ある日・・あれ?ブログが表示されない?
ワードプレスにもログインできない。。何が起きてる?
・・ブログ、乗っ取られた!!
ブログに侵入され、改ざんされたりするのは・・恐ろしいことです。
これはもう、ブロガーをやっている方であれば、言うまでもないことですよね。
なのでブログには、強力なセキュリティ対策が必須です。
なのでもし、ブログを始めたばかりだったりすると・・
一体、どうやってブログを守ればいいのか?
ここは知りたいところになると思います。
実際のところブログには、いろいろな要素があります。
ドメイン、レンタルサーバー、ワードプレスなどなど・・
そしてこれら全てを、ちゃんと守っていくというのは、けっこう大変なことだったりするのです。
なのでこの記事では、ブログのセキュリティ対策って具体的にどうすればいいの?
ここを解説していきます。
目次
守るもの①:ドメイン
ブログを構成する要素は、いろいろあります。
じゃあその中で、いちばん大事な、最優先で守るべき要素はなに?
そう聞かれたら・・ここは「ドメイン」一択です。
ドメインというのは「ブログの住所」みたいな、短い文字列のことです。
このブログだと「rifree.net」ですね。
これは世界にひとつしか無い、ブログ固有のものになってきます。
ブログを始めるときは、これを取得しますよね。
なぜ、ドメインはそんなに重要なの?
「ドメインを守る」が最重要!その理由
ドメインが重要な、その理由は・・
ブログが、ドメインを見て評価されるからです。
ブログを伸ばしていくには「グーグルからの評価」が、とてつもなく大事です。
そしてグーグルはドメイン単位で、ブログを評価していますので・・
ドメインを失うことは、ブログを失うのと同じことになってしまいます。
新しいドメインを取得して、バックアップからデータを戻して、まったく同じサイトを作ったとしても・・
グーグルからはまったく別のサイトが、オリジナルをパクったとしか見えません。
なのでドメインを失ったままで、グーグルからの評価を取り戻すのは基本的に無理なのです。。
逆に、たとえばワードプレスをハッキングされて、データをすべて失ったとしても・・
ドメインさえ生き残っていれば、バックアップからデータを戻せば、それで元通りです。
と・・そういった事情があって、「ドメインの守り」は最重要なのです。
では、ドメインを守る方法は?
②:2段階認証
③:レジストラ選び
④:ドメインプロテクション
こんな感じです。
以下、ひとつずつ解説していきます。
ドメインを守る①:複雑なパスワード
まずは、いちばんの基本からです。
ドメインを守るには、長くて複雑なパスワードを使いましよう。
ここで言うパスワードとは、ドメイン管理会社のログインパスワードですね。
「パスワードを複雑に」というのはブログに限らず、ITを扱うときの基本かもしれませんが・・
ドメインのパスワードも忘れずに、長く複雑にしておくほうがいいです。
他のサービスでいつも使っているパスワードを、ドメインにも使う!
というのは、完全NGだと思います。無駄にセキュリティレベルを下げるので・・
ドメイン専用の、独自のパスワードを作りましょう。
もちろん文字数も、できるだけ多めで・・
英字の小文字・大文字、数字、記号がすべて入っているとベストでしょう。
もちろんパスワードを、そのへんのメモ帳に記録するのはNGです。
いつ、誰に見られるかわかりませんので・・
パスワードはパソコンやスマホの中に、暗号化して記録するのがおすすめです。
一番はパスワード管理ソフトで管理する方法でしょう。
ドメイン用パスワードだけではなく、他のいろいろなパスワードもこれで管理できます。
有名なのは「Keeper」、「1Password」などですね。
パスワード管理ソフトは基本的に有料ですし、扱いがちょっと難しいですので・・
場合によってはWordに書き込んで、パスワードをつけて保存するのもアリだと思います。
と、パスワードは複雑で長いものにしておいて・・
作ったパスワードは暗号化のうえ、厳重に保管しておきましょう。
ドメインを守る②:2段階認証
ドメインを守る、ふたつめの方法は「2段階認証」です。
2段階認証は有名なので、いろいろなサービスで使っている方も多いでしょう。
ログインするときスマホやメールに、ワンタイムパスワードが飛んできて・・
それを入力しないとログインできない、という仕組みですね。
ログインは普通、パスワードを知られてしまえば突破されてしまいますが・・
2段階認証を設定していればその場合も、セーフとなります。
侵入者がパスワードと同時に、あなたの「スマホも」入手しない限り、ログインできないからですね。
それはおそらく、まず無理なことだと思います。
ドメイン管理会社のログインでも、たいていの場合で2段階認証は用意されていますので・・
忘れずに設定して、セキュリティレベルを上げておきましょう。
ドメインを守る③:レジストラ選び
レジストラ選びも、ドメインを守る方法のひとつです。
レジストラは、あなたのドメインを管理してもらう会社です。
そして例えば、トラブルを起こしやすかったり、信頼性が低かったりする会社を選ぶと・・
そのぶんだけドメインのセキュリティレベルは、落ちてしまいます。
なので出来るかぎり、信頼のおけるレジストラを選んでおくほうがいいのです。
信頼のおけるレジストラを選ぶには、どこに注目すればいいの?
重要なのは「ICANN認定レジストラ」を選んでおく、というところです。
ICANN(アイキャン)とは、ドメインを直接管理しているアメリカの会社で・・
あなたのブログのドメインが「jpドメイン」では無いとしたら、ICANNで管理されています。
そしてその「ドメインの元締め」とも言えるICANNと、ドメイン管理において直接の契約を結んでいるのが、ICANN認定レジストラです。
なので「ドメイン管理における信頼性」を考えるとき、ICANNと直接繋がることができる認定レジストラは、一枚上手になると期待できます。
そしてICANN認定ではないレジストラは、厳密には「リセラ(ドメインの再販業者)」ということになり、そのぶんだけ信頼性は落ちる可能性があります。
レジストラの選び方についての、より詳しいところは・・
上の記事で具体的に解説していますので、もし必要であればご覧ください。
ドメインを守る④:ドメインプロテクション
ドメインをもっとしっかり、もっと厳重に守るために・・
「ドメインプロテクション」も、設定しておくのがおすすめです。
ドメインプロテクションについての詳しい解説は、
上の記事でしているのですが・・
ざっくり解説すると、
重要な設定変更をしようとした時、認証メールが届いて確認が必要になる
という仕組みですね。
2段階認証の、設定変更バージョンみたいなイメージです。
ドメインには「ドメイン移管」「ドメイン売買」といったサービスがあります。
そして万が一、こういった仕組みを不正に使われてしまうと・・
あなたのドメインの所有権がいつの間にか誰かに移ったり、いつの間にか売られたりするかもしれません。
そしてドメインプロテクションを設定していれば、そういった重要な作業をする前に、メールによる認証が挟まります。
なので例えパスワードを入手され、勝手にログインされてしまったとしても・・
それだけでは「重要な作業」はできないので、ドメインは守られる、という仕組みですね。
ちなみにドメインプロテクションというのは、定番レジストラ「お名前.com」で使われている名称で・・
たとえば「ムームードメイン」だと、「ドメインロック」というサービス名だったりします。
ドメインプロテクションは、管理会社にもよりますが・・
1ドメインあたり「1,000円/年」くらいの、有料サービスになっていることが多いです。
しかしその程度のコストで、ドメインの守りを1枚プラスできるわけですので・・
セキュリティを重視するのなら万一に備え、登録しておくのをおすすめします。
守るもの②:ワードプレス
ブログで守るべき最重要要素は、ドメインです。
しかしドメイン以外にも、守る要素はあります。
中でも「ワードプレス」は、しっかり守りたいところです。
ブログは一般的には、ワードプレスを使って作ります。
そして作ったブログは、ワードプレスによって構成されたデータとして、ネットに公開されることになります。
あなたのドメインにアクセスすると、このデータがブログとして表示されるわけですね。
ワードプレスは、ログインしてから編集などするもので・・
そしてこのワードプレスのログイン部分も、ハッキングされやすいところです。
ワードプレスがハッキングされてしまうと、ブログの中身を勝手に改ざんされ・・
変なアダルトサイトみたいにされてしまったり、詐欺サイトにリンクを貼られまくったり・・
なんていう、とんでもないことになります。
その状態が続くと、グーグルに「このサイトは詐欺サイトだ」とのレッテルを貼られたりします。
なのでワードプレスは、ドメインの次くらいに重視して守っておきたいものなのです。
では・・ワードプレスを守るためには、どうすればいいの?
挙げてみると、
- 複雑なパスワード
- セキュリティプラグイン
- 2段階認証
- ワードプレスのバージョンアップ
という感じです。
「複雑なパスワード」はドメインだけでなく、ワードプレスにおいても大事です。
しかしここは上で解説しましたので、ここでは次の要素「セキュリティプラグイン」から解説していきます。
ワードプレスを守る:セキュリティプラグイン
ワードプレスを守るために、セキュリティプラグインは必須です。
ワードプレスはそのままでも、パスワードによるセキュリティだけはありますが・・
セキュリティプラグインを導入すると、さらにいろいろな守りを追加できます。
なのでワードプレスでブログをやっていくなら、これも必要です。
具体的に、どんな守りが追加されるの?
たとえば通常のログインURLを入力しても、ログインページにアクセスできなくする「ログインページ変更」とか・・
ツールによる自動ログインを防ぐ「画像認証」とか・・
もしくは、何度も繰り返してくるアクセスを遮断する「ログインロック」とかいったものがあります。
このあたりの機能は、大体どのプラグインでもついているはずです。
セキュリティプラグインとして、私自身は「SiteGuard WP Plugin」を使っています。
多くのブロガーが使っている、定番のプラグインですね。
プラグインは最終的にはいろいろ試して、自分に合うものを選ぶのが一番です。
とはいえもし初心者で、どれを選べばいいかわからない!という状況なら・・
とりあえず「SiteGuard WP Plugin」を入れて、大きな間違いにはならないと思います。
ワードプレスを守る:2段階認証
上で解説した「2段階認証」は、ワードプレスにも有ったほうがいいです。
そしてワードプレスで2段階認証を導入するには、プラグインが必要です。
2段階認証プラグインにも、いろいろありますが・・
定番は「Two-Factor」というものですね。
私自身、これを使っています。
このプラグインを導入すると、ワードプレスにログインしようとした時・・
メールもしくはスマホに、セキュリティコードが送られてくるようになります。
そしてそのセキュリティコードを入力することで、はじめてログインできる、となります。
ここも設定しておけば、ワードプレスの防御力はさらに跳ね上がります。
ワードプレスはよくログインするので、2段階認証までするのは大変!と、もしかしたら思われるかもですが・・
セキュリティを重視するなら、導入しておくほうがいいのでは・・と思います。
ワードプレスを守る:バージョンアップ
ワードプレスのバージョンアップも、セキュリティ向上に有効です。
バージョンアップで、セキュリティレベルを上げる!
これはワードプレスに限らず、IT系の基本だと思います。
パソコンもスマホもそうですよね。
IT機器やITソフトには「セキュリティホール」が出来やすく・・
侵入者はその穴を見つけて、そこから侵入してきます。
なのでバージョンアップによって「パッチを当てる」ように、その穴を塞いでいくわけです。
そしてもちろんバージョンアップをしないと、セキュリティホールはそのままです。
なのでワードプレスも定期的に、バージョンアップをしておくことで・・
セキュリティホールが塞がれた、安全にすることができます。
とはいえ「バージョンアップは、よく不具合を生む」というのもまた事実です。
バージョンアップをすると、ブログの根っことなるデータそのものが変更されますので・・
最悪、うまく表示されていたブログが、真っ白になって表示されなくなった・・とかになり得ます。
なのでバージョンアップする時はいつでも戻せるよう、バックアップを取りながらがいいですし・・
不具合を避けるため、あえてしばらくバージョンアップしない!というのも場合によっては有効です。
このあたりは考えながら、臨機応変に、ですね。
とはいえセキュリティのことを重視するなら、バージョンアップは有効ですので・・
できる範囲で、ちゃんとやっておくのをおすすめします。
守るもの③:レンタルサーバー
守る対象として、「ドメイン」「ワードプレス」を解説してきましたが・・
「レンタルサーバー」も、守る対象のひとつです。
ブログを作るときは、レンタルサーバーを契約すると思いますが・・
このレンタルサーバーの管理画面に勝手にログインされたり、サーバーが不正アクセスされたりしないように、ということですね。
レンタルサーバー管理画面に勝手にログインされてしまうと、いろいろな設定を変えられてしまいます。
最悪、勝手にサーバーデータを消される可能性もありますね。
サーバーデータを消されるともちろん、ブログ自体が消えてしまいますので、これは痛いです。。
もしくはレンタルサーバーに不正アクセスされると、ワードプレスに侵入されたり・・
サーバーデータに直接アクセスされて、勝手に改ざんされたりするかもしれません。
そうなるとブログがまともに動かなくなりますので、これもやばいですね。
なのでレンタルサーバーを、不正ログインや不正アクセスから守る!も大事なのです。
レンタルサーバーって、どう守ればいいの?
- 複雑なパスワード
- 2段階認証
- 独自SSLの導入
- 「WAF」「海外アタックガード」「アクセス制限」導入
やるべきことは、こんな感じです。
複雑なパスワードは、レンタルサーバーのログイン画面でももちろん有効です。
そして2段階認証も、もしレンタルサーバー管理画面でも設定できるなら、しておくほうがいいです。
ここまでは上で解説していますので、ここでは「独自SSLの導入」から解説していきます。
レンタルサーバーを守る:独自SSL化
独自SSLの設定をすると、セキュリティレベルを上げられます。
独自SSLを設定すると、URL部分が「https」になります。
このブログのアドレスバー部分を見ると、httpsになっているはずです。
独自SSL化が出来ていない場合は、「http」になりますね。
なのであなたのブログのURLがすでに「https」になっているなら、ここですることはありません。
独自SSL化って、なに?
本格的に知ろうとすると、かなり複雑なようですが・・
要するに通信の暗号化のことです。
「http」での通信は、第三者がその気になれば、データ通信の中身が覗けてしまいます。
しかし「https」なら暗号化されているので、それは基本的にできません。
通信の中身が覗ける状態と、暗号化されていて覗けない状態・・
どちらがブログにとって安全か?というと、もちろん暗号化されているほうですよね。
これはブログ運営者にとっても、訪問者にとっても、です。
そしてこの独自SSL化は、通常、レンタルサーバーの管理画面から行います。
管理画面のメニューに「独自SSL証明書導入」といった項目があれば、そこから導入できますね。
現代ではこのあたりの操作が親切になってきているので、おそらくさほど迷わないのではと思います。
設定が完了し、あなたのブログのURLが「https」になれば、ここは完了です。
暗号化によって守られていますので、セキュリティレベルはアップしています。
もしあなたが、今からブログを作ろう!としていたり・・
ブログを持っているけど、URLがまだ「http」だ!と気づいた場合は・・
できるだけ早く、独自SSL化しておくのをおすすめします。
レンタルサーバーを守る:「WAF」「海外アタックガード」「FTPアクセス制限」導入
レンタルサーバーにはたいていの場合で、不正アクセスを遮断する機能があります。
ブログが置いてあるレンタルサーバーには、日々さまざまなアクセスがあるわけですが・・
それらの中でも「怪しいアクセス」は、最初から弾いてしまうわけですね。
ワードプレス側にも、セキュリティプラグインがあるわけですが・・
サーバーの防御機能というのは、その「前」に発動するものです。
ワードプレスというソフトウェアに届く前に、サーバーへの接続そのものを切るわけですね。
そしてもちろん、これらは両方あったほうがいいです。
不正アクセス遮断機能は、サーバーにもよりますが・・
- WAF
- 海外アタックガード
- FTPアクセス制限
このあたりはあると思います。
WAFは、ウェブアプリケーション・ファイアウォールの略で・・
その名の通り、ウェブアプリケーションを侵入者から守るための壁をつくるような機能です。
ファイアウォールというのはパソコンの世界で有名なので、聞き慣れた言葉かもしれません。
そしてブログは実は、ウェブアプリケーションの一種です。
なので、WAFで保護できる対象となります。
WAFを本格的に理解しようとすると、なかなか難しいようなのですが・・
WAFをオンにすると、ブログの前にファイアウォールができて、悪意のあるアクセスを遮断してくれる!
こんな感じの理解でいいのではと思います。
「海外アタックガード」は、海外からの不正アクセスを遮断する機能です。
どことは言いませんが、海外にはハッキングやサイバー犯罪を繰り返す国がありますので・・
そういった海外からのアクセスを中心に、あらかじめ遮断してくれるわけですね。
海外に住む日本人の読者も、遮断されるのでは?と思われるかもですが・・
海外の「怪しいアクセス」のみ遮断する機能なので、そこは大丈夫のようです。
「FTPアクセス制限」は、FTPサーバーという部分へのアクセスを制限します。
FTPサーバーというのは、ブログに表示する画像など、さまざまなデータを保管している部分で・・
ここに不正アクセスされてしまうともちろん、ブログを壊されたりするリスクがでてきます。
そしてFTPサーバーの入り口へのアクセスは、限られた人だけができれば良いです。
要はあなただけが、FTPサーバーのデータを編集できればいいはずで・・
その他の人は、一括で遮断してしまっていいはずです。
なのでFTPアクセス制限は通常「特定のIPアドレスだけを許可する」形になっています。
あなたがFTPサーバーにアクセスするところだけを、遮断せず通すわけですね。
これにより無駄なアクセスを防ぎ、セキュリティレベルを高めることができます。
と、それぞれの機能についてざっくり解説しましたが・・
基本的には、それぞれ何か悪さをするような機能ではないはずです。
なのでこれらの機能があるなら、とりあえずすべてオンにしておくで大丈夫でしょう。
「バックアップ」はかならず作る
侵入者からブログを守る!というタイプのセキュリティも大事ですが・・
ブログのバックアップももちろん、同じくらい大事です。
バックアップさえ取っておけば、ブログが破壊されたとしても、すぐに戻せます。
いちばん大事だと言った「ドメイン」が失われない限りは、回復できますね。
しかしもし、バックアップをひとつも取っていなかった場合は・・
当然、ブログは完全に失われてしまいます。
なのでバックアップしておくのは、ブログを守るためかならず必要です。
バックアップは具体的に、どう取ればいいの?
方法はいろいろあって、もちろん自分に合うものを選べばいいのですが・・
参考までに私自身が使っているのは、
- ワードプレス純正バックアップ機能
- レンタルサーバーのバックアップ機能
この2種類です。
バックアップ方法①:ワードプレス純正バックアップ機能
ワードプレスには、純正のバックアップ機能があります。
プラグインなどを、特にインストールしなくても・・
初期状態でそのまま使える機能ですね。
使い方としては、まずワードプレスにログインし・・
メニューから「ツール」「エクスポート」の順に進み、「すべてのコンテンツ」を選択した状態で「エクスポートファイルをダウンロード」をクリックします。
そうすれば、拡張子「.xml」がついたファイルがダウンロードされるはずです。
そしてこのファイルには、ブログのすべての文章データが含まれています。
文章の装飾や、画像を表示するためのスクリプトも一緒に、ですね。
なのでこれを普通にパソコンなどに保管しておけば、それでバックアップは完了です。
データを、ワードプレスに戻すのも簡単です。
方法としては、まずはワードプレスを開いて・・
「ツール」「インポート」、「WordPress」の「今すぐインストール」、の順にクリックしていきます。
すると、自動でインポート用のツールがインストールされ、
「インポーターのインストールを完了しました」と出るので、「インポーターを実行」を押します。
すると、
ファイルがアップロードできる画面になりますので、ここでxmlファイルをアップロードすれば復活完了です。
たとえばまっさらなワードプレスに、この処理をすれば・・
ダウンロードしたすべての記事たちが、ブログに登録されていると思います。
この方法はプラグインの導入も必要なく、シンプルで・・
純正の方法だけあって、信頼性も高いと思います。
何度かこの方法を使ってブログに記事をリストアしていますが、これまでに行った限りだと、不具合なども特には出ませんでした。
作業としても、いつもの管理画面からクリック数回で、簡単にできますので・・
とりあえず定期的にやっておいていいのでは、と思います。
バックアップ方法②:レンタルサーバーの機能
ワードプレス純正の方法でも、バックアップはできるのですが・・
この方法には画像はバックアップされないという弱点があったりします。
他にもプラグインとか、ワードプレステーマとか、そのあたりはバックアップされないですね。
そういったデータは別口で、パソコンに残しておく!というのもアリなのですが・・
すべてを一括でバックアップする方法は無いの?と、もしかしたら思われるかもしれません。
そしてレンタルサーバーのバックアップ機能を使えば、それは簡単にできます。
方法は、レンタルサーバー会社によって違ってきてしまうのですが・・
たとえば私自身が使っている「ロリポップ」だと、「バックアップオプション」という機能があります。
これを使えば・・
ロリポップのバックアップオプション管理画面より引用
こんな感じの画面から、ブログを構成するデータすべてを丸ごとバックアップできます。
そしてその全てをダウンロードし、自分のパソコンで保管することもできます。
ブログを構成するデータは、大きく「データベース」と「FTPサーバーデータ」の2種類あるのですが・・
この両方をちゃんと、全部まるっと保管することができます。
バックアップからのリストアも、クリック数回で簡単にできます。
バックアップしたデータは、サーバーの専用エリアに保管されていて・・
リストア作業をすると、それが丸ごとそのまま復旧される感じですね。
この方法を使えばブログの文章だけでなく、画像とか、プラグインとかワードプレステーマとかも、完全にバックアップできます。
そして戻すときはこのあたりも含めて、すべて完全に戻すことができます。
ここでは、ロリポップを軸に解説しましたが・・
現代で定番のサーバー会社なら、大抵この機能はちゃんとあるようです。
そんなに便利だったら、こっちの方法だけでも良いのでは?と思われるかもしれませんが・・
こっちの方法にはデータが重すぎて、バックアップやダウンロードに時間がかかりすぎるという欠点はあります。
たとえば私自身の場合、この方法でバックアップしたデータは、ブログ2個ぶんでだいたい「250MB」になっています。
現代のパソコンなら、まあ扱えないサイズではないものの・・
やっぱり何度も何度もダウンロードしたり、パソコンにたくさん保存したりするには、ちょっと重いです。
ダウンロードにもそれなりの時間がかかりますね。
対して、上で解説したワードプレス純正の方法だと、サイズは2ブログぶんで「10MB」くらいでした。
こっちなら何度も何度もバックアップしても、そこまでの負担にはなりません。
なので、
- 何度も何度も、こまめにバックアップしたいときは「ワードプレス純正」
- ここぞという時の、全体的なバックアップには「レンタルサーバーの機能」
と、私自身はこのように使い分けています。
と、私自身はこの2種類の方法を使ってブログをバックアップしていて・・
それでバックアップとしては十分かな、と感じています。
ワードプレスの「プラグイン」を使った方法も、有るにはあるのですが・・
いろいろ試した限りだと、バックアップ・リストアの信頼性に疑問が残るものが多く、私自身は不採用としました。
やはり信頼性なら「ワードプレス純正」「サーバーの公式機能」といったもののほうが高いかな、と思います。
ブログのセキュリティは、とてつもなく大事です。
ここをどのくらいやり込んでいるか?によって・・
有事のとき、ブログが守りきれるか?が変わってきかねないところです。
なのでセキュリティに関しては、しっかり考えて・・
これなら大丈夫!という、自分なりの方法を確立しておくのをおすすめします。
今回は個人ブログのセキュリティ対策方法をテーマにお話ししてみました。
