ロリポップ!でやるべきセキュリティ設定【WordPress】

スポンサーリンク

こんにちは!管理人のうみねこ(@penta59631)です。

以前に、以下の記事で予算10万円で自作したPCの構成紹介を行いました。

あれから、数年が経ち、今の構成も結構変わっているので改めて紹介します!

うみねこ
うみねこ

こんな方におすすめ!

  • PC自作を考えているので、他の人がどういう構成にしているか知りたい。

「ロリポップ!を使ってブログを始めてみたけど、ロリポップのセキュリティ設定って何やればいいか知りたい。」

という方に向けた記事です。

この記事の内容
  • ロリポップ!で最低限やっておきたい無料でできるセキュリティ設定について紹介します。

ロリポップ!にはセキュリティ設定の項目がありますが、いまいちなんのための設定なのかわからないという方もいるかと思います。

今回は、ロリポップ!のセキュリティ設定についてそれぞれどのような攻撃を防ぐかという点も含めて解説していきます。

ロリポップ!でやっておきたい無料のセキュリティ設定

独自SSL証明書導入

この項目は、サイト全体をhttps化するための項目です。

基本的にどこかのサイトにアクセスする際、「http://○○.com」あるいは「https://○○.com」というようなアドレスで接続します

httpとhttpsで接続する際の違いは、内容を暗号化してやり取りするか、暗号化せずにやり取りするかという点です。

httpで接続した場合、内容が暗号化されずにやり取りが開始されます。

暗号化されないことで問題になるのが第三者による内容の盗聴です。

中間者攻撃といったりします。

簡単に言うと自分とは別の人がサーバとの通信内容を勝手に見て情報を盗み出す攻撃です。

セキュリティ対策が甘い公衆無線LANなんかで被害に合うケースが増えています。

単純にブログの記事を見るだけであれば、個人情報なども含まれていないので大丈夫だろうと思う方もいるかもしれません。

ですがブログの記事を更新する際、管理画面からログインしますよね。

そのログイン情報が盗み取られてしまったらブログを勝手に書き換えられたりすべての記事を消されたりというような自体にもなりかねません。

もちろんhttpにしたからと言って必ず盗聴されるというわけではありませんが、Googleもhttpのサイトには警告を出すようにしています。

https化手順

手順についてはまず以下を実行ください。

httpリダイレクト設定

この手順を実行した後、サイトにhttpsで繋がるようになります。

ただ、この状態だとまだhttpでも繋がります。

httpで接続しに来た人もhttpsで繋いでもらえるようにしなければ暗号化は不完全です。

[サーバーの設定・管理]-[ロリポップ!FTP]から.htaccessというファイルを開いてください。

ない場合はCMS(ブログの管理ソフト)のインストールディレクトリに作成してください。

.htaccessが開けたら中に以下のコードを追記して保存してください。

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

このコードを記載することでhttpでサイトに接続した場合も自動httpsに変換(リダイレクト)してくれるようになります。

WAF設定

この項目はWebサイト(Webアプリケーション)へのサイバー攻撃を防御するための設定です。

WAFとは、Web Application Firewallの略称です。

WAFはシグネチャと呼ばれるさまざまな攻撃パターンのリストを持っています。

何か操作が行われた際にこのリストと操作の内容を比較して、リストのパターンに合致すればそれを攻撃と見なしブロックします。

以下のような記事も出ているため、有効化することを推奨します。

WAFの有効化手順は以下をご覧ください。

WAFを有効化した場合、まれに正常な操作もブロックしてしまう場合があります。

そのような場合の対応方法は以下の記事に記載しているためご覧ください。

アクセス制限

この項目はディレクトリに対してアクセス制限をかける設定です。

指定したディレクトリはここで設定するユーザーのみアクセスできるようになります。

もし外からのアクセスを制限したいというディレクトリがある場合は、指定しておくとよいでしょう。

FTPアクセス制限

この項目はFTP接続に対するアクセス制限を行う設定です。

FTPとはファイル転送時に使うプロトコル(規則みたいなもの)です。

ロリポップ!は、ブラウザの管理ページから直接ファイルを作成したり削除したりすることができます。

また、自分のローカルPC上から直接サーバに接続してファイルを送ることもできます。

この際にFTPという規則で接続します。

FTPで接続するためには接続先、ユーザー名、パスワードが必要です。

ただ、もしユーザー名やパスワードが漏れてしまった場合、インターネットに繋がる人であれば誰でも勝手にファイルを作成したり、削除したりすることができてしまいます。

その様な事態を避けるためにFTPで接続できる接続元を絞るのがこの部分の設定です。

手順は簡単で、FTP接続を許可するIPアドレスをIPアドレスとなっている枠内に記載するだけです。

IPアドレスは下記画像の赤枠の部分に記載されています。
(家庭の回線によっては、PCを再起動するごとにこのIPアドレスが変わる場合があります。その場合は都度IPアドレスを追加してください。)

海外アタックガード

この項目は海外のIPアドレスから管理画面などへのアクセスをブロックする機能です。

基本的にこれからブログを始めるという方は、日本からのアクセスのみを想定している方がほとんどかと思いますので有効化することを推奨します。

海外向けにブログ展開される場合は、有効にしてしまうと支障が出る場合があるため、以下のガード対象を確認の上判断してください。(ページの閲覧であれば、有効化しても海外から問題なく閲覧できます。)

ディレクトリ、ファイルパス想定用途
/wp-admin/WordPress管理画面
/xmlrpc.phpWordPress外部記事投稿
/wp-login.phpWordPressログイン
/mt.cgiMovableType管理画面
/mt-comments.cgiMovableTypeコメント機能
/admin.cgiCMS管理画面等
/bbs.cgiBBS等
/wp-comments-post.phpWordPressコメント機能
/googlemap2GoogleMapプラグイン

さいごに

今回はロリポップ!のセキュリティ設定について解説しました。

最近は企業だけでなく個人に対するサイバー攻撃も増えています。

安全にブログ運営を行うためには、正しい知識を持って必要なセキュリティ対策を行うことが大事になってきます。

ぜひ参考に設定してみてください。