セキュリティについて考えましょう(修正しました)

以前は考えてもみませんでしたが、web サイトや blog を運用していると、ほぼ必ずと言ってもいいほど attack (攻撃)を受けることになります。ほぼ間違いなく、です。

ですから最低限のセキュリティに関しては対処しておきましょう。WordPress の場合ね。

2022/10/09 状況が変わっていますので、書き直しました。

1、パスワードは簡単なものにしないこと

通常 WordPress で新規ユーザー登録すると、パスワードに20文字以上の”ランダムな”文字列が自動生成されます。これを覚えるのは大変ですから、簡単なものに変える方がいますが、絶対にやめましょう。ワードプレスで自動生成されるランダムなパスワードは十分な強度を持っていると思います。今まで、何万回もアタックを受けていますが、基本的にこれを突破されたことはないです。

iPhone などをお使いの場合は、IOS レベルでパスワード管理システムがありますから、パスワードはそれに覚えてもらうのが一番いいと思います。IOS 側でもパスワードを自動生成する機能もあります(これを使っている限りフィッシング詐欺に引っかかる可能性は”ほぼ”ないと思われます)。どこかにメモするにしても(スマホ内でも)人に見られるようなところに書くのはやめましょう。

2、アタックされているか、分かるようにしましょう

普通に運用しているだけでは、攻撃を受けているのかどうかわかりません。攻撃を受けているのかどうか、分かるようにしましょう。僕は「simple-history」、

と言うものを使用しています。もともと、セキュリティのために導入したのではないのですが、初めてアタックに気づいたのはこのプラグインのおかげです、これは WordPress の中で何をしたか履歴を記録するためのプラグインです。

一番大きなメインウィンドウでは誰が何をしたのか、どの IP アドレスから来たのか、と言うようなことがわかります。ここに、ログインが失敗したとか、知らない人がログインを試みている。など出てくることになります。

右側の棒グラフ、も大事です。いつもはそうでもないのに、突然、数百とか数千に跳ね上がっていたらほぼ、アタックを受けていると見て間違いないでしょう。

普段は気づかないから、冷静にしていられますが。ある日突然数千とか数万のアタックを受けている、と気づいたらあなたは冷静でいられるでしょうか?。

これは、たまたま僕が気に入って使ってるだけで、通常セキュリティ用のプラグインにはログイン履歴を記録する機能がついているのが普通です、それらを活用しましょう。

3、対bot 用のプラグインを導入しましょう。

2022/10/09 現在 recaptcha を使用するのを中止しています。recaptcha 本体が悪いのではなく、導入用のプラグインが不安定なため、ログインできなくなる恐れが大きいためです。

何千回とアタックをかける、と言うのは人にはできません。ほとんどは「bot」つまりコンピュータによる自動的な攻撃、ではないかと思います。

僕がよく使用しているのは Google の reCAPTCHA でつまりプラグインとは「reCAPTCHA」を導入するためのプラグインです。

このように、Google 側の管理画面で、ログインの頻度、怪しいログインはどのくらいのパーセンテージか?、と言うような履歴が表示されます。右下の青とグレーの矢印が描かれたものが reCAPTCHA のマークになります、これがログインウィンドウに表示されていたら、reCAPTCHA が導入されている。と言うことでもあります。

ぶっちゃけ、こんなもんが役に立つのか?。と言うのは誰もが思うところですが、かなり役に立ちます。僕が管理しているサイトではコメント欄にも reCAPTCHA を適用していますが、すり抜けたものはありません。ちなみに WordPress で標準的に提供されている Akismet は無料では商用利用ができません。しかも結構高いです。かっこいいことを言いたいのなら、気をつけましょう。

4、信頼できるレンタルサーバーを使いましょう

web サイト作成をしようかと考えたときに、 僕の一押しのレンタルサーバー「エックスサーバー」は少しお高いのじゃないかと考えました。それで、年間数百円で運用できるサーバーをお試しで使ったのですが、惨憺たる有様でした。猛烈なアタックが続いたのです。海外からのアクセスを遮断するオプションもほぼ意味なかったですし、レンタルサーバー側で用意されている、セキュリティもお粗末なものでした。

その後は少々高いくらいでは、安心感に変えられない。と思い、エックスサーバー一本で行くことにしました。

ある意味、僕自身のセキュリティ観念を高めてくれたと言う意味では感謝しています。あ、そのサーバーはまだまだ使用期間があったのですが、閉鎖いたしました(もちろん、たまたまと言う可能性もあります。ですが、安心感には変えられないと思いました)。

5、サーバーには個人情報を置かないようにしましょう

個人情報を得るために、アタックされる。と言うのがどのくらいの割合になるのかわかりませんが、一定の割合で国内からのアタックもあります。基本的な考えとして、サーバー内にはでき得る限り個人情報を置かないようにしましょう。

無いものは盗まれません。最悪、bot の踏み台にされるか、悪戯されて web サイトが停止するくらいで済みます。

結論

必要なのは現状の把握と、常識です。

知らない人について行かないようにしましょうね。と言うようなことです。まあ、いいか。と言うのは”基本的に”通用しません。攻撃され、突破されてからでは遅いのです

web サイトを運用するなら、最低限の勉強はしましょう。うちはこれで良いんだよ。本当にそうですか?。メンズエステで出来得る限りのサービスを提供しよう。それは当然ですが、お仕事として web サイトをお客様に提供するならせめて最低限の勉強はしましょう。お客様、セラピストさんがかわいそうです。

この記事が気に入ったら
いいね または フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

もとメンエス店長、今は別な仕事になりました。
ぽちぽち書きます。

コメント

コメントする

目次