対策
当サイトも使用していますが、WordPressは特に念入りにセキュリティ対策をすべきかと思います。
というのも近年は特に小規模サイトで頻繁に利用されるCMS(Contents Management System)と呼ばれるウェブサイトお手軽管理ツールが流行していて、その中でもWordPressは圧倒的なシェア率を誇っています。
そのシェア率ゆえに脆弱性も高くなってしまっているのが現状です。
以下もレンタルサーバーであれば備わっているであろう機能なため、利用しましょう。
国外からのアクセス制限
不正アクセスの発信元は9割が海外と言われています。
上記画像はランダムに選んだ1日のアクセスログから明らかに正当な手段でない方法でのアクセスを抜粋したものです。
このように当サイトでも海外から不正アクセスを試みられています。
ですので、国外アクセスを制限するだけでかなりの不正アクセスが防げます。
ログイン試行回数制限
何回もログインに失敗するとログイン操作自体ができなくなるようにする設定です。
これを設定しないとプログラムから簡単に不正アクセスされます。
コメント・トラックバック制限
変なコメントは不正アクセスやウィルス頒布の一助になり得ます。
制限するか、コメント自体を禁止しましょう。
また、不正なトラックバックも攻撃に利用されかねないので制限しましょう。
ログインURL変更
WordPressはログインURLが統一されているため、誰でも簡単にログイン画面にはアクセスできてしまいます。
もしログインURLへの不正アクセスが続くようなら変更してみましょう。
ただ、個人的には↓の動画のようにどうせ特定されるので、ログイン試行回数制限とパスワードリスト攻撃されないパスワードにするという2つの対策で十分かと思っています。
ZIP爆弾
個人的に一番面白い対策でした。
特定のページにアクセスしたときのみサイズが膨れ上がる圧縮ファイルを仕込むというものです。
皆さんも仕込んでクラッカーどものPCをクラッシュさせてやってください。
まとめ
不正アクセスはインターネットを使用している全ての人が対象です。
さらに、上記した対策はあくまでも不正アクセスされにくくする対策であり、完全に不正アクセスをシャットアウトするものではありません。
不正アクセスされた場合の対策も準備しておきましょう。
コメント