スパムの攻撃を防ぐサイトの設定方法(シニア講座4回目)

スポンサーリンク

スパムという言葉、だいぶん普及してきていますので聞いたことがあると思います。
もともとは“迷惑メール”をスパムメールと言っていたのですが、今ではメールだけに限らず、ブログのコミュニケーションツールの“コメント”や“トラックバック”でも迷惑な投稿や送信をスパムと呼ぶようになっています。

迷惑な行為は、実害を及ぼさないものであればまだ許せるのですが、インターネットでは大きな被害を被ることもあります。

  • なりすましやパソコンの乗っ取り
  • データーの改竄や盗み取り

といったハッカーなどによる攻撃も実際に行われています。

ここでは、サイト運営を楽しく継続できるよう、悪意のある第三者からの攻撃を出来るだけ防ぐ設定方法について解説します。

FTPサーバーとFTPクライアントの設定

WordPressはウェブサイトのデータをブラウザに表示させる為に、データベースとブラウザ間でデータをやり取りするシステムそのものをFTPサーバーに格納しています。

第三者が外部からFTPサーバー内に侵入されると、大変なことになりますので、まずFTPサーバーへの侵入を防ぐことが必要です。

FTPサーバーへの侵入経路のひとつが、接続中にアカウントとパスワードを盗まれることです。
それを防ぐのが暗号化した接続です。

暗号化した接続には2種類あります。

  • FTPS接続
  • SFTP接続

SFTP接続は「SSH」を使ったプロトコルですが、「秘密の鍵」が必要で、面倒なのでFTPS接続を使うことが多いようですが、FTPクライアントを選ぶ際には、FTPS接続かSFTP接続が可能なソフトであることを確認して下さい。

参照 ⇒ FTPクライアントのインストールと設定

FTPクライアント側で行えるセキュリティ対策はもう一つあります。パスワードですね。複雑な文字列にするということと、複数のFTPアカウントを設定した場合にマスターパスワードの設定をすることです。

暗号化接続とマスターパスワード対応という面で、FFFTPをお勧めします。

FTPサーバーでパーミッションを確認する

WordPressのインストールで[wp-config.php]の「属性」を[400]にすると説明しましたが、パーミッションについて解説します。

オーナー グループ その他
呼出 4 2 1
書込 4 2 1
実行 4 2 1

インターネットにつながっている様々なユーザーが、FTPサーバーに格納しているファイルへの動作権限を与えるのがパーミッションです。

ユーザーは3種類に区分します。

  • オーナー:つまり自分又は管理者です
  • グループ:オーナーから認められたグループに属するユーザー
  • その他:その他のユーザーですので不特定多数の世界中の人やロボット

権限も3種類に区分します。

  • 呼出(4):ファイルに書かれた命令文を呼び出す権限
  • 書込(2):ファイルの内容を変更する権限
  • 実行(1):ファイルに書かれた命令を実行する権限

各ユーザーに与える権限は、呼出(4)+書込(2)+実行(1)の合計数字で表します。

[wp-config.php]の「属性」は[400]でしたので『オーナーだけが呼び出せる』権限があります。
[777]に設定すると、すべてのユーザーにすべての権限を与えることになります。

WordPressの各フォルダにはいろんなファイルが格納されています。フォルダの中のファイルにはそれぞれ役割があり、内容が変更されると正しく動いてくれません。
そこでほとんどのフォルダのパーミッションは[755]ですが、ファイルは[604]や[644]になっています。
つまり書込み権限のあるのはオーナーのみです

特に[wp-config.php]は大切なファイルですので、オーナーさえも書込みできないように設定しています。その為、[wp-config.php]の変更はローカルで行って、変更したファイルをアップロードするようにします。

その他[.htaccess]というファイルもすごく大切なファイルです。セキュリティ上は[444]か[404]が望ましいのですが、WordPress側の管理上[604]に自動設定されるようです。

FTPクライアントで接続して「属性」を右クリックすると、現在のパーミッション設定が確認できますので、FTPサーバーに接続した際には確認してみて下さい。

パーミッションの解説は以上ですが、ファイルパーミッションの変更 – WordPress Codex 日本語版も参考にして下さい。

WordPress管理画面でのセキュリティ対策

自分のサイトの方でもできるセキュリティ対策があります。
WordPressの各機能の設定と拡張機能(プラグイン)の活用です。

まず、WordPressに初めからある機能の設定方法を解説します。

WordPressの設定

WordPressのダッシュボード左サイドにメニューが並んでいます。下の方に「設定」という項目がありますので、クリックして開きます。

セキュリティ以外の設定項目がほとんどですので、ここで一通り解説します。

一般
サイトのタイトル、キャッチフレーズ、サイトアドレス、時間の設定などを設定します。特に注意しなければならない設定項目はありませんので、任意に設定して下さい。
投稿設定
投稿に関する設定ですが特に変えるところはありませんので、ディフォルトのままでいいと思います。
一番下に「更新情報サービス」がありますが、WordPressをインストールする際に『検索エンジンがサイトをインデックスしないようにする』の設定をした場合は、ここには何も表示されません。『インデックス』するように設定した場合には、下の画像のようになっていると思います。

ここにはPING送信先のアドレスを入力します。
記入されているアドレスはWordPressがディフォルトで設定しているPingサーバーですが、この他

http://api.my.yahoo.co.jp/RPC2
http://bulkfeeds.net/rpc
http://blog.goo.ne.jp/XMLRPC
http://blogsearch.google.co.jp/ping/RPC2
http://coreblog.org/ping/
http://ping.bloggers.jp/rpc/
http://ping.blogmura.jp/rpc/
http://ping.cocolog-nifty.com/xmlrpc
http://ping.exblog.jp/xmlrpc

をコピーしてペーストしてもいいです。

表示設定
ここはとりあえずディフォルトのままでいいと思います。
ディスカッション
コメントやトラックバックに関する設定を行いますが、トラックバックについてはピンバック・トラックバックを受け付けない設定にするで既に終えていますので、それ以外の設定を行います。
まず「コメント」を受け付けるかどうかを決めなければなりません。ブログっぽいサイトにする場合はコメントは受け付けた方がいいですし、コーポレートサイト風のサイトの場合は、別に問い合わせページを作りコメントは受け付けないという考え方もあります。任意に決めて下さい。
コメントを受け付ける場合は次のように設定して下さい。

コメントを受け付けても内容を確認した上で承認したものを表示する設定です。そして、コメント投稿があった場合にはメールで知らしてくれるように設定します。

メディア
ここは取りあえずディフォルトのままでいいと思います。
パーマリンク設定
サイトの各ページのアドレス設定です。[基本]は避けた方がいいでしょう。
[数字ベース]か[投稿名]に設定します。
望ましいのは[投稿名]ですが、日本語サイトではアドレスの最後が日本語表記になります。
手間がかかりますが、投稿するたびにアドレスの記事タイトルを英数文字に変えるのが最も望ましいです。

プラグインのインストール

機能拡張をするプラグインの中には、セキュリティを向上させるものがあります。
他にもいろんな機能拡張ができます。
プラグインに関する記事が別にありますので、そちらを参照して下さい。

コメント