最初が肝心!挫折の確率をグンと下げる...経験則から考えるセキュリティ重視のブログサイト!!
インターネットで検索してても...
BlueOcean本人もブログをかれこれ5回以上は作り直しています
その度にネットでいろいろ検索するのですが...
そう言えば、なんかこれだけ!っていうのないな...
他のサイトやレンタルサーバーの会社がやっているブログ記事に、ブログサイトの構築の方法は書かれてますけど...
結局、どこまで構築に手をつけたらいいんだろう...
特に改竄・侵入された過去があるので、いい記事はないかと...
ブログ挫折の理由にもなりますし、結構堪えました...
やめようかなって思って半年ぐらい放置してましたけど、結局また再開しました!
今のところは問題ないので絶賛作り直し中ですけどね
ということで、自身の経験と見聞きした調べた情報に基づいて今回も解説できればと思います!
注意点...
まずある程度ですが自分で調べられる、試行錯誤できる、ある程度既に予備知識があり理解もある
そういった方には向いてると思いますが、そうでない方にはこの記事はあまり向きません...
SSH・Basic認証・パーミッション等、聞きなれない単語が出て来ます!
もしこの時点でよく分からない状態であれば、一度調べてみて理解してから構築・設定をお願い致します
プライバシーポリシーにもありますが、一切の責任を負いませんので自己責任でお願いします
この通りにやっても上手くいかなかったことについて、脆弱性がある等についても同様です!
またレンタルサーバーは契約されてあってSSLも取得済みで、すぐに構築・設定が出来ている状態からの説明になります
なのでまだレンタルサーバーを契約していない方は、他のサイトページを見ながら契約していってみて下さい!
ちなみにBlueOceanはシンレンタルサーバーを契約してますが、安さと使用用途の幅広さで選ぶならオススメします
アダルトサイトも構築出来ますからね( ̄∇ ̄;)ハッハッハ
一から始めるブログ構築~レンタルサーバー編~
1、レンタルサーバーのアカウントに二段階認証を設定する
一見やる意味あるの?今回の話に関係するの??と思われるかもしれません...
でもセキュリティを高めるといった点では、やっておくに越したことはないと思います!
なので設定できる場合は、レンタルサーバーアカウントに二段階認証を設定しておきましょう
2、SSHを設定する
さて話は逸れましたが、SSH...Secure Shell(セキュアシェル)を構築します
この設定もレンタルサーバーの会社によって変わりますし、シンプルに説明したいのでやり方は他のサイトを見ながら行ってみてください!
いくらでもこの手の情報はありますから
ここでの注意点は設定した後、サーバー上にあるファイルマネージャーに保存された.ssh内のファイルがあると思います
そのファイルをパーミッションを400か600にしておきましょう
レンタルサーバーの仕様により400ができない場合は、600でもいいと思いますができるだけ400へ設定しておきます
私の知り合い伝手の情報いわく、SSHを設定していればそう改竄の被害にあうことも無いようです
真偽の程は知りませんがもう設定が面倒くさいとか、そこまでセキュリティ重視ではない場合はここで終わってみてもいいのではないでしょうか!?
冒頭でも触れましたが自己責任ですので、よろしくお願いしますm(__)m
3、Basic認証を設定する
特定のサイトに入るときにそのユーザーか確かめるのに使用します
Basic認証自体にも脆弱性があるようですが、それを言ってしまうと脆弱性がないものはそもそも無いと考えますので設定しておきます
何事にもメリット・デメリットがあると言うことですね!
出来るだけ長い文字列で設定しましょう
その分セキュリティが破られるリスクが低くなります
ただ連続した数字や特定の意味をなす文字列などは意味を成しませんので、複雑なものを設定します
4、.htaccessに追加記述する【常時SSL化】
Webサイトで使われているのがHTTPSといった暗号化通信のことです
この記述をしておくことですべての表示を暗号化した状態でやり取りできます
外部に通信の情報を漏洩させない為に行います!
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
上記の文字列を「.htaccess」へ記述します
マウスか何かで範囲指定して、PCのキーボードCtrl+Cでコピーできるので是非使ってみてください!
貼り付けるときはCtrl+Vで「.htaccess」貼り付けます
5、あとはサーバーの初期設定でサーバー側はとりあえず終了!
WAFとかアクセス制限などいろいろありますが、ここまで細かく書いてしまうと本当に長くなってしまいます!
既にもう結構長くなってますが...
なのでここではバッサリと割愛しますm(__)m
一から始めるブログ構築~Word Press編~
1、Word Pressをインストールする
ここまで出来れば、今度はWord Pressの構築を行います
シンレンタルサーバーであれば「Word Press簡単インストール」で、他のサーバーの場合はそれに準じた方法でインストールしていきます
終わったらインストールの時に設定したユーザーID・パスワードを使って管理画面にログインします!
ログインするとダッシュボードの画面に切り替わります
ダッシュボード内の「サイトヘルスステータス」のサイトヘルス画面をクリック!
「サイトでHTTPSを使用していません」という項目の「サイトを更新して、HTTPSを使用する」を選択しHTTPSを有効化します
これでWord Press側もSSL化できました!
ダッシュボードとかある左サイドタブ内の「設定」から「一般」を開き、「Word Pressアドレス」と「サイトアドレス」がhttpsになっているか一応確認しておきましょう
2、セキュリティプラグインをインストールする
シンレンタルサーバーだとWord Pressをインストールする時に、「CloudSecure WP Security」を一緒にインストールできるので入れておきます
インストールした後は各種設定をしていきます!管理画面のURL変更もお忘れなく!!
他に関してはこちらではオススメしませんので、いろいろ試してみて下さい
先入観なくいろいろ試す!それが一番だと思いますので
トライ&エラーです
3、Word Press側に2段階認証を追加する
画像認証・Google Authenticatorを用いたワンタイムパスワード認証・Google reCAPTCHAとありますが、自分が管理しやすいものを入れておきましょう!
こちらもいろいろ試してみて下さい
【番外編】基本的な心構え!
さていろいろ書いてきましたが、こちらでは構築後の注意点・確認しておくと個人的にはいいのでは?と思うところを書いていきます
1、いろんなURLを貼り付けない
SEO上げるため!とかいろんなサイトのURLを貼れば利便性も上がっていいんじゃね?
それはそうだと思いますが、その分サイトへの攻撃するルートも開拓してしまうことになります
セキュリティ的観点からみるとあまり好ましくないと考えます!
2、プラグインも外部通信するものではなく、出来るだけローカルの環境で動くものにしておこう
外部通信しながら動くものは先程と同様、悪意のある攻撃者から攻撃を受けやすくなります
出来るだけサーバー内だけで動くローカルの環境がいいと思います
なので情報機関とかは今はデータから紙に移しているみたいですけど...こちらも真偽の程は不明です!
3、Google Chromeの検証機能を活用しよう
右クリックすると表示されるタブメニューの一番下、「検証」があります
それをクリックするとエラーがあれば赤い×印や青色の表示など、右上に表示されます
丸い×印が出たときは、注意が必要です
特に管理画面側で出てきた場合は、対策をした方がいいかもしれません
誰でも閲覧できる投稿ページ側の場合で「GET」表示の場合は、接続先を確認してみましょう
URLみたいなところ...文字が光っているところにカーソルをあてると、接続先が表示されます
心当たりがある場合はとりあえずスルーして、ない場合は対策を講じた方がいいかもしれません
投稿ページの埋め込んだURLを消すとかね...
まとめ
いろいろ書きましたが、シンプルにすると...
SSHを設定する
Basic認証を設定する
.htaccessに追加記述する【常時SSL化】
セキュリティプラグインをインストールする
2段階認証を導入する
って感じですかね~?
とりあえず参考程度に見て頂ければと思います!
それではまた!!