簡単かつ強力!WEBサイトをハッキングから守る方法3つ
doudonn 更新日:
ハッキングがやばい
セキュリティをしっかりしていないと即やられます。
特にSQLインジェクションの攻撃頻度はえげつない。
やっておきたい対策を語りたい。
1、URLやGET/POST値のチェック
NGとなる文字を必ずチェックする。
例えばURLに「;」や「+」は通常使いません。
こんな文字は確実にSQLインジェクションです。
WEBサイトの表示処理をする前にチェックして拒否したい。
もしくは「アルファベットと数字だけ許可」とするのも良い。
文字化けを狙ってか変な文字を入れる攻撃もあります。
ホワイトリストを作って合致させても良いだろう。
とにかく不正なURLは拒否。
対策できていないと延々と攻撃されサーバーの負荷にもなるので必須です。
<URLに?か&が含む場合は404を返す例>
<?php
if(preg_match('#[\?&]#',$_SERVER['REQUEST_URI'])){
header("HTTP/1.1 404 Not Found");
exit;
}
?>
2、英語は使わない
ハッキングのほとんどは英単語でのランダム攻撃
ハッカーは存在するだろうディレクトリを狙って攻撃してきます。
それはほぼ英単語です。英語にするだけでリスクが高まるのがWEB。
したがって、何を言われようがローマ字が良い。
ディレクトリだけでなく、あらゆるファイル名もローマ字や日本語にしよう。
ださいとか素人とか言わせておけばいい。
これだけでかなり安全になります。
理想はパスワードのようなランダム文字です。
先頭だけわかる名前にして、後半をランダム文字にすればいい。
3、ワードプレスを使わない
これの完璧なセキュリティ対策は無理です。
プラグイン等が馬鹿したら終わる世界。
いつゲームオーバーになってもおかしくない。
WAFを使うと少し安心ですが、気休めと思ったほうがいい。
ワードプレスを使う場合はサーバーを別にします。
別のサーバーでワードプレスを動かして、表示用ファイルを作る。
この方法だとワードプレスと同じ使い勝手でブログができる。
ワードプレスを設置するサーバーはBASIC認証等で遮断。
ファイアーウォールも自分のIPアドレスだけ指定します。
WEBサーバーは単純なファイルだけで構成したい。
DBも使わないので安心安全です。
まとめ
ハッキングは他人事ではない。
明日は我が身です。運が悪いとやられる。
そのため、できるだけ上記3つの対策は実施したい。
特に脱ワードプレスが大事です。
あとは、レンサバのログインを二段階認証にするのも必須。
ここを突破されたら全て終わりなので最重要ではある。
FTPはパスワードが貧弱なのでOFFにしたほうがいい。
大事なことなので二度言いますが、
ハッキングの基本は英単語での総当たり攻撃です。
そこさえ防げたら狙い撃ちされない限りは安心。
本当に、かっこつけて英単語を使うのは止めたほうがいい。
GET・POSTのURLも英単語や簡単なものはダメです。
総当たりSQLインジェクション攻撃がやってきます。
そんなところで大事なサイトはしっかり守ろう。
