こんにちは、つたちこです。
このブログのような草の根サイトであっても、不正ログインなどの攻撃を受けることがあります。
悪意のだれか、というよりは、どこかのbot的なものではないかと思いますが、事前にセキュリティ対策しておくのは有効です。
Contents
久しぶりに不正ログイン攻撃を受けた
先日、誰かが不正ログインをしようとした通知メールが届きました。
一定時間内に管理画面へのログイン失敗を繰り返すと、ロックダウンする仕組みになっているのですが、それが発生したお知らせです。
それとは別に、ConoHaサーバのコントロールパネル上でも攻撃に気づきました。
「WAF※」の利用設定をONにしているんですが、ログを見たら、攻撃された形跡があります。
(※Web Application Firewall:Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策)
<スポンサーリンク>
私のブログでは個人情報などはほとんどない(私のメールアドレスくらい)ですが、万一不正アクセスなどあっては気分が悪い。
「とりあえず入れとけ」と、以前から一部設定していましたが、「セキュリティ対策大事だわ」と再認識して、さらにちょっと強化しました。
私のやっている対策はこちらです。
対応策1:サーバ側でセキュリティ設定
先ほどの「WAF」は、契約している「ConoHa WING」のコントロールパネルで設定できる、サイトセキュリティ対策の一つです。
サイト管理>サイトセキュリティ>WAF で、利用設定を「ON」にしています。
ワンクリックで完了。
排除したログが残るので「対策してくれてる感」があります。頼もしい。
また、同じサイトセキュリティの「WordPressセキュリティ」も、全部「ON」にしています。
このブログの場合、海外からのコメント・トラックバックも制限しました。
アクセスのほとんどが国内からなのと、コメントはそもそも受け付けていないし、トラックバックも滅多にないからです。
対応策2:WordPressにプラグイン「All In One WP Security & Firewall」を導入
もう一つの対策は、WordPressにセキュリティ用のプラグイン「All In One WP Security & Firewall」を入れていることです。無料のプラグインです。
セキュリティ強度メーターは、一応「グリーンエリア」ですが、全体からすると低め。
でも、基本的なところは押さえてあります。
(最初に書いたロックアウト通知メールは、このプラグインからの報告でした)
<スポンサーリンク>
こういうゲージがあると、見た目に「やってる感」があっていいですね。
設定する項目がめちゃくちゃたくさんあるので、じっくり見て調べながら、自分のわかる範囲で、使えるものだけでも対応するのが良いかと思います。
不快な思いをする前に、対策しとこう
どんな小さなブログでも、不正アクセスなどがあれば嫌な思いをします。
パーフェクトな対策はできなくても、難しくない範囲で自衛できることは、やっておこう。
上記対策は、簡単にできるタイプのものたちなのでぜひ。
Photo by Clint Patterson on Unsplash
