7. セキュリティー対策

通信環境の整備

ゼロトラスト —— インターネットなんて信用できない! —— ではなくて (^_^;、安全でない通信において安全な通信環境を構築する考え方のことです。IT用語って難しいですね。

ゼロトラスト環境の肝は『暗号通信』にあり、通信の暗号化が絶対です。

ハードウェア面においては、パソコンからの通信をWi-Fiにしてしまうのが効果的です。Wi-Fiの通信方法は、WPA3(Wi-Fi Protected Access 3)だったら大丈夫だと思います。機種でいうとWi-Fi6以上です。古い機種から設定を移行させると、古い通信方法がそのまま残っているので(セキュリティーがWPA2のまま)、WPA3のストリームに変更することを忘れないようにしましょう。

ハードウェア面のセキュリティー

まず、パソコンを置く位置を工夫します。パソコン画面が窓の外を向いていないように設置しましょう。外から画面をのぞき見られないようにするためです。

またパソコン・スマホはともに画面ロックをかけるようにしましょう。離席時のセキュリティーを上げるためです。ただしパソコンの画面ロックにはスマホのようにボタンひとつで行えるものではないので、設定や操作の仕方に注意が必要です。

Windowsの画面ロックの仕方は以下の通りです。

ソフトウェア面のセキュリティー

WordPressはプログラムがオープンソースでネット上に公開されており、セキュリティー上の脆弱性が発見されるとすぐに注意喚起も行われるので、コンピューターウイルスが仕込まれにくい環境にあります。外部から常時ウイルス対策ソフトが働いている状態ですね。

模式図で表すとこんな感じです。

注意しなければならないのは、レンタルサーバーの場合、サーバーとWordPressサイトの入り口が別々にある点です。二段階認証(2FA)を設定する場合、サーバーとサイトの両方に2FAの設定をしていく必要があります。
WordPress.comの場合は、ホーム画面が初期ドメインなので、サーバー側で2FAを設定するだけでOKです。純正ソフトの強みでしょうか。

基本的な対策は以下の通り。

1.サーバーのセキュリティーはできるだけ高くする
2.サイトへのログインはパスワードレスにする
3.メールはスマホにメール通知が届くものにする

自身のサイトへのアクセスを一発起動にし、かつ、セキュリティーも高いものを構築していきます。またメールは通知がスマホに届くようにし、即応体制を整えます。

具体的な対策例はコチラ。

WordPress.comはパスワードレス環境なので、設定が簡単にすむ利点があります。

レンタルサーバーは無料で複数のサイトが作れたりするんですけど、設定は少し面倒です。

WordPressサイトのセキュリティー

サーバー側の設定がすんだら、WordPressサイトに移動して設定していきます。主に実施することは2つで、サーバーを経由せずにWordPressサイトに直接アクセスできるようにすることと、二段階認証を行いつつパスワードレス環境を構築することです。

対策例はコチラ。

ユーザー側のセキュリティー

また最高レベルのセキュリティーを構築できても、ユーザーが不用意な行動をとってしまうと情報漏洩やハッキングが起こります。では最後に、ユーザーが取るべきセキュリティーのための行動をまとめておきましょう。

まずは私に起こった実際のハッキング事例です。Wordfenceからメールで報告がありました。

ハッカーは私がどこのスマホを使っているかを知っているみたいですね。

4/30にはログイン画面を突破し、4/9には二段階認証も突破しています。私が二段階認証を成功させた後すぐに、ハッカーも二段階認証を成功させているみたいですね。これは中間者攻撃を成功させたということなのでしょう。二段階認証を設定していても、このようなことは起こりうるのだと覚悟しておきましょう。

また、ハッキングされたからと言って、反撃するのはやめてましょう。ハッカーのサイトに行くことは自分が使用しているプロバイダーやIPアドレスを相手に教えているようなものです。これは方法を知っていれば可能なことで、上の図がそうだったりします。VPN(仮想ネットワーク)を使って正体を隠しても、調べることは可能です(Wordfenceにはこの能力があります)。
それよりも、まずはパスワードを変更し、証拠を持ってそのまま警察に訴えましょう。警察は損害が発生しないと動いてはくれないでしょうが、しないよりはマシです。

ハッキングされたとわかったら、大至急、データが改ざんされていないか確認していきます。ここはJetpackのアクティビティログを使うのが便利です。

誰かが編集していたら、改ざんが行われているということになります。

情報漏洩については、イベントログがチェックできれば分かると思いますが、データを見てみても素人目には何が行われていたのかがよく分かりません。『ハッキングされたら情報漏洩の可能性がある』ぐらいに捉えておきましょう。

とりあえず、オンライン決済サービスを利用してカード情報の漏洩は防ぐようにしましょう。

最後に

セキュリティー対策はWordPressでは一番難しい部分だと思います。WordPressはセキュリティーが弱いと言われることがありますが、実際には設定次第で強力なセキュリティーが構築できます。ま、色々と困難はありますけど、WordPressは苦労した後の喜びも大きい(出来ることの多い)ソフトですので、頑張ってどんどんと出来るようになっていきましょう。

WordPressには世界中の人が集まっているので、新しい発見があちこちにありますよ。

お疲れさまでした。

Leave a comment(コメントを残す)

タイトルとURLをコピーしました