改ざんされないためにやっておくこと
- Wordpressのバージョンアップ
通常のブログとしてWordpressを使用しているのでしたら、ログインするたびに更新できるかチェックしましょう。当たり前のことを言うようですが、ホームページが改ざんされると、最終的にはサーバー上のファイルをすべて削除して、きれいなファイルをアップしなければなりません。仮にWordpressを構成するすべてのファイルに精通する人がいたとしても、一つ一つファイルをチェックしていたら、何か月もかかってしまいます。 - 長い間(例、半年以上)更新されていないプラグインは使用しない
Wordpressに慣れてくると、便利なプラグインをやたら使いたくなります。Exec-PHPなどは2年以上更新されていませんが、このようなプラウインや、Wordpress本体の最新バージョンに対応しないプラグインはどんなに便利であっても、使わないほうがよいでしょう。知人に聞くと、Wordpressのバージョンを更新しないのは、怠けているのではなく、更新したくてもこのようなプラグインをいくつか使っていて更新できないのが原因のようです。 - ユーザーIDでadminは使わない
総当たり攻撃 【 brute force attack 】 ブルートフォースアタックによる暗号の解読やパスワードの割り出しを困難にさせるために、IDはadminやドメイン名を使わないようにしましょう。 - バックアップを必ず取る
「バージョンアップしたらバックアップを取る」習慣をつけましょう。よくテーマだけバックアップを取る人がいますが、これでは改ざんされた場合、修復に時間がかかります。Mysqlもできればバックアップを取るようにしましょう。Mysqlは詳しくない方は、投稿と固定ページをエクスポートしましょう。 - .ftpaccessでIP制限
FTPサーバーのルートにIP制限用のファイルを設置します。改ざん者がすでにバックドアを取り付けた後で、IP制限を行っても無駄ですが、固定IPを持っている人はFTPサーバーを入手したら、IP制限を行っておきましょう。 - パスワードは複雑に
これも当然のことですが、覚えらるる簡単なパスワードを設定する人が多くいます。「まさか自分のホームページが改ざんされるとは」改ざんされてからしまったと反省します。
Wordpressのログインパスワードだけでなく、FTPとサーバーコンパネのパスワードも合わせ複雑なものにしましょう。 - Mysqlにログインしてデータをすべてエキスポートします。
- 対応の良いホスティング会社のサーバーを使用する
改ざんされても本来、修復はサーバーを契約した本人が対応するようになっています。ホスティング会社はほとんど対応しません。改ざんにより大量のメールがサーバーから送信されると、最悪アカウントを停止する場合があります。
改ざんされたファイルを知らせてくれるホスティング会社ですが、参考までにロリポップとヘテムルをご紹介します
ロリポップは、大量メールを送信する改ざんファイルのパーミッションを000に変更し、連絡してくれます。また、怪しいファイルの拡張子を.suspectedとに変更してくれます。
ヘテムルは改ざんファイル名をテキストファイルにしてルートに保存してくれます。
いずれも修復や今後の対策に役立ちます。
初心者にもわかりやすいコントルールパネルで、無料のショッピングカートまでついています。
プラン変更の際でもサーバー以降やメールアドレス再設定の手間がありません。
ロリポップヘテムル
マルチドメイン、マルチデータベース、共有 SSL など多彩な機能と 200.71GBの大容量なサーバー環境が月額1,000円~! ホームページつくるならレンタルサーバー 『ヘテムル』
