最低限コレやらないとヤバイことになる。WordPressを公開サーバーでやる時のチェックリスト

WordPressに限らずだけれども
サーバーを借りてWordPressを公開するにはコレをやって置かなければ
最悪ヤバイことになることをまとめた。

どれくらいやばいかというと、
サーバー乗っ取られてマルウェア公開されたり、改竄にあったり、それが企業であれば信用をなくしたり。

img_57d96b72521df

 

OSのログインパスワードは複雑にしよう

公開サーバーだから、どこから入られるか分からない。
rootパスワードを”password”などにしておけば、予言者でなくても破滅を予知できる。

余計なポートを閉じよう

本来、公開させたくないサービスのポートが外向けに空いていたら、不正アクセスされるハードルを一段下げてしまう。

本来ローカル向けのつもりで使っていた
FTPが外向けのポートを閉じ忘れて公開されていたら
そして、上のパスワードが簡単なものだったら?

ああ、もう終わりだ。
破滅が予知できるレベルではない。
すでに破滅そのものだ

外向けに開けてないからこそ助かることもある。
何かしらの脆弱性がミドルウェアで発覚したとしても、外向けに安心ということもあるが
空いていたら脆弱性試し放題キャンペーン実施中になってしまうのだ。

wordpressならhttp https sshの分だけあいていれば基本十分なのだ。
あと、IPv6用のファイアウォールもあるので、それも忘れずに

余計なサービスは落とそう

サービス、もしくはデーモン。
FTPなど常に動いているものが必要なかったら落とそう。

FTPはSFTPでやればいいじゃないか。

もし上がっていたら、監視やら脆弱性検査やらやることが増えるし、マシンのリソースも食う。
要らないなら止めるべき

SSHのポートを変えよう

デフォルトのポートだと、とりあえずログインを試そうとする輩が多い。
自動で巡回してくるようだ。

非常にパスワードを複雑にしても、それだけ認証にマシンのパワーを使っていることにもなるし
あまり気持ちの良いものでもないので、
変えよう

OSのアップデートは定期的に行おう

yum なり apt-get なり
OSによってパッケージを更新する仕組みは違うが、
どの環境でも更新はやろう。

デカ目の脆弱性は頻発しているぞ。
コレをやらないのは、消極的に厄災を待っているような状態だ。

rootログインはさせない

ssh にはrootでのログインを認めない設定ができる。
公開鍵認証であれば望ましいが、パスワード認証でもrootではログインさせないようにすべき。

 

定期的にバックアップ

今まではサーバーを一から構築したパターンだけれども
これからはレンタルサーバーの場合でもあてはまる。

定期的にバックアップをしなければならない。

サーバーの管理会社がうっかり全データデリートや
データセンターが物理的に木っ端微塵ということも考えられる。
防災訓練で衝撃波が発生してサーバー全滅というニュースも聞いたばかりだ。

必ずバックアップをして、サーバーとは別のところに保管し、いつでも戻せるようにして、
そして戻す手順をあらかじめちゃんと予習をしておくのだ。

コレをやらないのは、自ら進んで破滅への道へスキップで進んでいるようなものだ

セキュアな通信を使えるならば使おう

レンタルサーバーが対応しているかどうかは分からないが、
できることならばバレたら危険な部分はセキュアな通信を使おう。

たとえばFTPを使うならば、FTPSかSFTPを使うべきだ。
今更FTPってないっしょ

WordPressの管理画面もhttps で守らせたい。
僕のように全部httpsにするのもありだが、必須ではない。

まずはどの通信がセキュアでセキュアじゃないかを知り、
何が必要か考えてみたらどうだろうか

WordPressの更新はちゃんとやろう

定期的にWordPressは更新される。
セキュリティの修正もある。

『更新は危険だと思ってしまう病』の方々が年配の方には多いが、
更新稟議書とかあるかどうかわからないが、つまんないことをやっているくらいだったら
ささっと自動で更新すべき。

ちゃんとバックアップも必要だぞ。
ごくごくたまに戻さなければならない状態になる可能性もあるからな。
ちなみに数年間このブログを続けているが、バックアップからリカバリをした経験は一度もない。

プラグインは慎重に選べ

プラグインは、Wordpressの非常に危険な部分に触らせているのだ。
だから、導入はよく考えるべきだ。

wordpress公式経由で公開されているサードパーティのプラグインなら、悪意ある行為はないかもしれないが
どこの馬ともしれぬ誰かが掲示板とかで公開したものとかおいそれと手動でインストールをするのは危険だ。

公式経由であっても数年間更新がストップしているものだってある。
更新ストップされているものは脆弱性も放置されている可能性がある。
WordPressバージョンアップの際に古いプラグインが悪影響を及ぼす可能性だってある。

WordPress経由で公開されているプラグイン、更新がされている、使っている人が多い、などの観点から安全性を考えてから導入をしよう

毎日ブログをみて、アクセスログを確認し、おかしなところがないか見る

毎日ブログを見に来て、アクセスログを確認することで些細な変化にも気付ける。

自分のブログだけでなく、
広くアンテナを広げて脆弱性や気になるニュースも見ておく、
脆弱性の情報をみOSのパッチが公開される前に自衛する方法などを重要だけれども
誰もわざわざ教えてくれないような情報がいつもあるのだ。

スポンサードリンク

関連コンテンツ