【あなたのブログは大丈夫?】不正アクセスからブログを守る為にやった6つのこと【ロリポ】
photo credit: 1upLego via photopin cc
おはようございます!
WordPressでブログを始めてからはや2年になるのですが、レンタルサーバー先から初めてこんなメールが送られてきました。。
What’s!?
ちょっと怖いですよね。。
メールにはこの後の対処法が書かれていたので、一応現状は対応済みです。
対策を行っていくなかで、今まで自分がいかに甘い設定でいたのかを思い反省しました。
そこで、今日はこれを機会に私が行った設定あれこれをご紹介したいと思います!
あなたのWordPressブログは大丈夫ですか!?
①アクセス制限の解除
まずは、ロリポップさん側で既にやってくれた、アクセス制限の解除をします。
リンクが貼ってあったので、以下のリンク先で書かれている内容を実施しました。
http://lolipop.jp/manual/blog/wp-htaccess/
.htaccessファイルの「Allow from」欄に、自分の端末のIPアドレスを設定しました。
これでとりあえずOK!
さて、応急処置的にはこれで良いのですが、せっかくなので、セキュリティ向上のために自分でできることは出来るだけやっときたい!
そう思い、以下のリンク先に紹介されている対策を実施しました!
http://lolipop.jp/security/
②WAFの有効化
WAF(ウェブアプリケーションファイアウォール)はこれまでのファイアウォールなどでは防御できなかった攻撃(不正なアクセス)を検知しブロックする機能です。
引用元:対象のページ
これ、私全然やっていませんでした。。
こんなんじゃ、被害にあった時「そりゃそんだけ不用心だったらしょうがなくね?」と言われても反論できないですね。。
ちゃんと全て「有効」にしました!
③パーミッションの設定確認
引用元:対象のページ
パーミッションが「777」や「666」などになっていると、不正アクセスした人も書き込めるようになってしまうので、ロリポ側で推奨されているパーミッションに設定できているか確認します。
私のWordPressの「wp-config.php」は、ちゃんと「400」になってた。良かった。。
④FTPアクセス制限の設定
引用元:対象のページ
ファイルの編集やオリジナルテーマの設置等でFTP接続をするのですが、その接続元を制限することができるようです。
私は何も設定できていませんでした。。
なので、これを機会に、いつも使っているMacbook pro以外からは接続できないように設定しました。
⑤ログイン・FTP両者のパスワードの変更
さらに、これは完全に自分の怠惰な結果なのですが、ログインとFTPのパスワードをしばらく変えていませんでした。。
警告が出ていたので、両者とも変更!
これからは月に1回程度、変えていきたいと思います!危ない、危ない。。
⑥バックアップを取る
さらにさらに!
私、めんどくさがって、今までブログのバックアップを一度もとっていませんでした。。ホント今までなにもなかったから良かったものの、何かあって全て消えてしまってからでは遅いのでね!ちゃんとバックアップ取りましたよ!
しかも管理画面から、めっちゃあっさり取れるっていうね。
これからはローカルに「myBlog_bk」というフォルダをきって、月に1回、バックアップを取りたいと思います!
今回の出来事を良い機会だったと思って。。
結果的に何か被害があった訳でもないので、良かったといえば良かったのですが、「自分に関係なんかあるはずがない」と思っていた不正アクセスに実際にあってみて、「もしこれで本当にブログが乗っ取られたら…」と思うとすごく怖いです。。
なにかが起こってからではもう遅い!!痛感しました。
WordPressを使っている方は、ぜひ一度確認を!!
02/10 [月] 7:45 AM | カテゴリー:06_WordPress | コメント(0)
コメントフィード