【失敗談】海外ノマドがサイト制作をする時に絶対に気をつけるべきセキュリティ対策

こんにちは!海外をノマドしながらweb制作をしています、ちづみ(@098ra0209) です!

海外からサイトを作っていた時に海外のハッカーさんにサイトを攻撃されてしまったので、今回はその失敗談と防衛策、解決策をまとめました。

ちづみ
あれ?おかしいな、、、??変なページにリダイレクトされる、、しかもコードに書いた覚えのない変な記述がされてるぞ、、?
ちづみ
やってしまった、、(´;Д;`)ハッキングされてるやないかーい!

制作環境と起こった状況はこんな感じです↓

制作環境

サーバーはロリポップのライトプラン(海外アクセスを許可していた)

サイトのリニューアル(htmlサイト→wordpressへ)

このサイトを日本→途中から海外(タイ)から作成していた。

起こった状況

別のページにリダイレクトされてしまう(googleニュースやyahooニュース、海外版のアダルトなアプリのページに飛ぶようになってしまった)

 

原因全ては把握できませんが、ロリポップの海外アタックガードを外し、wordpressのパスワードを英字のみのシンプルなものにしていたためが大きな理由でハッキングされてしまったと思います。結構自分自身のセキュリティに対する認識甘かったです。

というわけで備忘録として、すぐにでもできる対策方法をまとめて紹介します。

 

グローバルVPNを使おう

 

そもそもVPNとは?

VPNとは

簡単に言うと「仮想専用線」です。インターネット上に仮の専用線を設け、安全なルートを確保しながら重要な情報をやり取りすることにより、盗み見や改ざんなどの脅威から大切な情報を守ることができます。

暗号化されていないVPNなしのWi-Fi通信だと、通信内容が筒抜けなので、情報を盗み見られるなどのでリスクがあります。

 

それをVPNという、暗号化されたトンネルを作ることによって保護してくれます。

 

 

また、クライアントさんによっては特定のIPアドレスからしかFTPの利用権限を与えない場合もあります。

特に無料wifiなどはセキュリティが確保されたものではありません。情報を取られるリスクを防ぐためにも、VPNは用意しましょう。

私はマイIPを利用しています。マイIPのセカイVPNを使うことによって、サーバーの海外アクセス制限を解除することなく、wordpressの管理画面にアクセスすることができます。2ヶ月は無料で使えるので、お試しや、海外に行く時だけ登録するのもありかと!

特によっぽどの理由がない限りはクライアントサーバーの海外アクセス制限を外さないほうがいいです。

そのためにもVPNを利用しましょう。



 

VPNサービスについてはこちらの記事に詳しく書かれています。

 

 

wordpressのセキュリティを強化しよう

wordpressは何もしていない状態ではセキュリティは弱いです。しっかり対策しましょう。

パスワードは複雑なものを

ハッカーさんたちはログイン画面から侵入してくるので、ここのセキュリティは特に注意しましょう。

パスワードはガチガチの難しいのにしましょう。この辺のツールを使って、英字と数字、記号を織り交ぜたものを使いましょう。設定は以下のようにしておきましょう。

パスワード作成の便利ツール

パスワード生成(パスワード作成)ツール

この辺は海外にいる場合だけでなく、日本にいてもしっかり行っておきましょう。大事なお客さんのサイトをハッキングされるわけにはいきませんので、、!(`・∀・´)

 

プラグインを使おう

wordpressのセキュリティのおすすめのプラグインを紹介します。

SiteGuard

 

入れるだけで、デフォルトで画像認証、ログイン履歴などを行うことができます。とにかく簡単な操作で一通りのセキュリティ機能を設定することができます。もう何も考えず、ひとまずぶち込んでおきましょう。

 

Wordfence Security

もしハッキングされてコードを書き換えられた時でもscan機能でクリーンな状態にすることができます。

私はすでにハッキングされた状態だったので、このプラグインにより大変助かりました。(wordpress内の不審なコードを消してくれます。)FTPから一つ一つ不正なコードを手動で消してましたが、これscan機能があれば一発です。入れておきましょう。

 

設定方法の詳しくはこちらに書かれています。

初心者が扱いやすいセキュリティープラグイン『Wordfence』の設定方法

 

プラウザのユーザーを使い分けよう

 

どう言うことかというと、私は基本インターネットのプラウザはグーグルクロームを使っているのですが、一つのユーザーをクライアントさんのサーバーにもログインしていたせいか、ログイン情報を追跡されてハッキングされたことがありました。

原因として考えられる一つにクロームの拡張機能も挙げられます。拡張機能は本当に便利なので、やたらと入れちゃいがちですが、悪質なものも混ざっているのも事実なので、ちゃんと信頼性のあるものを選びましょう。

 

クライアントさんのサーバーや、メールにログインする際は、クライアントさんごとにユーザーを変えるのが理想です。

Google Chromeのユーザーの登録方法

Google Chromeの場合は簡単で、

3つ点が縦に並んだところをクリック

設定をクリック

 

 

設定画面に行くので、他のユーザーを管理をクリック

右下のユーザーを追加をクリック

 

これでユーザーを作れました。あとはわかりやすい名前にして(クライアントごととか)で使えば安心かと思います。特に、拡張機能をたくさん使いたい場合は個人用に設定しておいて、お客さんの情報をいじる時はユーザーを変えましょう。

 

以上です。大切なお客様のサイトのセキュリティを守るためにも、今回のことは海外に限らず、日本でもしっかり行って日頃からセキュリティを意識していくことを強くおすすめします!

では!