7. セキュリティー対策

通信環境の整備

ゼロトラスト —— インターネットなんて信用できない! —— ではなくて (^_^;、安全でない通信において安全な通信環境を構築する考え方のことです。IT用語って難しいですね。

電信電話が安全でなかったことは古今東西のスパイ合戦が証明しているところで、今では通信傍受だけでなく、データ送信に割り込んでサイトを改ざんしてしまうという『中間者攻撃』なるものも存在しています。プロバイダーやサーバーが安全な通信環境を構築していたとしても、スパイを社内に潜り込ませればなんとかなってしまうので、大手でもスパイを解雇したというニュースが聞かれたりもします。今もスパイ合戦は続いているということですね。

ゼロトラスト環境の肝は『暗号通信』にあり、通信の暗号化が絶対です。

ハードウェア面においては、パソコンからの通信をWi-Fiにしてしまうのが効果的です。

よくフリーWi-Fi で個人情報が盗まれるという話を聞きますが、これは誰でも接続できるWi-Fiを使用しているから問題なのであって、誰でも接続できないように設定したらセキュリティーは高いです。普通に設定するとその高いセキュリティーが得られるので、この際、Wi-Fiを使いましょう。

その際に気を付けるべきことは、Wi-Fiの電波を玄関口から遠ざけておくことです。玄関口にはスパイが作業員を装って立つことができるからです。べつに自分のWi-Fiに接続されなければ問題ないんですけどね。可能な限り、『かんたん接続』のボタンは押さないようにしましょう。

アパートに住んでいて、隣の部屋に電波が届いてしまう(隣の部屋の電波も届いてしまう)というどうしようもない状況もよくあります。この場合の対処法として、Wi-fiルーターを金属の箱の中に収めてしまうという手があります。5m先のパソコンとの接続が不安定になったりします。機種としては、低速度2.4GHzのみの物がいいみたいですね。2.4GHzは電波の干渉を受けやすいそうです。

最新のWi-Fi(5GHz・6GHz)は干渉を受けにくいためか、到達距離が長いです。

とりあえず、古くて到達距離の短いWi-Fiを選ぶようにしましょう。
Wi-Fi 3、Wi-Fi 4あたりです。

金属の箱の材質はアルミケースがいいみたいですね。不導体を選択します。

図はアルミケースをアルミテープでふさいだもの

ただし、この方法は動画の再生に失敗してしまいがちなので気をつけましょう。

通信速度が下がる分、かんたん接続が難しくなります。

ハードウェア面のセキュリティー

まず、パソコンを置く位置を工夫します。パソコン画面が窓の外を向いていないように設置しましょう。外から画面をのぞき見られないようにするためです。

またパソコン・スマホはともに画面ロックをかけるようにしましょう。離席時のセキュリティーを上げるためです。ただしパソコンの画面ロックにはスマホのようにボタンひとつで行えるものではないので、設定や操作の仕方に注意が必要です。

Windowsの画面ロックの仕方は以下の通りです。

ソフトウェア面のセキュリティー

WordPressはプログラムがオープンソースでネット上に公開されており、セキュリティー上の脆弱性が発見されるとすぐに注意喚起も行われるので、コンピューターウイルスが仕込まれにくい環境にあります。外部から常時ウイルス対策ソフトが働いている状態ですね。

ハッキングによるシステム改ざん(クラッキングともいう)は、正直どのサーバーでもうまく対処できていません (-_-;)。一部は対応できるみたいですけどね。全てではありません。
WebアプリケーションのファイルはすべてURLで管理されているため、インターネットから直接ファイルにアクセスすることが可能です。ただし、これはログイン画面から正規ユーザーとして承認される必要があるので、つまりこのセキュリティー対策は、ハッキングされないように全力を注げばいいということになります。『入口対策』と呼ばれるものです。

この点において、今のところ最優秀なのはWordPress.comです。

ほとんど設定をいじる必要がありません。

ではここで、私がオススメしているWordPress.comとConohaWINGの対策例を紹介しましょう。

WordPress.comのセキュリティー

パスワードを自分で設定していたのなら、上記のようにパスワード設定の画面に移動して、WordPress.comが推奨する『強力なパスワード』を設定しましょう。

のボタンを押してパスワードを見えるようにし、その画像を保存します。Windowsなら 、MACなら『Shift + ⌘ + 4』です。右下に現れたサムネイルをクリックすると画像編集ソフトを立ち上げるのですが、同じウィンドウズでもWindows10ではそのようにはいかないので、画像編集ソフトを別に起動させて張り付けます。パスワードを画像として保存したのち、でパスワードを保存します。控えとして紙媒体にメモしてもいいのですけど、ミスをなくしたいのなら画像として保存しましょう。さらにこれをUSBに保存するなどして、IDと共にどこかに隠してしまいましょう(IDは登録したEメールアドレスです)。ID・パスワードをモニターに張り付けるようなことはしてはいけません。

あとはWordPress.comのナビに従って、『復元用メール』や『アカウント復元用SMS番号』などを設定していきましょう。

WordPress.comは、GoogleアカウントやApple IDを使ってのログインも可能であり、新規のログインが簡単に行えるようになります。スマホアプリ『Jetpack-ウェブサイトビルダー』を使う際に大変役に立ちます。

のボタンを押すとナビゲーションウィンドウが現れますので、ナビに従ってGoogleアカウントにIDとパスワードを保存しておきます。機密情報をネットに送りたくないのならしなくてもいいですけど(そのほうがセキュリティーが高い)、スマホアプリにWordPress.comの強力なパスワードを打ち込むのは少し面倒ですよ (^^;。

次に2段階認証も設定しましょう。WordPress.comの2段階認証は一度認証に成功すると次からは認証画面が出てこなくなるので、パスワードレス環境を維持できます。

ただし、2段階認証を設定するのなら、スマホアプリの『Jetpack – Website Builder』を先に設定しておく必要があります。このスマホアプリはセキュリティープラグインのJetpckと連動してアクセス解析などを行ってくれるのでWordPress.comユーザーは絶対にインストールしたほうがいいソフトなのですけど、なぜか初期設定の際に2段階認証を認識してくれません。なのでこのJetpackウェブサイトビルダーの設定を先に行っていきます。

2段階認証にはAuthenticatorを使います。SMS(ショートメール)を使った方法もありますが、Authenticatorのほうが暗号レベルが高いので、こちらのほうが断然オススメです。

QRコードが表示されたら、それをAuthenticatorでカメラ撮影するのではなく、まずQRコードを画像として保存します。Windowsでは で、MACでは『Shift + ⌘ + 4』でキャプチャーできますね。右下に現れた画像のサムネイルをクリックしたら画像編集ソフトが立ち上がるので(できない場合は別に画像ソフトを起動させます)、画像として保存します。

Authenticatorのカメラで撮影するのは、この保存した画像からです。

画像からでもQRコードは読み込むことができます。

Windows標準の『切り取り&スケッチ』
保存した画像をダブルクリックして表示させる

QRコードの画像を開いたら、スマホのAuthenticatorを起動させて撮影します。

QRコードを読み込んで、6桁の数字が表示されたら、その数字をに打ち込んで成功すれば、この画像がある限り、2段階認証には失敗しなくなります。

バックアップのためネット上にデータを保存する必要がなくなるので、セキュリティーが高まります。

のワンタイムバックアップコードも画像として保存しておきましょう。

画像からQRコードを読み込んで2段階認証を有効化できたら、強力なゼロトラスト環境の完成です。

お疲れさまでした。

次はConohaWINGのセキュリティー設定です。WordPress.comを利用する人はWordPressサイトのセキュリティーにまでジャンプしましょう。

ConohaWINGのセキュリティー

レンタルサーバーでは、WordPressのWebアプリケーションを使用する前に、サーバー側の設定をしておく(確認しておく)必要があります。
だいたいこのような順序で確認していくと良いと思います。

1.暗号通信の設定
2.パスワードの再設定
3.WAF設定
4.アクセスログの設定
5.FTPアカウントの無効化
6.メールアカウントの無効化
7.高速化設定
8.その他の設定
9.2段階認証の設定

レンタルサーバーでは初期値が推奨設定だと言えなくもないので、早く設定をすませたい人は2段階認証の設定だけをするようにしましょう(設定はコチラ)。

1.暗号通信の設定

ConohaWINGでは『Let’s Encrypt』というSSL/TLSが標準で装備されており、成約時点で暗号通信が行われています。

他にも『アルファSSL』という暗号通信が無料で設定できます。フィッシング対策に対応しているようで、SSL証明書を企業証明書としても使用できるみたいです。企業証明書は物によっては大変高価なので、販売サイトをお金をかけずに経営したい場合に有利です。でも普通のサイトではあまり関係ないのかもしれません。

ただ『Let’s Encrypt』は有名なので、『アルファSSL』に変えておくというのはありだと思います。ただし暗号レベルは同じです(最大256bit)。作業にも手間がかかりますので、最初は変更しなくていいと思います。

2.パスワードの再設定

ConohaWINGはパスワードレス環境ではないので、毎回サーバーにログインするごとにID・パスワードの入力を要求されます。暗号通信が行われているとはいえ、ID・パスワードが漏洩する潜在的な危険を冒し続けていることになるので、ID・パスワードはやがて漏洩するものと覚悟しておきましょう(個人的な経験では、総当たり攻撃が成功していないのにID・パスワードが漏洩していた)。

なのでパスワードは分かりやすいものを設定しておくのも一つの手だと思います。

セキュリティーよりも利便性を優先させます。分かりやすいID・パスワードはどのパソコンからでもアクセスできる利便性があって、いざという時に意外と役に立ちます。自身のサイトを調整する時などです。スマホからアクセスできるようにしていても大画面で確認したい時があったります。また、ハッキングされたというようなメールが届いたときに、スマホから見ようとすると、画面が小さくて操作に難渋したりもします。

WordPressは通常、サイトアドレスの直下に『/wp-admin』と打ち込むとログイン画面を表示させることができるので、分かりやすいID・パスワードを指定しておくと便利です。

とはいえ、パスワードは最低でも12桁の文字列を用意しておきましょう。

していなかったら、再設定しましょう。

あと、分かりやすいパスワードを選択した場合は、それを画面に張り付けたりはせずに頭で記憶するようにします。『頭の中』が一番高いセキュリティーです。自身がなかったら、メモに取って、誰も気づけないところに隠しましょう。

このメモをパソコン画面に貼ったりはしないようにしましょう (^^;。

3.WAF設定

WAFは『ウェブ・アプリケーション・ファイアウォール』の略です。Webアプリのウィルス対策ソフトですね。
ですが、普段何をしてくれているのか、よく分からなかったりします (^^;。

マニュアルを見ると、WAFが『OFF』で表示されてます。

『ON』にしたほうが良いと思われます。

確認してみましょう。

ONにすると、サイトを表示させるのに必要なファイルの削除やファイル名の変更を許さなくなるはずです。これがプログラムを改造したいと思った時に結構面倒なのですが(最悪Webアプリが起動できなくなる)、うまくやる方法があるので手順を踏めば大丈夫です。

ONにしたらWAFのイベントログが自動的に記録されるようになります。

ここに表示されるのはWAFが仕事をしたものだけです。

あと、このWAFは、コンピューターウィルスを自動的に駆除してくれたり、ハッカーのアクセスをブロックしてくれたりするものでないことを留意しておきましょう。ハッカーがサイト内に侵入してきた際に、サイトの改ざんを面倒にしてくれるものです。でもサイトの改ざんはファイルを直接編集することで可能ですし、個人情報も管理画面内を巡回することで盗み見ることが可能です。WAFとしてはイマイチなものですね。

でも、ないよりはマシです。

4.アクセスログの設定

アクセスログは自動で保存されているみたいですね。念のため確認しておきましょう。

引用元:エラーログ/アクセスログを確認する|ConoHa WINGサポート
引用元:エラーログ/アクセスログを確認する|ConoHa WINGサポート

アクセスログは100行まで保存されます。1日100回は自分のサイトにアクセスしている私のような人には少ないような気もします。でも後述する『ログイン通知』を設定しておけば不正アクセスにはすぐに気付くことができますので、不正アクセスが起きたら大ダッシュでこのアクセスログとWAFのログを見に行くようにします。

ログの保存期間は少し長めに設定しておくと良いと思われます。

5.FTPアカウントの無効化

ConohaWINGでは、初期状態でFTPアカウントが設定されていないようですね。

念のため確認しておきましょう。

ユーザー名・パスワードの欄に、ログインIDとパスワードを入力してみてファイルマネージャーが起動しなかったら、初期FTPアカウントが設定されていないサーバーということになります。

FTPアカウントがないとファイルマネージャーが使えないのですが、WordPress側にファイルマネージャーのプラグインをインストールすればいい話なので、特に必要ありません。まさかのためにファイルマネージャーくらいあってもいいような気もしますが、ファイルマネージャーを使用不能にするとセキュリティーが高くなるといえるので、無理にFTPアカウントは設定しないようにしましょう。

またサーバーの管理画面には可能な限りアクセスしないようにします。インジェクション攻撃を避けるためです。正規のユーザーになりすますことが出来れば、ラジオボタンをONからOFFに切り替えるぐらいは訳ないみたいですね。そのページに行かなければ、こういったインジェクション攻撃はある程度防ぐことができるので、WAF設定など、ワンクリックで変更できるものは極力見ないようにします。見ざるを得なかった場合は、変更後にボタンの変更が起きていないか一度確認してから、そのページを離脱するようにします。

とりあえず、サーバーは場所を用意するだけの『箱』にしてしまうのが良いと思います。

6.メールアカウントの無効化

契約時にメールアカウントは設定されないみたいですね。どのレンタルサーバーでもそうだと思います。そのままにしておきましょう。Gmailのほうがセキュリティーが高いので、連絡用にはGmailを使うようにしましょう。

スマホのEメールのほうがもっとセキュリティーが高いといえるのですが、個人情報をひとつ教えているようなものなので、使用しないほうがいいです。

連絡用メールの再設定の仕方はこのようになります。

なおメールアドレスを変更した際は、ログインIDも変わってしまうことになるので、注意しましょう。

7.高速化設定

一般的なものとして、サーバーキャッシュとブラウザキャッシュがあり、サーバーキャッシュはよく使うファイルをすぐに読み出せるようにして表示速度を上げるもの、ブラウザキャッシュはサイト閲覧者のパソコンにデータを保存して次回からの表示速度を上げるものです。
ConohaWINGではサーバーキャッシュは『コンテンツキャッシュ』と呼ばれています。

たいていのサーバーには処理速度を上げるための専用の高速化ツールがあり、ConohaWINGには『WEXAL』という高速化エンジンがあります。高速化ツールには相性があり、サーバーによってはうまくいかないことがあり、注意が必要なのですが、ConohaWINGのものはWordPressのような動的ホームページを高速化してくれるものなので、設定するべきです。

WEXALをONにするとコンテンツキャッシュは自動的にOFFになります。

ブラウザキャッシュもONにしたほうがいいと思われますが、WordPressのテーマにブラウザキャッシュが使えるものがあるので、そちらを使うほうが処理が速い気がします。無料テーマのCocoonがそうです。それを使う場合はブラウザキャッシュはOFFにしましょう。

8.その他の設定

a. ログイン通知

管理画面にアクセスすると、そのことをメールで通知してくれる機能です。自身のアクセスを含めて全てのアクセスに通知が届くので、不正アクセスの検知に役立ちます。サーバーは一度しっかりとした設定が済んでしまうとアクセスしなくなってしまうものなので、ログイン通知をわずらわしく思わず、設定してセキュリティーを高めましょう。

通知されるメールアドレスがスマホのEメールになっていたら、オレンジ枠の部分をクリックしてGmailなどのメールに変更しましょう。メールアドレスを変更したらログインIDが変更になってしまうことも留意しておきましょう。

b. 海外コメント制限の解除

日本人向けのホームページを作るとしても、海外からのコメントがもらえるかもしれません。日本製レンタルサーバーは海外からのアクセスやコメントを制限するのが当たり前のようになっていますが、時代にそぐわないので (^^; 解除しましょう。

海外コメントを許可しても、スパムコメントやトラックバックは拒否される設定になるので、問題ないと思います。

ちなみに『スパムコメント』とは大量のコメントを送ってくる嫌がらせ、『トラックバック』とはサイトのリンクを貼った時にそのことが相手のサイトに通知される仕組みのことです。WordPressでは『ピンバック』と呼ばれています。宣伝か嫌がらせのために関係ないサイトからのリンク通知が届けられる『トラックバックスパム』というものもあるみたいですね。

c. 海外アクセス制限

初期設定ではONになっています。これは海外からの管理画面へのアクセスを禁止してくれるもので、海外のハッカーに対して有効ですね。でも海外アクセスを制限しても海外ハッカーが自分のサイトに総当たり攻撃を仕掛けてくることを防いでくれたりはしないと考えられます。総当たり攻撃が成功した際に管理画面にアクセスされるのを防いでくれるだけです。

不正アクセスは、ログイン回数制限や2段階認証で防ぐしかないです。

変更の必要はないですが、確認したい時は以下のようにします。

海外旅行に行く前にこれらのボタンをOFFにしておくと(オレンジ色の枠)、旅行中でも編集が可能になります。べつに総当たり攻撃を防いでくれるものではないので、海外旅行中は全部OFFでいいと思います。

VPNと呼ばれるソフトを使うと、海外からでも国内からアクセスしたようにすることが可能なので、あまり意味のない設定です。ないよりマシくらいのものですね。

d. ログイン回数制限

初期状態でONになってます。不正アクセスを防ぐ要となるものです。

たいていのレンタルサーバーは、ログイン画面にreCAPTCHAが実装されており、総当たり攻撃への耐性があります。ただしreCAPTCHAは普通に10回、さらに20回はログイン試行が難なく試みることができるので、レンタルサーバーではこの回数を減らすための別のログイン回数制限が用意されています。ConohaWINGでは『ログイン制限』と呼ばれています。

しかしこのログイン制限、何回試行したらブロックされるのか、一度ブロックされたら何時間後にまたログイン試行が試みれるのか、どのマニュアルを見ても記述されていません。業務上の秘匿事項みたいですね (^^;。レンタルサーバーは通常、5回か10回のログイン試行が行え、ブロック期間は1日です。

ONになっているので確認の必要はないですけど、確認したい人は以下のようにします。

9.2段階認証の設定

以上でセキュリティー設定はだいたい済みましたので、最後に2段階認証を設定して、この『箱』を閉じてしまいます。2段階認証のところではAuthenticator(6桁の数字入力を要求するもの)しか設定できません。じつはSSHの設定も可能なのですが、Authenticatorのほうが簡単でいいと思います。

Auhenticatorは自分からスマホアプリを起動しないと誰もログインできないところがゼロトラスト的でいいと思います(ただし暗号レベルとしてはSSHのほうが高い)。

ONにするとQRコードが表示されてくるので、それをAuthenticatorのカメラで保存するのではなく、まず画像として保存します。コマンドを使うといいですね。Windowsなら 、MACなら『Shift + ⌘ + 4』です。右下に現れた画像のサムネイルをクリックしたら、画像編集が可能になります。ただしWindow10はワンクリックでは出来ないので、画像編集ソフトを自分で立ち上げて張り付ける必要があります。

保存形式は画質の劣化がないPNG形式がオススメですが、JPG形式でも大丈夫です。画像を保存したら、画像のほうを立ち上げて、スマホのAuthenticatorも起動し、AuthenticatorのカメラでQRコードを取得します。

画像として保存したQRコードをAuthenticatorに読み込ませます。

QRコードが取得できたら、6桁のコードが現れてきますので、それを『認証コード』の欄に打ち込んで保存できたら、その画像があるかぎり、2段階認証には失敗しなくなります。

これでスマホを落としたり、機種変更をしても大丈夫ですね?!

ついでにバックアップコードも画像として保存しておきます。

このバックアップコードは、2段階認証を解除しないといけなくなった時のものです。メモを取るよりも画像のほうが安全です。ただし、QRコードを画像として保存すると、このバックアップコードを使わないといけない場面にはまず遭遇しません。

あと、QRコードの画像はセキュリティーの最後の砦となってくれるものなので、ネット上にはアップロードしないようにしましょう(ネット上にバックアップしたりもしない)

2段階認証の設定がすんだら、パスワードレスでない強力なゼロトラスト環境の出来上がりです。

ですが、レンタルサーバーのWordPressはこれで終わりという訳にはいきません。

WordPressサイトのセキュリティー

1.サイトのSSL化

WordPress.comは初期ドメイン・独自ドメインともに最初からSSL/TLSの暗号通信が行われているので問題ありません。

ConohaWINGの初期ドメインも、契約時にこの暗号通信が設定されているので問題ないです。独自ドメインのほうは、他のサーバーからサイトを移行してきた場合に暗号化が行われていないことがあるようです。具体的にはアドレスバーの『https://~~』から始まる文字列が『http://~~』になっています。確認してみましょう。

まず管理画面URLからWordPressにログインします。ログイン画面が出てくるので、IDとパスワードを打ち込みます。このログイン画面が不安定になる時があるので(ストレージが満杯になっている時に起こる)、先に『ログイン状態を保存する』のチェックボックスにチェックを入れてからID・パスワードを入力する習慣をつけると良いでしょう。

WordPressにログインできたら、下の『設定』をクリックして、『一般設定』を表示させます。WordPressアドレスやサイトアドレスが『http://~~』で始まっていたとしても、上のアドレスバー()が『https://~~』になっていれば暗号通信は行われています。変更の必要はないのですが、気になる人は変更しましょう。

ConohaWINGにはボタン一つでサイトアドレスとデータベースを暗号通信化してくれるものがあります。『かんたんSSL化』と呼ばれるものです。このボタンが水色になっていたら、迷わずボタンを押しましょう。

2.サイトを『お気に入り』に登録

自分のWordPressサイトを『お気に入り』に登録しておくと、ダイレクトにWordPressサイトにアクセスできるようになります。サーバーにアクセスするごとに2段階認証をするのは面倒ですので、お気に入りからアクセスするようにしましょう。

レンタルサーバーを経由しなくとも、WordPressサイトにはアクセスできます。

WordPress.comは初期ドメインがサーバーの管理画面にもなっています。

WordPress.comの場合は左上のWordPressロゴ『』かホームボタン、ConohaWINGなどのレンタルサーバーの場合は管理画面URLをクリックすると『ダッシュボード(管理画面)』が表示されます。ここをお気に入り登録します。Microsoft Edgeでも、Google Chromeでも、やり方は同じです。印をクリックします。

これでブラウザのお気に入りから直接WordPressサイトにアクセスできるようになりました。

さらにデスクトップにこのアイコンを置きましょう。

Google Chromeだとドラッグ&ドロップでデスクトップにアイコンが置けます。

Microsoft Edgeではなぜかこれができないので、コンピューターのCドライブの『ユーザー』フォルダの『お気に入り』に入っていって、アイコンをコピペしてもいいですし、アプリとしてデスクトップに置いてもいいと思います。Edgeにはサイトを単体アプリとして起動させる機能があります。

これがすんだら、スマホのほうにもWordPressサイトのアイコンを設置します。

これが意外に面倒です。

本来なら、Google Chromeから管理画面にアクセスして、アイコンをホーム画面に設置したいところなのですが、サイトを公開していないとGoogleがその存在を認識していないのでアクセスできません (*_*)。サイトを公開しても認識されるまでしばらく時間がかかってしまうことでしょう。ちなみに、初期ドメインはサーバーのサブドメインなので、認識されるまでに相当な時間がかかってしまいます。

しばらくはスマホにアイコンを置かない、でもいいと思います。

自分のサイトがGoogleに表示されだしたら、ホームにアクセスし、アドレスバーの末尾に『/wp-admin』の文字列を追加してEnterキーを押すと、ログイン画面が表示される。
そこにID・パスワードを入力して(2段階認証もパスして)管理画面にアクセスしたら、右上の3点リーダーをタップして『ホーム画面に追加』をタップすると、以後は直接WordPressサイトにアクセスできるようになる。

スマホのホーム画面にアイコンを設置したい場合は、まずサイトの存在を認識させるために、WordPressにセキュリティープラグインのJetpackをインストールすると良いでしょう。Jetpack.comがサイトを認識する方法を、手動でやっていきます。WordPress.comのユーザーは最初に行っているものです(WordPress.comユーザーはこちらにジャンプ)。

まずはパソコンから操作していきます。

WordPressは拡張機能として『プラグイン』というものがあり、様々な機能をWordPressに追加してくれます。無料と有料があります。まずは無料で使ってみて、良いものだったら有料にバージョンアップすると良いでしょう。
Jetpackは有料バージョンだとセキュリティーが高まり、サイトの宣伝能力も高くなります。

上のどちらからでも行けます。

どのプラグインも、『今すぐインストール』のボタンを押して『有効化』を押したら使えるようになります。それで全てが終わるプラグインもありますが、Jetpackのように設定画面に移動するものもあります。
設定画面で初期ドメインのサイトを認識させます。

緑の『承認』を押すとJetpackと連携が始まり、Jetpack.com側にサイトの存在が認識されます。『Jetpackと連携しました』のバナーが出たら、下にスクロールして『Jetpack無料版で始める』をクリックします。すると『ダウンタイム監視』の設定などができていますが、後からいつでも設定できるので『後で』のボタンを押して最後の画面を表示させたら終了です。

この後『 後で 』を4回押すことになる

このあと、スマホのほうのJetpackウェブサイトビルダーをタップして起動させ、まず自分のサイトを登録します。

GoogleのSmartLock(パスワードマネージャー)はサイトのURLをうまく認識してくれないようなので、で『上記以外』をタップし、で初期ドメインのサイトアドレスを打ち込みます。パソコンの管理画面から『https://』と『/wp-admin』の間にはさまれた文字列を打ち込みます。このサイトは独自ドメインなので『michirojohn1.com』だけでいいです。サイトを始めたばかりの場合は初期ドメインなので(レンタルサーバーのサブドメインになっている)、サーバーのドメインごと打ち込む必要があります。ConohaWINGだと『サイト名.conohawing.com』になります。

つづく、のユーザー名・パスワードはGoogleアカウントが候補を表示することがあります。

されたら楽チンですね?!

そうしてスマホでのWordPressの管理画面が表示されたら、下のほうにスクロールして『WP管理画面』の文字をタップします。するとパソコン版のWordPressの管理画面(ダッシュボード)が表示されるので、それをホーム画面に登録します。

レンタルサーバーのWordPressユーザーは初期状態でJetpackウェブサイトビルダーのほとんどの機能が使えません。機能をフルに使えるようにするためには、まず自分のサイトにセキュリティープラグインのJetpackをインストールして、そのうえでWordPress.comの無料アカウントを作成してJetpackウェブサイトビルダーに登録し、そこからサイトを追加する形で自分のサイトを加える必要があります。それでスマホのホーム画面にアイコンを置く必要はなくなるのですが、パソコン版の管理画面(ダッシュボード)のほうが使い慣れると使いやすかったりもします。しかしこの場合、『WP管理画面』への行き方が少し違ってきます。

WordPress.comユーザーもこの方法でスマホのホーム画面にパソコン版のWordPressを登録することができます。上の方法でパソコン版の管理画面にアクセスしようとすると、GoogleのSmartLock(パスワードマネージャー)が出てくる上にアクセスに失敗してしまったり (-_-;、別の方法としてGmailで確認を取る方法があるんですけど、それで成功してもパソコン版とは少し違う管理画面が表示されたりします。

WordPress.comユーザーはJetpackウェブサイトビルダーをそのまま使うのがオススメです。

スマホ版のWordPressの使い方に慣れるようにしましょう。

3. サイトの2段階認証

WordPress.comユーザーは、これまでに2段階認証を設定していれば初期ドメインのサイトにそれが適用されるので問題ないです。パスワードレスかつ高セキュリティーの環境になっています。

レンタルサーバーのWordPressは、サーバーに2段階認証を設定してもサイトに2段階認証を設定したことにならないので、さらにもうひとつ2段階認証をプラグインをインストールして設定していく必要があります。

2段階認証を設定できるセキュリティープラグインはいくつかありますが、私がオススメするのは圧倒的にWordfenceです。Jetpackよりもセキュリティー機能が高く、

1. 不審なアクセスに確認のメールを送る
2. サイトが表示できなくなると警告のメールを送る
3. 全てのWordPressサイトを30日間パスワードレスにできる

といった機能があります。無料バージョンでも十分に高機能なのですが(GoogleアカウントやMicrosoftアカウントと同じレベルのセキュリティーがある)、無料バージョンではウィルス対策が30日遅れるという制限があります。ウイルス対策は最新のものでないと効果が薄いので(自身のウイルス対策に自信があれば別 (^^;) 、有料バージョンにアップグレードすることが勧められるプラグインです。安い物で年に1000円強しかかりません。それで最新のセキュリティーとリアルタイムIPブロックが手に入ります。
永久にパスワードレスにできないのが残念な部分ですかね。それ以外はJetpackよりも性能が上です。レンタルサーバーのJetpackはパスワードレスにはできないので(そもそもJetpackにそのような機能がない)、第一選択がこのWordfenceになります。

『110』は2回押すことになる

WordPressの管理画面から、『プラグイン』をクリックし、『新規プラグインを追加』をクリックしたら、キーワードのボックスに「wordfence」と打ち込むと、プラグインのWordfenceが表示されるので、『今すぐインストール』をクリックし、『有効化』のボタンに切り替わるまで待ちます。『有効化』のボタンを押すとWordfenceが使えるようになります。

その下に『Wordfence Login Security』というプラグインもあります(オレンジ色の枠)。これはWordfenceの2段階認証とreCAPTCHAの機能を追加してくれるプラグインで、Jetpackのセキュリティー機能を使いながらWordfenceの30日間パスワードレス機能を使いたい場合に便利です。Jetpackの最新セキュリティーにWordfenceの30日間パスワードレスが組み合わせられます。ただしWordfenceのログインセキュリティーが使えなくなるので、不審なアクセスへの確認メールやサイトが破壊された際の警告メールが届かなくなり、セキュリティーレベルが下がります。
ただ、JetpackとWordfenceの双方のセキュリティーを使うと少し重くなるので、Jetpackにセキュリティー機能をまとめる際の第二選択のプラグインになります。覚えておきましょう。

あと、WordPress.comユーザーには『Wordfence』は必要ありません。すでにパスワードレス環境であるからです。不正アクセスに対する脆弱性がありますが、2段階認証を設定しておくと、そうそう打ち破られるものでもありません。Jetpackのアクティビティーログには全てのアクセスが記録されており、不正アクセスを知ることもできます(ただしメールで通知されないので、こまめに自分で見に行く必要がある…)。

Wordfenceを有効化したら、2段階認証を設定していきます。

左上のWordPressロゴ『』をクリックすると管理画面に戻れるので、そこからスクロールして『Wordfence』をクリックし、『ログインセキュリティ』をクリックすると2段階認証の画面が現れてきます。それを画像としてキャプチャーします(Windowsなら 、MACなら『Shift + ⌘ + 4』)それを保存したのちに画像を開いて、その画像のQRコードをAuthenticatorで読み込みます。

Wordfenceの2段階認証の設定はこれで終わりです。有効化に成功すると『リカバリーコードをダウンロードしますか?』との質問が返ってきますが、これはダウンロードしなくても大丈夫です。画像として保存したものの中にリカバリーコードがあります。大文字の『O』がないリカバリーコードなので、とても分かりやすいですね。

次に30日間パスワードレスにする設定を行います。

設定を保存すると終了です。そして次回ログインした際に2段階認証を求められてくるので、その際に『30日間保存する』をチェックします。

設定項目の下には『XML-RPCコールの認証に2FAを要求する』という設定があり(オレンジ色の枠)、これはログインの際に2段階認証を実施させる設定です。これを『対応不要』のほうに切り替えて『を保存』をクリックするとログインの際に2段階認証が要求されなくなります。2FAを理解しないJetpackウェブサイトビルダーにサイトを組み込む際に便利な機能です。
これで一時的に2段階認証を停止させてJetpackウェブサイトビルダーにサイトを組み込んだら『必須』のほうに切り替えて『を保存』をクリックすると、また2FAで守られたサイトを継続させることができます。覚えておきましょう。

2段階認証の設定がすんだら、次はログイン回数制限の設定を行います。

じつはこのWordfence、初期値で20回ログイン試行が試みられるので、reCAPTCHAレベルです (^^;。
変えていきましょう。

初期値はこう

ログイン試行回数は5回、ブロック期間は1日ですかね。サーバーのブロック回数より少なく設定したほうが問題ないように思います。ちなみにConohaWINGだと10回、WordPress.comだと5回です。ログイン試行回数をこれより少なくしたら、先にWordfenceのブロックが発動されて、設定したブロック期間だけアクセスがブロックされます。

これでWordfenceの設定は終了です。ブルートフォース攻撃に苦労するハッカーたちの姿が見れて、なかなか楽しめるようになります。

ブルガリアの某はIPアドレスを変えながら、だんだんとこのサイトのログイン回数制限に気付いていっているようだった。Windowsのロック画面と同じく3回でロックアウトされると思っていたらしい。
 
それが分からないと、ルーマニアの某のようにバッチ処理で連続攻撃を同日内に繰り返すようになる。reCAPTCHAの画像認証を成功させるAIでも使っているのか、50回以上もアクセスしている。

これでWordPress.comのサイトよりも強力なセキュリティーを持つサイトが作成されました。

サーバー側のセキュリティーがイマイチなのが残念なところですね。

ConohaWINGなら『ログイン通知』があるので、不正アクセスには気づきやすいです。

その点ではWordPress.comより優れていると言えるでしょう。

ユーザー側のセキュリティー

WordPressの設定は以上で終了です。要はAuthenticatorなどを使って2段階認証を設定すればゼロトラスト環境の出来上がりという次第です。Googleアカウントなど、多くのネット環境がそのようになっています。しかしネット環境によって個体差があるので、それぞれを細かく見ていったほうが身のためというのがこのページの趣旨です。初期設定が最適であるかといえば、それは違うというのが結論になってしまうのが分かると思います。

また最高レベルのセキュリティーを構築できても、ユーザーが不用意な行動をとってしまうと情報漏洩やハッキングが起こります。では最後に、ユーザーが取るべきセキュリティーのための行動をまとめておきましょう。いくつは文中に書かれているものです。

1. 最高のセキュリティーは頭の中
2. 席を離れる時は画面にロックをかける
3. 可能な限りパスワードレス環境を構築する
4. 重要情報はアップロードしない
5. AuthenticatorのQRコードはバックアップしない
6. 不明なURLをみだりにクリックやタップしない
7.プラグインやテーマは自動更新しない
8. 脆弱性の見つかったテーマやプラグインは無効化する
9. 不正アクセスされた場合はすぐにパスワードを変える

サイトへのアクセスは可能な限りパスワードレス環境を利用しましょう。ソーシャルログインやJetpackログインなどです。なんでもタイピングの仕方からID・パスワードを割り出す方法があるらしく、直接入力よりもパスキーなどを使ったほうが安全だと思われます。ブラウザのクッキーからの入力でも大丈夫だと思います。よく見るやつですね。

ハッカーは、サイトアクセスから貴方のIPアドレスを割り出し、IPアドレスから貴方のサイトのURLを割り出して総当たり攻撃を仕掛けてくると考えられます。Wordfenceなどのセキュリティーレポートを見ると、IPアドレスが簡単に割り出せてしまうのが分かります。Wordfenceからのメールを見てみると、使用しているインターネットプロバイダーまで判明するのが分かります。

これがハッカーが最初に知りうる個人情報の範囲です。

メールで送られてきたURLを安易にクリックしてハッカーのサイトに飛ばされてしまうと、次はハッカーが貴方と同じインターネットプロバイダーを使用して総当たり攻撃を仕掛けてくる可能性があります。そうしたほうが不正アクセスに気付かれにくくなるからです。
なので、メールなどに書かれたURLは素性がしっかりしたところだけをクリックするようにしましょう。メール内の画像や動画は見るだけなら大丈夫です。最近のEメールは対策がしっかりと行われているからです。動画の再生も大丈夫です。画像や動画の内容をしっかりと見極めてから、そのサイトを訪問するか判断していきましょう。

WordPressは見つかったセキュリティー上の脆弱性をすぐにレポートしてくれるのでウイルス対策ソフトが要らないくらいですが、よくある脆弱性は『クロスサイトスクリプティング』です。これは上記のような方法で個人情報が漏れてしまう可能性があるものですが(モノの本を読むと余計に分からなくなったりもする…)、あまり心配しなくてもいいもののようですね。よく言われている危険性は表示されたサイトに個人情報を打ち込まなかったら大丈夫だったりもしますし、WordPressのテーマやプラグインでそのようなことが起こったのを私は見たことがありません。IPアドレスからインターネットプロバイダーまでがバレてしまう可能性があるものだと理解しておきましょう。

また、不正アクセスの試みがあったとしても、そのIPアドレスをたどってハッカーのサイトに行ってみるようなことはしないようにしましょう。相手に自分のIPアドレスと使用しているインターネットプロバイダーを教えてあげているようなものです。彼らはまだIPアドレスからサイトを割り出しているだけであり、インターネットプロバイダーまでは分かっていないはずです。

なんらかの脆弱性が報告されたら、サイトの表示がおかしくならない範囲で削除するか無効化のボタンを押して使えなくしてしまいましょう。私はWordPressで個人情報がすべて吸い取られてしまうようなコンピューターウィルスの報告を受けたことはないです。それは『バックドア』を仕込まれたのだと思いますが、Jetpackをはじめ、多くのセキュリティーがそのようなものがないかサイトを監視し続けていたりもします。
テーマやプラグインは手動で更新したほうが良いでしょう。このほうがプラグイン同士がコンフリクトを起こしてサイトの表示がおかしくなることを防ぎやすくなります。これをしないと、一度作成して放置していたサイトの表示がおかしくなった際に、バックアップを使ってサイトを復元することが難しくなります。

またセキュリティープラグイン(Wordfenceなど)からの脆弱性レポートには必ず目を通すようにしましょう。『アップデートにはセキュリティー関連の修正が含まれます』等の文言があったら、すぐさまアップデートするようにしましょう。

ハッキングされたら、まずはパスワードを変更し、まとまった時間が取れた時に2段階認証を変更していきましょう。その間にアクティビティーログで変更の内容を確認して(Jetpackがインストールされていればどのサイトでも確認することができます)、もし改ざんされているのが判明したら、その日付以前のバックアップにまで戻すようにしましょう。

WordPress.comユーザーがこれを使うにはアップグレードの必要がある。。。

でも見るだけなら記録が残らないので、盗み見られた個人情報を取り返すことはできません。

普段から、盗み見られないように最大限の努力を払うようにしましょう。

以上です。

—— セキュリティー対策はWordPressでは一番難しい部分だと思います。WordPressはセキュリティーが弱いと言われることがありますが、実際には設定次第で他よりも強力なセキュリティーが構築できます。ま、色々と困難はありますけど、WordPressは苦労した後の喜びも大きい(出来ることの多い)ソフトですので、頑張ってどんどんと出来るようになっていきましょう。

WordPressには世界中の人が集まっているので、新しい発見があちこちにありますよ。

お疲れさまでした。

Leave a comment(コメントを残す)

タイトルとURLをコピーしました