見出し画像
Photo by aoming

WPへの不正アクセスを防止/IPアドレスでアクセス制限設定の手順【初学者向け】

MOREi works
(はじめに)プログラミング知識があまりない方、サーバの知識があまりない方が対象です

最近、WEBサーバへの不正アクセスがとても多くなっていますね。被害もどんどん増えています。
セキュリティ知識のない人が、オープンソースのCMSを利用してWEBサイトを作成していることも原因の一つではないか、と思っています。

なぜなら、わたしは某プログラミングスクールのインストラクターをしているからです。

教材の中にはセキュリティ対策についての重要性はもちろん、基本的なことすら記述がありません。(全てのスクールが、というわけではありません)
セキュリティ対策を重要だと考えているインストラクターでなければ、基本的なセキュリティ対策をレクチャーしないのが現状…??
数か月つくることだけを勉強した人たちが、クラウド上の実案件に挑むということもやっています。
知らないのだから、対策できないのは当然ですね…。

わたしはこの状況がとても問題だと考えています。
そこで今回は、特別なアプリを使わない方法をレクチャーできればと思います。


【前提条件】

●WordPressのプラグインを使用しますので、WordPressでホームページを公開していること

●レンタルサーバのWAF設定画面からログを参照できること
 ・サクラは契約時にOFFになっていますのでご注意ください(契約時期によるかもしれませんが…)また、IPアドレスが参照できない仕様の可能性があります
 ・ロリポップ・ヘテムルなどの系列サーバは、契約時のONの状態になっていますし、IPアドレスも確認できますのでご安心ください

【手順】

1:WPプラグイン「Htaccess Editor」のインストール
2:レンタルサーバのWAFからログを参照し、アクセス元IPを取得
3:インストールしたプラグインを使用して、.htaccessを編集

1:Htaccess Editorのインストールと初期画面

Htaccess Editorは、サーバの設定を記述するファイル(.htaccess)を編集するプラグインです。

【インストール】

プラグインを追加_Htaccess-Editor

1:プラグイン画面[新規追加]をクリック
2:キーワードにプラグイン名「Htaccess Editor」を入力
 候補が表示される
3:[今すぐインストール]をクリック
 数秒待つと[有効化]に変わるのでクリック
完了です

【初期画面】

設定画面に入ると「Please read carefully before proceeding」(設定前によくお読みください)と表示されています。
記述を間違えるとサーバエラーでホワイトクスリーンになる場合がありますので注意して記述しましょう

プラグインを追加_Htaccess-Editor_step1

赤いエリア・中央をクリックすると編集できるようになります。

クイックインストールをした場合は契約しているサーバによって、初期値は若干内容が異なりますが、デフォルトは以下のような内容が書かれています。
※既に複数のプラグインを設定している場合、記述されている内容は異なります

# BEGIN WordPress
# "BEGIN WordPress" から "END WordPress" までのディレクティブ (行) は
# 動的に生成され、WordPress フィルターによってのみ修正が可能です。
# これらのマーカー間にあるディレクティブへのいかなる変更も上書きされてしまいます。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress


2:レンタルサーバのWAFからログを参照

公開したばかりだとログは記録されていないと思います。
でも、月間のアクセス数が100以下のWEBサイトでも不正アクセスがありますので、アクセス数が少ないからと放置は厳禁です。
不正アクセスされ、改ざんされた後から対策するのはナンセンスですね。

【ロリポップのWAF設定画面】

ロリポッぷWAF設定画面

各ドメイン別にログが確認できます。[ログ参照]をクリックします。

【WAF検知ログ画面】

ロリポップWAF設定_log

日付別にログをみることができます。
検知されている場合は上記画像のようにログが表示され、
検知されていない場合は「対象のログはありません」と表示されます。

表示されているアクセス元IPに制限をかけ、アクセスできないようにします。
たまに日本からの不正アクセスもあるので、IPアドレスから住所を検索して、海外のみに制限をかけましょう。
ちなみに上記画像の[51.91.121.242]はフランスでした。


3:プラグインを使用して.htaccessを編集

特定のIPからのアクセス拒否するため、プラグインを使用して.htaccessに追記します。

# アクセス制限
order allow,deny
allow from all
deny from 51.91.121.242

*注意:保存前チェック*
[Test Before Saving]をクリックしてエラーチェックをしましょう。

テストで問題なければ[Save Changes]をクリックして保存します。


まとめ

日本人のIT知識レベルは世界16か国の中で最下位という、非常に残念な結果が出ています。

ITセキュリティーソリューションを提供するKaspersky Lab(カスペルスキーラボ)は、世界16か国のネットユーザーを対象に、安全にインターネットを活用する上で必要な知識レベルを測定する「IT知識テスト」を実施。日本は16か国中もっとも知識レベルが低い結果となった。
2015年の記事:https://resemom.jp/article/2015/10/29/27669.html

たくさんの人が、セキュリティ対策にもっと関心を持つ日が早くくることを祈るばかりです。

この記事が気に入ったらサポートをしてみませんか?