<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>【セキュリティ】タグの記事一覧｜SATOPEDIA</title>
	<atom:link href="https://satopedia.com/tag/security/feed/" rel="self" type="application/rss+xml" />
	<link>https://satopedia.com</link>
	<description>大阪在住のフリーランスSEのノウハウ＆雑記ブログ。WordPressやPHP、サーバ周りの話など</description>
	<lastBuildDate>Sun, 05 Sep 2021 19:51:08 +0000</lastBuildDate>
	<language>ja</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=6.9.4</generator>

<image>
	<url>https://satopedia.com/wp-content/uploads/2019/07/cropped-icon-32x32.png</url>
	<title>【セキュリティ】タグの記事一覧｜SATOPEDIA</title>
	<link>https://satopedia.com</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>【常時SSL】HTTPS化は企業だけでなく個人ブログでも必須の時代</title>
		<link>https://satopedia.com/always-on-ssl/</link>
					<comments>https://satopedia.com/always-on-ssl/#respond</comments>
		
		<dc:creator><![CDATA[さとし]]></dc:creator>
		<pubDate>Sun, 09 Jun 2019 07:52:34 +0000</pubDate>
				<category><![CDATA[サーバー]]></category>
		<category><![CDATA[セキュリティ]]></category>
		<guid isPermaLink="false">https://satopedia.com/?p=709</guid>

					<description><![CDATA[インターネットが当たり前になってから、http://から始まる英数字が並んでいればホームページのURLというのが一般常識になっていますが、それが古くなって来ています。 Google Chromeのセキュリティ強化と無料S]]></description>
										<content:encoded><![CDATA[
<p>インターネットが当たり前になってから、http://から始まる英数字が並んでいればホームページのURLというのが一般常識になっていますが、それが古くなって来ています。</p>



<p> Google Chromeのセキュリティ強化と無料SSLの普及がきっかけになってhttp:// で始まるサイトは通信が暗号化されておらず、セキュリティリスクがあるので https:// にしていきましょう！というか、http:// から始まるサイトは危ないから気をつけてね！という流れが加速しています。</p>



<h2 class="wp-block-heading">SSL/TLS（https）とは</h2>



<p>SSLとは、データを暗号化して送受信するインターネットの仕組み（プロトコル）です。暗号化通信と実在認証を行うことで、「盗聴」「改竄（改ざん）」「なりすまし」防止の効果を期待できます。</p>



<p>「https」でURLが始まっていることがSSLを利用するための条件のため、SSL化以外にhttps化すると言うこともあります。</p>



<p>今見ているWebサイトががSSL化されているかどうかは、URLが「http」ではなく「https」で始まっていたら暗号化されている&#8221;可能性が高い&#8221;ことが分かります。&#8221;可能性が高い&#8221;としているのは、ホームページ内にSSL未対応の画像等が含まれる場合、URLだけhttpsになって、通信は暗号化されていないというケースがあるからです。</p>



<p>SSLでの通信になっているかどうかはURLの横の鍵マークを見て判断する必要があります。（もっと詳細を見たい場合、鍵マークを右クリックして証明書の内容を確認してみてください）</p>



<figure class="wp-block-image"><img fetchpriority="high" decoding="async" width="778" height="148" src="https://satopedia.com/wp-content/uploads/2019/06/chrome-https.png" alt="" class="wp-image-717"/><figcaption>Chrome で https のサイトの表示例</figcaption></figure>



<h3 class="wp-block-heading">SSLとTLSの関係</h3>



<p>ここまでずっとSSLと書いて来ましたが、実際に使われているのはSSLの後継になるTLSになります。SSLはSSL1.0 → SSL2.0 → SSL3.0とバージョンアップした後、TLS1.0 → TLS1.1 → TLS1.2 → TLS1.3と進化中です。<br></p>



<ul class="wp-block-list"><li>SSL（Secure Sockets Layer）</li><li>TLS（Transport Layer Security）</li></ul>



<p>サーバーの設定をする人以外は、違いを意識する必要はないです。SSL、SSL/TLS、TLSと書かれている場合は暗号化通信されているという認識で大丈夫です。</p>



<h3 class="wp-block-heading">SSL証明書の種類</h3>



<p>SSL/TLSでの通信をするには、サーバーに証明書を導入する必要があります。SSL証明書は、大きく分けると３種類あります。</p>



<ul class="wp-block-list"><li>ドメイン認証（DV認証）</li><li> 企業実在認証（OV認証）</li><li> EV認証</li></ul>



<p>OV認証、EV認証は法人のみ取得可能で、費用もかなりかかります。</p>



<p>詳しくは、<a rel="noreferrer noopener" aria-label="SSL証明書の３つの種類 (新しいタブで開く)" href="https://satopedia.com/type-of-ssl/" target="_blank">SSL証明書の３つの種類</a>という記事で書いています。</p>



<p>特に理由がなければ、ドメイン認証（DV認証）で十分で、年間数千円〜数万円と更新作業が毎年必要になります。ただ、無料SSLであれば、ドメイン認証（DV認証）が初期設定を行うだけで利用できるので、有料のSSLでないとダメという場合以外は、無料SSLを利用することをオススメします。</p>



<h2 class="wp-block-heading">SSLが当たり前の時代と無料SSL</h2>



<h3 class="wp-block-heading">Google Chromeが求めるSSL対応</h3>



<p>Googleが2014年8月に「<a rel="noreferrer noopener" aria-label="HTTPS をランキング シグナルに使用します (新しいタブで開く)" href="https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html" target="_blank">HTTPS をランキング シグナルに使用します</a>」という発表をして以来、徐々にSSL対応の流れが進んでいて、現在ではSSL未対応のサイトにGoogle Chromeでアクセスすると、アドレスバーに「保護されていません」と表示されるようになっています。</p>



<figure class="wp-block-image"><img decoding="async" width="778" height="148" src="https://satopedia.com/wp-content/uploads/2019/06/chrome-http.png" alt="" class="wp-image-716"/><figcaption>Chrome で http のサイトの表示例<br></figcaption></figure>



<figure class="wp-block-image"><img fetchpriority="high" decoding="async" width="778" height="148" src="https://satopedia.com/wp-content/uploads/2019/06/chrome-https.png" alt="" class="wp-image-717"/><figcaption>Chrome で https のサイトの表示例</figcaption></figure>



<h3 class="wp-block-heading">無料SSL</h3>



<p>GoogleがSSL対応を推奨し始めてしばらくしてからLet’s Encryptという無料SSLが公開されました。2016年4月から正式サービス開始でSSL化の流れが加速し、Let&#8217;s Encryptの設定や更新の仕組みのバージョンアップと様々なレンタルサーバが無料SSLに対応し始めたことで、急速にSSL化が進んでいっています。</p>



<p>そのため、無料SSLに対応しているかどうかは、レンタルサーバーを選ぶ重要な指標になっています。</p>



<p>無料SSL対応のレンタルサーバにつては、次の記事をご参照ください。</p>



<p><a href="https://satopedia.com/free-ssl-rental-server/" target="_blank" rel="noreferrer noopener" aria-label="【無料SSL】独自ドメインを常時SSLで利用できるレンタルサーバー一覧 (新しいタブで開く)" data-blogcard="1">【無料SSL】独自ドメインを常時SSLで利用できるレンタルサーバー一覧</a></p>



<h2 class="wp-block-heading">SSLのメリット</h2>



<p>SSLが必須の時代だ！という根拠はGoogleが推奨しているからというのもあるのですが、Googleが推奨するだけの利用がちゃんとあります。元々はセキュリティを向上させるためにSSLを導入することとSSLに対応していることでのWebサイトの信頼ということが目的でしたが、Googleの検索順位への影響やHTTP/2の登場により、セキュリティ以外の目的でのSSLの導入が進んでいます。</p>



<h3 class="wp-block-heading"> セキュリティ向上</h3>



<p>通信の暗号化と、サーバの実在証明によるセキュリティ対策（盗聴・改ざん・なりすましの防止）になります。</p>



<p>この理由が一番ベースにあるSSLを導入する理由です。特に、フリーWi-Fiに見せかけて悪意のあるWi-Fiが設置されていた場合、盗聴・改ざん・なりすましは簡単に実現できてしまうため、自宅・学校・職場以外からの接続が増えている時代の流れを考えると、セキュリティ対応としてのSSLは無視できない状態になっています。</p>



<h3 class="wp-block-heading">信頼性向上</h3>



<p>SSLに対応していることで、ちゃんとセキュリティ対応しているサイトという印象を与えます。特にEV認証のSSLについてはURLの前に社名が表示されるため、銀行やセキュリティ関連の会社などにとってはセキュリティ対策に力を入れている証明になります。逆に、SSLが普及するについれて、SSL対応されていないサイトの信頼性が下がっているとも言えます。<br></p>



<figure class="wp-block-image"><img decoding="async" width="778" height="148" src="https://satopedia.com/wp-content/uploads/2019/06/chrome-ev-ssl-symantec.png" alt="" class="wp-image-718"/><figcaption>EV認証（シマンテック社）の表示例<br></figcaption></figure>



<h3 class="wp-block-heading">通信速度向上（HTTP/2対応）</h3>



<p>HTTP/2という比較的新しい通信規格がSSL対応を前提として作られています。そのため、SSL対応を行うことで、HTTP/2での通信ができるようになり、Webサイトの表示までの時間が早くなります。</p>



<p>Webサイトの表示もGoogleの検索順位に影響があるため、結果的にHTTP/2への対応は検索順位にも影響します。</p>



<h3 class="wp-block-heading">SEO効果</h3>



<p>Googleが「<a rel="noreferrer noopener" href="https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html" target="_blank">HTTPS をランキング シグナルに使用します</a>」という発表をしているため、SSL対応しているかどうかは検索順位に間違いなく影響しています。</p>



<p>また、HTTP/2対応による速度アップやユーザーからの信頼を得ての再訪率UPなど、SSL対応の他の効果も間接的に影響してくるので、SEO対策の一環としてもSSL対応はしておきましょう。</p>



<h3 class="wp-block-heading">リファラー（参照元）の取得</h3>



<p>Webではリファラーという前に見ていたページのURLを次のページに伝える仕組みがありますが、SSL対応済みのサイトからSSL未対応のサイトに遷移した場合、リファラーを渡してくれないという仕様になっています。</p>



<ul class="wp-block-list"><li>参照元（https）　→ 移動先（https）　：　○リファラー取得可能</li><li>参照元（https）　→ 移動先（http）　：　×リファラー取得不可</li><li>参照元（http）　→ 移動先（http）　：　○リファラー取得可能</li><li>参照元（http）　→ 移動先（https）　：　○リファラー取得可能<br></li></ul>



<p>そのため、Google Analyticsなどでアクセス解析する場合、SSL未対応だとリファラーの情報が不足することになり、口コミサイトや広告系のサイトに出した結果の検証をしたくてもできなくなってしまいます。</p>



<h2 class="wp-block-heading" id="mce_37">SSLのデメリット</h2>



<p>SSL化にもいくつかのデメリットが存在します。費用がかかるのはイメージしやすいと思いますが、サイトの特性によっては他にも気にかけておく必要があります。</p>



<h3 class="wp-block-heading">SSL化に費用・時間がかかる</h3>



<p>新規サイトでレンタルサーバーの無料SSLを使うだけの場合、最初に簡単な設定をしておくだけで完了ですので大した作業ではありません。</p>



<p>SSL未対応のサイトのSSL化をWeb制作会社やシステム会社に依頼する場合は費用が発生することがあります。有料のSSLを利用した場合の作業例は下記のようになります。</p>



<ul class="wp-block-list"><li>SSL証明書の費用</li><li>SSL証明書の申請</li><li>SSL証明書の設置</li><li>Webサイト・Webシステムの設定・リンク変更</li><li>SSL状態での動作確認</li><li>http → https へのリダイレクト設定</li><li>アクセス解析ツールの設定変更</li></ul>



<h3 class="wp-block-heading">SSL化前のアクセス解析の情報が引き継がれない</h3>



<p>Google AnalyticsやGoogle Search Consoleでは、http のサイトと https のサイトは別のサイトと判断しています。そのため、SSL化した場合はSSL化後のURLを再登録する必要があり、元の http のサイトとは別の状態でアクセス状況が計測されていきます。</p>



<p>TwitterやFacebookのいいねのカウントも同様で、http と https では別のサイトとして計測されてカウントがリセットされてしまいます。</p>



<h3 class="wp-block-heading">ガラケーへの対応状況</h3>



<p>ガラケーはサポートしていません！という場合は考慮不要です。</p>



<p>逆に、ガラケー向けのサイトの場合、SSLの種類によってはガラケーのブラウザが対応しておらず、表示できない場合があります。</p>



<p>レンタルサーバーだと対応していない会社や上位のプランのみの対応となっているので、ガラケーも含めてSSL化を検討している場合はレンタルサーバー会社やガラケーでのSSL化対応の実績のある会社に相談してください。</p>



<h2 class="wp-block-heading">SSL化で気をつけること</h2>



<p>基本的にはSSL化はメリットだらけなのですが、前述したようなデメリットの他に、適当にSSL化してしまうことで逆効果になる場合があります。</p>



<p>自分で対応する場合でも、人に対応してもらう場合でもサイトの管理者が自分でチェックしたいポイントになります。</p>



<h3 class="wp-block-heading">http でのアクセスは https にリダイレクトする</h3>



<p>見出しのままですが、「http でのアクセスは https にリダイレクトする」処理を入れておかないと、SSL化しているのに http の方にアクセスがあるとSSLの恩恵は受けられないだけでなく、Google Analytics 等のアクセス解析ツールが別のサイトとして計上してしまいます。</p>



<p>また、対応が中途半端な場合、TOPページのみしか対応していなかったり、下層ページのアクセスを全てTOPページに転送する設定になっている場合もあります。</p>



<p><a href="http://satopedia.com">http://satopedia.com</a> にアクセスすると <a href="https://satopedia.com">https://satopedia.com</a> に転送されるようになっていて、このページのhttpのページ<a href="http://satopedia.com/always-on-ssl">http://satopedia.com/always-on-ssl</a> へのアクセスも <a href="https://satopedia.com/always-on-ssl">https://satopedia.com/always-on-ssl</a> に転送されます。</p>



<h3 class="wp-block-heading">SSLサーバー証明書の期限がきれたまま放置すると逆効果</h3>



<p>SSLの証明書には期限が設定されているため、更新作業が行えていないと「この接続ではプライバシーが保護されません」等の警告ページが表示されてしまいます。この時点でほとんどのユーザーは怪しいサイトとして離脱してしまいます。</p>



<p>レンタルサーバーの無料SSLの場合、90日の期限のものが残り30日を切った時点で自動更新するような仕組みが入っているので、ほとんど心配ありません。</p>



<p>逆に有料のSSLを利用している場合、証明書の期限が来るたびに支払いと申請、サーバーの設定変更作業が発生するため、注意が必要です。</p>



<h3 class="wp-block-heading">サイト内の全てのコンテンツをSSL対応済みにする</h3>



<p>画像やJavaScriptの読み込み先が http の場合、自分のサイトがSSL化してあってもSSLが適用されない場合があります。</p>



<div class="wp-block-image"><figure class="aligncenter"><img loading="lazy" decoding="async" width="446" height="76" src="https://satopedia.com/wp-content/uploads/2019/06/mixed-content.png" alt="" class="wp-image-720"/><figcaption><br>httpとhttpsが混ざったページの表示例</figcaption></figure></div>



<h3 class="wp-block-heading">サーバーの暗号化・復号処理の負荷</h3>



<p>HTTP/2が登場するまで、「SSL化で遅くなる」と言われていた原因になります。HTTP/2の登場でもはや過去のもの！と言いたいのですが、当然ながら、HTTP/2未対応の場合は遅くなります。</p>



<p>また、SSL化前の状態でサーバーの負荷が高くなることがあるようなサイトの場合、単純にSSL化してしまうとサーバー負荷がさらに高くなり、HTTP/2対応していても遅くなる可能性があります。その場合、CDNを利用したり、SSL関連の処理だけをする別のサーバーに分ける等といった対応が必要になってきます。<br></p>



<h2 class="wp-block-heading">無料SSLが使えるレンタルサーバー</h2>



<p>通信が暗号化されていればOKという場合や、SEOやHTTP/2のためのSSL化の場合、SSL証明書のブランド的な価値は気にする必要がないため、無料SSLの利用がおすすめです。特に個人ブログやWeb専任担当がいないような企業の場合、レンタルサーバーに付属の無料SSLの利用をお勧めします。</p>



<p><a rel="noreferrer noopener" aria-label="【無料SSL】独自ドメインを常時SSLで利用できるレンタルサーバー一覧 (新しいタブで開く)" href="https://satopedia.com/free-ssl-rental-server/" target="_blank" data-blogcard="1">【無料SSL】独自ドメインを常時SSLで利用できるレンタルサーバー一覧</a></p>



<h2 class="wp-block-heading">まとめ</h2>



<p>セキュリティ強化の流れを受けてGoogleがSSL化を検索順位に反映すると宣言し、無料のSSLが登場して、ブラウザもSSLの対応状況を強く反映するようになっています。</p>



<p>多くの場合は気軽に無料SSLを使ってSSL化できるのですが、ガラケー対応やサーバ負荷などの考慮がいる場合は少し慎重にSSL化していきましょう。</p>



<p>時代の流れだけではなく、SSL化はメリットも多いので、多くのサイトのSSL化が進むことを期待しています。<br></p>
]]></content:encoded>
					
					<wfw:commentRss>https://satopedia.com/always-on-ssl/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>【Google Chrome】Cookieを制限する新ツールの導入を発表</title>
		<link>https://satopedia.com/google-chrome-cookie-control-tool/</link>
					<comments>https://satopedia.com/google-chrome-cookie-control-tool/#respond</comments>
		
		<dc:creator><![CDATA[さとし]]></dc:creator>
		<pubDate>Tue, 07 May 2019 07:43:55 +0000</pubDate>
				<category><![CDATA[WEB]]></category>
		<category><![CDATA[セキュリティ]]></category>
		<guid isPermaLink="false">https://satopedia.com/?p=631</guid>

					<description><![CDATA[GDPRやAppleのSafariのITP2.1対応など、Cookieに対するセキュリティー対策の流れがGoogle Chromeまでやってきたようです。 発表されている内容は限定的とは言え、ブラウザのシェアNo.1のC]]></description>
										<content:encoded><![CDATA[
<p>GDPRやAppleのSafariのITP2.1対応など、Cookieに対するセキュリティー対策の流れがGoogle Chromeまでやってきたようです。</p>



<p>発表されている内容は限定的とは言え、ブラウザのシェアNo.1のChromeでCookieの制限が導入される影響は小さくはないでしょう。</p>



<h2 class="wp-block-heading">ウォール・ストリート・ジャーナル（ＷＳＪ）の報道について</h2>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"><p>グーグルはウェブサイトの利用者を追跡する「クッキー」機能を制限するため、複数の新たなツールを準備している。事情に詳しい関係者らが明らかにした。広告業界における同社の独占的な地位を盤石にする一方、他のデジタルマーケティング企業には大きな打撃となる可能性がある。<br></p><cite><a href="https://jp.wsj.com/articles/SB12379235020279593532604585287451954311346" target="_blank" rel="noreferrer noopener" aria-label="グーグルが「クッキー」を制限、新ツール発表へ - WSJ (新しいタブで開く)">グーグルが「クッキー」を制限、新ツール発表へ &#8211; WSJ</a></cite></blockquote>



<p>ChromeにCookieの制限ツールがリリースされるという内容です。</p>



<p>詳細は、ウォール・ストリート・ジャーナルの有料記事にてご確認ください。</p>



<p>個人的には、このツールによってGoogleだけが有利になるというのが理解しきれていないのですが、Google AnalyticsやAdWords/AdSenseは対象外になるような仕組みになるんでしょうかね？</p>



<h2 class="wp-block-heading">Cookie制限による影響範囲は？</h2>



<p>主に影響を受けるのは、リタゲやマーケティングで使われるサードパーティーのCookieなので、普通にWebシステムを作っていく分には問題ないです。</p>



<p>逆に言えば、リタゲやマーケティングなど広告を出している側とアクセス解析で詳細情報を取得したい場合に、この新ツールの影響でユーザをトラッキングし切れなくなります。</p>



<p>今回、ローカルストレージまでは言及されていないようなので、ローカルストレージを活用する方法に変えるなど、各広告のASP側が何らかの対策を取ってくれることを期待するしかないです。</p>



<h2 class="wp-block-heading">まとめ</h2>



<p>アクセス履歴に基づいた広告配信はコンバージョン率が高いことからリタゲのような広告手法が流行っている認識ですが、たまにしつこいと感じることもあります。</p>



<p>そう言ったしつこいトラッキングから逃れられるのは有り難いですが、コンバージョン率が高い＝ユーザにとって意味があるとも言えなくはないので、適切に運用してくださっていた方々からの恩恵を受けられなくなるのは少し残念です。</p>
]]></content:encoded>
					
					<wfw:commentRss>https://satopedia.com/google-chrome-cookie-control-tool/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>【無料SSL】無料SSLが利用できるレンタルサーバー一覧</title>
		<link>https://satopedia.com/free-ssl-rental-server/</link>
					<comments>https://satopedia.com/free-ssl-rental-server/#respond</comments>
		
		<dc:creator><![CDATA[さとし]]></dc:creator>
		<pubDate>Tue, 24 Oct 2017 11:00:33 +0000</pubDate>
				<category><![CDATA[サーバー]]></category>
		<category><![CDATA[セキュリティ]]></category>
		<guid isPermaLink="false">https://satopedia.com/?p=282</guid>

					<description><![CDATA[各ブラウザがSSLに対応していないサイトを「安全でないサイト」として表示したり、GoogleがSSLへの対応を推奨し始めたこともあり、SSL対応を検討している人も多いのではないでしょうか？ このブログでもSSLを導入して]]></description>
										<content:encoded><![CDATA[
<p><br>各ブラウザがSSLに対応していないサイトを「安全でないサイト」として表示したり、GoogleがSSLへの対応を推奨し始めたこともあり、SSL対応を検討している人も多いのではないでしょうか？</p>



<p>このブログでもSSLを導入していますが、無料のLet&#8217;s EncryptというSSLを利用しています。</p>



<p>無料SSLに対応したレンタルサーバーが続々増えてきているのでご紹介します。<br></p>



<h2 class="wp-block-heading">無料のSSL、Let&#8217;s Encryptとは？</h2>



<p><a href="https://letsencrypt.jp" target="_blank" rel="noreferrer noopener">Let&#8217;s Encrypt</a>とは、2016年4月に正式サービスを開始した無料SSLです。</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"><p>Let&#8217;s Encrypt は、認証局（CA）として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・更新のプロセスを自動化することにより、TLS や HTTPS（TLSプロトコルによって提供されるセキュアな接続の上でのHTTP通信）を普及させることを目的としているプロジェクトです。2016年4月12日 に正式サービスが開始されました。</p><cite><a href="https://letsencrypt.jp">「Let&#8217;s Encrypt 総合ポータル」</a></cite></blockquote>



<p><a rel="noreferrer noopener" href="https://satopedia.com/web/type-of-ssl/" target="_blank">SSL証明書の種類</a>としては、ドメイン認証の証明書になります。超大雑把に言えば、暗号化通信の機能とサーバーの持ち主の証明をするための証明書になります。一般的なWebサイトの場合、</p>



<h3 class="wp-block-heading">Let&#8217;s Encryptのメリット</h3>



<p>無料でSSLが導入できること！これに尽きます。</p>



<p>安いSSLだと年間数百円〜数千円で導入できますが、個人のサイトだと追加でお金を払うのはあまり嬉しくないですよね。</p>



<p>サービス開始直後は、専門的な知識が必要でしたが、<a href="https://www.sslbox.jp/" target="_blank" rel="noreferrer noopener">SSL BOX</a>のようなサービスが出てきたり、管理画面上でボタンを押すだけで無料SSLが設定できるサーバーが徐々に登場してきました。</p>



<p>有料のSSLを設定するのは意外と手間がかかりますが、管理画面に入っていくつかボタンを押すだけでOKというお手軽さもレンタルサーバーの無料SSLのメリットです。</p>



<h3 class="wp-block-heading">Let&#8217;s Encryptのデメリット</h3>



<p>大きく２つあります。</p>



<p>１つ目は、イメージの問題です。<br>詳しい人が見れば、無料SSLだとバレてしまいます。個人ブログでは大した問題ではないのですが、会社のホームページで使う場合は考慮が必要です。また、フィッシングサイト等で利用されることもあるため、通販などのお金を扱うようなサイトでも気をつけた方がいいでしょう。</p>



<p>２つ目は、大した問題ではありません。<br>有効期間が90日と短く、定期的な更新が必要です。が、レンタルサーバーが提供している無料SSLサービスは自動的に更新をしてくれるようになっているため、気にする必要がありません。VPSや専用サーバーの場合でも、自動更新の機能が準備されているので、それほど問題ではないです。</p>



<h2 class="wp-block-heading">無料SSLに対応済のレンタルサーバー</h2>



<p>主要なレンタルサーバーは対応済です。むしろ、対応していないレンタルサーバーの方が少なくなっています。</p>



<h3 class="wp-block-heading">エックスサーバー</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+5CB16A+CO4+5Z6WX" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www28.a8.net/svt/bgt?aid=171025907323&amp;wid=001&amp;eno=01&amp;mid=s00000001642001004000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www18.a8.net/0.gif?a8mat=2TTOFN+5CB16A+CO4+5Z6WX" alt=""></p>



<p>高速サーバーとして評判のエックスサーバーです。当ブログもエックスサーバーで稼働しています。WordPressを中心に快適に使いたい人に最適のサーバーです。.com などの主要ドメインが永久無料で１つもらえるキャンペーンや初期費用無料キャンペーンなど、魅力的なキャンペーンをしています。</p>



<h3 class="wp-block-heading">VALUESERVER（バリューサーバー）</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+EL4CC2+1JUK+BZ8OX" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www26.a8.net/svt/bgt?aid=171025907882&amp;wid=001&amp;eno=01&amp;mid=s00000007238002012000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www16.a8.net/0.gif?a8mat=2TTOFN+EL4CC2+1JUK+BZ8OX" alt=""></p>



<p>他のレンタルサーバー会社ではオプション費用が必要な機能でも追加料金なしで使える太っ腹レンタルサーバーです。</p>



<h3 class="wp-block-heading">CORESERVER（コアサーバー）</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+EKIWQA+1JUK+5YRHD" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www27.a8.net/svt/bgt?aid=171025907881&amp;wid=001&amp;eno=01&amp;mid=s00000007238001002000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www11.a8.net/0.gif?a8mat=2TTOFN+EKIWQA+1JUK+5YRHD" alt=""></p>



<p>VALUESERVERの兄弟的なサーバーで、2017年中に全面的にサーバーが最新化されました。</p>



<h3 class="wp-block-heading">ロリポップ!</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+63OZ02+348+5YRHD" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www28.a8.net/svt/bgt?aid=171025907369&amp;wid=001&amp;eno=01&amp;mid=s00000000404001002000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www19.a8.net/0.gif?a8mat=2TTOFN+63OZ02+348+5YRHD" alt=""></p>



<p>管理画面やマニュアルが充実していて初心者に優しいレンタルサーバーです。</p>



<h3 class="wp-block-heading">さくらインターネット</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+CZYQ9E+D8Y+5YRHD" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www21.a8.net/svt/bgt?aid=171025907786&amp;wid=001&amp;eno=01&amp;mid=s00000001717001002000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www14.a8.net/0.gif?a8mat=2TTOFN+CZYQ9E+D8Y+5YRHD" alt=""></p>



<p>安定感抜群のレンタルサーバーです。少し癖がありますが、Web上に情報が溢れているのでそれほど問題ないでしょう。ハードウェアの最新化・最適化で高速になっています。</p>





<h3 class="wp-block-heading">mixhost</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=35FJ4M+1YULRM+3JTE+62MDD" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www24.a8.net/svt/bgt?aid=190521238119&amp;wid=001&amp;eno=01&amp;mid=s00000016565001020000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www17.a8.net/0.gif?a8mat=35FJ4M+1YULRM+3JTE+62MDD" alt=""></p>



<p>数年前から人気のレンタルサーバーです。パフォーマンスはかなりいいのですが、電話サポートがないなど、上級車向けサーバーになります。SSLの種類はCOMODOという通常は有料のSSLを無料で提供してくれています。</p>



<h2 class="wp-block-heading">無料SSLに未対応のレンタルサーバー</h2>



<p>2021年9月時点の情報になります。</p>



<h3 class="wp-block-heading">KDDI CPI</h3>



<p><a rel="nofollow noopener noreferrer" href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+DODI2A+OFG+5YJRL" target="_blank"> <img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www29.a8.net/svt/bgt?aid=171025907827&amp;wid=001&amp;eno=01&amp;mid=s00000003166001001000&amp;mc=1"></a> </p>



<p>１契約でステージングと本番の２環境がレンタルできる変わったレンタルサーバー会社です。</p>



<p>期間限定で通常は有料で発行されるSSLを無料で利用発行してもらえるキャンペーンを行なっているので将来的には対応してもらえると期待しています。</p>



<h2 class="wp-block-heading"><img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www16.a8.net/0.gif?a8mat=2TTOFN+DODI2A+OFG+5YJRL" alt="">オススメの無料SSL対応レンタルサーバー<br></h2>



<h3 class="wp-block-heading">個人・中小企業にオススメ：エックスサーバー</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+5CB16A+CO4+5Z6WX" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www28.a8.net/svt/bgt?aid=171025907323&amp;wid=001&amp;eno=01&amp;mid=s00000001642001004000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www18.a8.net/0.gif?a8mat=2TTOFN+5CB16A+CO4+5Z6WX" alt=""></p>



<p>ブロガーに１番人気のサーバーですが、無料SSLへの対応もとても速かったです。</p>



<p><a href="https://www.xserver.ne.jp/agency_via/?cd=XAIWP1&amp;type=server">エックスサーバー申し込みフォーム</a></p>



<h3 class="wp-block-heading">コスパ・機能重視のオススメ：VALUESERVER</h3>



<p><a href="https://px.a8.net/svt/ejp?a8mat=2TTOFN+EL4CC2+1JUK+BZ8OX" target="_blank" rel="nofollow noopener noreferrer">
<img loading="lazy" decoding="async" border="0" width="468" height="60" alt="" src="https://www26.a8.net/svt/bgt?aid=171025907882&amp;wid=001&amp;eno=01&amp;mid=s00000007238002012000&amp;mc=1"></a>
<img loading="lazy" decoding="async" border="0" width="1" height="1" src="https://www16.a8.net/0.gif?a8mat=2TTOFN+EL4CC2+1JUK+BZ8OX" alt=""></p>



<p>プランの種類が多いのですが、値段に関係なくほぼ全て同じ機能が提供されている太っ腹なレンタルサーバーです。サーバーの機能が多いので、少し上級者向けだとは思います。</p>



<h2 class="wp-block-heading">まとめ</h2>



<p>レンタルサーバーでの無料SSLの提供が徐々に広まってきています。大手のレンタルサーバー会社や新しいこと好きのサーバー会社がいち早く無料SSLに対応しています。</p>



<p>これまで使い切れないほどのデータ容量等のどうでもいい機能の差で優劣を競っていたレンタルサーバー会社ですが、ユーザーにとって本当にメリットのあるサービスを提供してくれるようになっていることに感謝します。</p>



<p>SSL未対応のサイトがSEOで不利になる可能性もあるので、無料SSLに未対応のサーバーを利用しているようであれば、サーバーの乗り換えを検討してみてはいかがでしょうか。</p>



<p>レンタルサーバーを選択する基準としてSSH接続の可否も考慮したい場合は次の記事をご参照ください。</p>



<p><a href="https://satopedia.com/ssh-rental-server/" target="_blank" rel="noreferrer noopener" aria-label="SSHが使えるおすすめのレンタルサーバー (新しいタブで開く)" data-blogcard="1">SSHが使えるおすすめのレンタルサーバー</a></p>
]]></content:encoded>
					
					<wfw:commentRss>https://satopedia.com/free-ssl-rental-server/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>最低限やっておきたい６つのWordPressのセキュリティ対策</title>
		<link>https://satopedia.com/wordpress-security/</link>
					<comments>https://satopedia.com/wordpress-security/#respond</comments>
		
		<dc:creator><![CDATA[さとし]]></dc:creator>
		<pubDate>Mon, 14 Aug 2017 23:00:37 +0000</pubDate>
				<category><![CDATA[WordPress]]></category>
		<category><![CDATA[セキュリティ]]></category>
		<guid isPermaLink="false">https://satopedia.com/?p=163</guid>

					<description><![CDATA[ご存知の方も多いとは思いますが、WordPressは攻撃者によく狙われます。 毎月のようにセキュリティパッチが出て何らかの「脆弱性の対応を行いました。」という記述があります。 では、それだけ脆弱性の多いプログラムなのでし]]></description>
										<content:encoded><![CDATA[<p>ご存知の方も多いとは思いますが、WordPressは攻撃者によく狙われます。</p>
<p>毎月のようにセキュリティパッチが出て何らかの「脆弱性の対応を行いました。」という記述があります。</p>
<p>では、それだけ脆弱性の多いプログラムなのでしょうか？</p>
<p><span id="more-163"></span></p>
<p>WordPressの脆弱性が大問題となることが数年に１度発生しています。直近では、2017年の１月末に公開された脆弱性の影響で、世界中の数百万サイトが改竄の被害にあったようです。</p>
<p><a href="https://satopedia.com/wordpress/wordpress-4-7-vulnerability/" data-blogcard="1" target="_blank" rel="noopener noreferrer">WordPress 4.7脆弱性</a></p>
<p>しかし、WordPressはオープンソースとして運営されているため、リリースまでに何人ものスペシャリストのチェックが入っているため、一般的なシステムに比べても堅牢なシステムとして構築されています。</p>
<p>ただ、逆にオープンソースであることと、世界中で広く使われているが故に、世界中の多くの悪意ある人が脆弱性を探し、隙が出来ることを虎視眈々と狙っている状態です。</p>
<p>手軽に導入できることがメリットのWordPressなので、個人ブログや中小企業のホームページに使われていることが多く、完璧なセキュリティ対策をする時間や予算がないのが普通だと思います。</p>
<p>そんな中でも、これだけやっておけば取り敢えずは大丈夫でしょう！というものを集約しました。</p>
<h2>絶対にやっておきたい対策</h2>
<h3>重要情報を保持しない</h3>
<p>１つ目が技術的な話ではなくて申し訳ないですが、個人情報等、万が一の事態があると影響の大きい情報はWordPressに登録しないようにしましょう。</p>
<p>どうしても重要情報の保存が必要な場合、セキュリティ対策専門の会社によるチェックを受ける、該当部分のみセキュリティを売りにしているASPサービスでデータを保持してAPI等で取得するような設計にする等の対策をしっかり行いましょう。</p>
<h3>WordPress本体、プラグインを最新バージョンに保つ</h3>
<p>ログインしてアップデートの通知が来ていれば更新するようにしましょう。</p>
<p>利用しているプラグインやカスタマイズ内容によっては、更新で動かなくなってしまう可能性もあるため、事前にバックアップの取り方、バックアップへの復旧のさせ方は調べておきましょう。</p>
<p>また、企業サイト等、少しでもサイトが見れなくなるリスクを回避したい場合、ステージング環境として別の場所に本番と同じ環境を用意して、事前にアップデートをかけて良いか確認するようにしましょう。</p>
<h3>管理画面のID/PWの管理を行う</h3>
<p>管理画面のパスワードをランダムな英数字記号を混ぜたランダムな文字列にしましょう。</p>
<p>WordPress自身にパスワードのランダム文字列を発行する機能が付いているので、そこで作られた文字列であれば大丈夫です。</p>
<p>定期的に変更する必要はありませんが、企業サイトの場合、ID/PWを知っている人が退職する場合等は新しいパスワードに変更するようにしましょう。</p>
<p>世界中のハッキング事件の大半はソーシャルハッキングと言われる、ID/PWの漏洩や生年月日等からパスワードを推測する方法による被害です。</p>
<h3>サイト管理用PCのセキュリティ対策</h3>
<p>FTPや管理画面にアクセスするサイト管理用のパソコンのセキュリティ対策をしっかり行いましょう。</p>
<p>ウィルス対策ソフトを入れるのは当然として、SFTPまたはFTPSで接続をする、FTPツールのマスターパスワードの設定を行う（またはパスワードをツールに保存しない）といった内容です。</p>
<h3>管理画面や入力フォームのSSL化</h3>
<p>WordPressのセキュリティを強化しても、通信経路が暗号化されていないと途中でデータを覗き見られてしまい、情報漏洩が起こるリスクもあるため、SSL化して情報を守りましょう。</p>
<p>SSLは３種類ありますが、大きな企業の場合やガラケー対応等の特殊な要件がなければ、安さ優先で選択して問題ありません。<br />
<a href="https://satopedia.com/web/type-of-ssl/" data-blogcard="1" target="_blank" rel="noopener noreferrer">SSLの種類</a></p>
<p>最近のレンタルサーバは無料のSSL、Let&#8217;s Encryptが利用できます。<br />
特に理由がなければ無料の恩恵を受けましょう！<br />
<a href="https://satopedia.com/web/free-ssl-rental-server/" data-blogcard="1" target="_blank" rel="noopener noreferrer">無料のSSL Let&#8217;s Encryptが使えるレンタルサーバ</a></p>
<h3>ファイルのパーミッション設定の確認</h3>
<p>レンタルサーバーを利用する場合は、ファイルのパーミッション設定も重要です。</p>
<p>ホスティング会社自体がサーバを適切に設定できていれば、利用者の設定ミスをカバーしてくれることもあります。</p>
<p>基本的には、下記のような設定にしておくことをオススメします。</p>
<ul>
<li>wp-config.php　→　400</li>
<li>その他のファイル　→　604 または 606</li>
<li>ディレクトリ　→　705 または 707</li>
</ul>
<h2>可能であれば対応しておきたい対策</h2>
<h3>バックアップをとっておく</h3>
<p>万が一、攻撃により改竄された場合、元の状態に復旧させるために、定期的なバックアップは取得しておきたいところです。</p>
<p>サイト改竄に気づくまでの最長の期間分は残しておかないと、バックアップも全て改竄された内容しか残っていないという事態になってしまうので、アクセス頻度が低い場合は注意しましょう。</p>
<h3>管理画面にアクセス制限をかける</h3>
<p>外出先からのアクセスが不要な場合で、固定IPからのアクセスに限定できる場合はIP制限をかけてしまうのがベストですが、BASIC認証でも十分効果があります。<br />
<a href="https://satopedia.com/wordpress/wordpress-basic-auth/" data-blogcard="1" target="_blank" rel="noopener noreferrer">WordPress管理画面へのBASIC認証の設定</a></p>
<h3>セキュリティ対策プラグインの導入</h3>
<p>目的にあったセキュリティ対策プラグインを導入して適切に設定・運用しましょう。</p>
<p>数多く入れると、プラグイン同士が競合したり、サイト自体が重くなるリスクもあります。</p>
<p>主要なものとしては、コメントスパムの防止、管理画面への不正アクセスの防止、管理画面での操作履歴の取得、バックアップなどの機能を持ったプラグインがあります。</p>
<h3>管理者IDを非公開にする</h3>
<p>ユーザ単位でのアーカイブページを使わない場合に使える対応になります。<br />
<a href="https://satopedia.com/wordpress/hide-wordpress-admin-id/" data-blogcard="1" target="_blank" rel="noopener noreferrer">WordPressの管理者IDを非公開にする</a></p>
<h3>使用していないプラグインの削除</h3>
<p>これ自体はセキュリティ対策ではありませんが、こまめにプラグインの一覧画面を開くことで、不正アクセスを早期発見しやすくなります。</p>
<p>パフォーマンス的にも不要なプラグインが存在しないほうが有利ですし、利用していないプラグインの脆弱性が理由で攻撃されるとかあったらイヤですよね。。。</p>
<p>セキュリティ対策プラグイン自体に脆弱性が潜んでいる可能性があります。</p>
<p>過去には、All in One SEO Packや狂骨などでXSSの脆弱性がありました。</p>
<h2>ほとんど効果の見込めない対策</h2>
<p>ネット上にあるセキュリティ対策の中には、効果の見込めない対策も見かけます。</p>
<ul>
<li>wp-config.phpを .htaccess でアクセス不可に設定する</li>
<li>データベーステーブルのプレフィックスを変更する</li>
</ul>
<p>詳細は割愛しますが、一定の条件下では役に立つ対応なので、やってはダメという訳ではありません。</p>
<h2>まとめ</h2>
<p>「セキュリティ対策＝費用と時間がかかる」ということを認識し、サイトにあった対策をしっかりしましょう。</p>
<p>とは言っても、セキュリティ対策の基本、脆弱性の管理（＝WordPressやプラグインの最新化）とID/PWの管理が出来ていれば簡単には攻撃の被害にはあいません。</p>
<p>大規模サイトや有名企業のサイトなど、閲覧者が増えるサイトほど標的にされるリスクが上がり、もっと細かなセキュリティ対応が求められることになっていきます。</p>
]]></content:encoded>
					
					<wfw:commentRss>https://satopedia.com/wordpress-security/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>WordPressの管理画面にアクセス制限をかける方法</title>
		<link>https://satopedia.com/wordpress-basic-auth/</link>
					<comments>https://satopedia.com/wordpress-basic-auth/#respond</comments>
		
		<dc:creator><![CDATA[さとし]]></dc:creator>
		<pubDate>Sat, 27 May 2017 20:15:58 +0000</pubDate>
				<category><![CDATA[WordPress]]></category>
		<category><![CDATA[セキュリティ]]></category>
		<guid isPermaLink="false">https://satopedia.com/?p=208</guid>

					<description><![CDATA[WordPressの管理画面にBASIC認証をかけるのは、簡単かつ効果の高いセキュリティ対策の一つです。 ただし、対応方法を間違うと意図していない画面で認証が必要になったり、かかっているはずの認証がかかっていないという状]]></description>
										<content:encoded><![CDATA[<p>WordPressの管理画面にBASIC認証をかけるのは、簡単かつ効果の高いセキュリティ対策の一つです。</p>
<p>ただし、対応方法を間違うと意図していない画面で認証が必要になったり、かかっているはずの認証がかかっていないという状態になってしまいます。</p>
<p><span id="more-208"></span></p>
<h2>WordPressの管理画面とセキュリティ対策</h2>
<h3>WordPressのセキュリティ対策</h3>
<p>WordPressのセキュリティ対策は数多くありますが、最新バージョンへの更新と管理画面へのログインIDとパスワードを複雑なものにしておくことは手軽にできる対策です。</p>
<p>それ以上は、セキュリティ対策用のプラグインを追加していくような対策が多いのですが、プラグイン自体のセキュリティ問題やパフォーマンスの影響を考えると、気軽にこれがオススメとは言い難いものが多いです。例えば、Crazy Bone(狂骨)というログイン履歴を取得するプラグイン自体にXSSの脆弱性があったという恐ろしい話もあります。（現在は修正されています）</p>
<p>しかし、管理画面にアクセス制限を追加する方法は、プラグインに頼らず、パフォーマンスへの影響はないに等しく、間違いなくオススメできる方法になります。</p>
<h3>アクセス制限の方法の決め方</h3>
<p>会社のような固定IP環境からしかアクセスしない場合は、IP制限をかけるのが効果的です。しかし、自宅やモバイル環境からアクセスする場合は、IP制限をかけることができません。そのため、代わりにBASIC認証をかけることでセキュリティ対策を行います。</p>
<h3>アクセス認証をかける対象</h3>
<p>WordPressの管理画面にアクセス制限を行う場合、以下のファイル・ディレクトリを対象にします。</p>
<ul>
<li>wp-login.php</li>
<li>admin-ajax.php以外の wp-admin ディレクトリ</li>
</ul>
<p>wp-login.phpはログインページです。このファイルにだけ認証をかけても、認証が正しくかかっているように見えますが、管理画面本体に認証がかからないため、wp-adminディレクトリにも認証をかける必要があります。</p>
<p>ただし、admin-ajax.phpは管理画面以外のフロント画面でも利用されているため、認証がかからないようにしておく必要があります。</p>
<h2>アクセス制限のかけ方</h2>
<p>レンタルサーバで広く利用されている.htaccess（Apache）の場合の設定方法です。</p>
<h3>wp-login.phpへの認証</h3>
<p>wp-login.phpと同じディレクトリの.htaccessに下記のコードを追加します。</p>
<p>.htaccessはWordPress自体のファイルに追記することになるので、他の内容に影響しないように、一番先頭か一番末尾に追記することをお勧めします。</p>
<h4>BASIC認証</h4>
<pre>
<code class="language-apache" title=".htaccess">&lt;Files wp-login.php&gt;
AuthType Basic
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
require valid-user
&lt;/Files&gt;</code></pre>
<p>.htpasswdの作成方法は省略しますが、/var/www/.htpasswd の部分は、実際の.htpasswdのファイルのパスに変更してください。<br />
FTPツールなどで表示されているパスはアクセス可能な部分のみ表示されていることもあるため注意してください。</p>
<h4>IP制限</h4>
<pre>
<code class="language-apache" title=".htaccess">&lt;Files wp-login.php&gt;
Order deny,allow
Deny from all
Allow from 111.111.111.111
&lt;/Files&gt;</code></pre>
<p>111.111.111.111 の部分を許可するIPに変更してください。<br />
複数のIPを許可する場合、Allow from の行を列挙していきます。</p>
<h3>admin-ajax.php以外の wp-admin ディレクトリへの認証</h3>
<p>/wp-admin/ に .htaccess を設置します。こちらは、新規でファイル作成することになります。<br />
Windows環境では . で始まるファイルは作成できないので、別名で作成してアップロード後にリネームするか、最初からサーバ上で作成する必要があります。</p>
<h4>BASIC認証</h4>
<pre>
<code class="language-apache" title="/wp-admin/.htaccess">AuthType Basic
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
Require valid-user
&lt;FilesMatch "(admin-ajax.php)$"&gt;
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none
&lt;/FilesMatch&gt;</code></pre>
<p>こちらも、/var/www/.htpasswd の部分は、実際の.htpasswdのファイルのパスに変更してください。</p>
<h4>IP制限</h4>
<pre>
<code class="language-apache" title=".htaccess">Order deny,allow
Deny from all
Allow from 111.111.111.111
&lt;FilesMatch "(admin-ajax.php)$"&gt;
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none
&lt;/FilesMatch&gt;</code></pre>
<p>こちらも、111.111.111.111 の部分を許可するIPに変更してください。</p>
<h2>その他のWordPressのセキュリティ対策</h2>
<p><a href="https://satopedia.com/wordpress/hide-wordpress-admin-id/" data-blogcard="1" target="_blank" rel="noopener noreferrer">WordPressの管理者IDを非公開にする方法</a><br />
管理者のまとめページを使わない場合、管理者IDがバレないように対策をしておきましょう。</p>
<p>たった３行のコードを書いたファイルを置くだけで終わりなので、お手軽です！</p>
<h2>まとめ</h2>
<p>WordPressの管理画面にアクセス制限をかける方法は手軽にできて、セキュリティ面でも大きな効果があります。</p>
<p>様々なセキュリティ関連のプラグインがありますが、それらを設定する前にまずは管理画面のアクセス制限を行いましょう。</p>
<p>その後、要件にあったプラグインを追加して自分のサイトを守っていきましょう！</p>
]]></content:encoded>
					
					<wfw:commentRss>https://satopedia.com/wordpress-basic-auth/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>【完全版】WordPressの管理者IDを非公開にする方法</title>
		<link>https://satopedia.com/hide-wordpress-admin-id/</link>
					<comments>https://satopedia.com/hide-wordpress-admin-id/#comments</comments>
		
		<dc:creator><![CDATA[さとし]]></dc:creator>
		<pubDate>Sun, 21 May 2017 18:48:01 +0000</pubDate>
				<category><![CDATA[WordPress]]></category>
		<category><![CDATA[セキュリティ]]></category>
		<guid isPermaLink="false">https://satopedia.com/?p=204</guid>

					<description><![CDATA[一般的に管理者IDにadminって使わない方が良いという話は有名ですが、多くのWordPressの設定では簡単に管理者のIDを簡単に調べることができてしまいます。 管理者IDの隠し方を紹介しますので、是非実施してください]]></description>
										<content:encoded><![CDATA[<p>一般的に管理者IDにadminって使わない方が良いという話は有名ですが、多くのWordPressの設定では簡単に管理者のIDを簡単に調べることができてしまいます。</p>
<p>管理者IDの隠し方を紹介しますので、是非実施してください。</p>
<p><span id="more-204"></span></p>
<h2>管理者IDの調べ方</h2>
<p>WordPressのTOPのURLの後ろに　?author=1　と記入してみてください。</p>
<pre><code class="language-url">http://example.com/?author=1</code></pre>
<p>ページが移動して、URLの中にログインに利用しているIDが出てきませんか？</p>
<pre><code class="language-url">http://example.com/author/xxx-admin/</code></pre>
<p>このような表示になった場合は、管理者IDは xxx-admin だとバレたことになります。</p>
<p>ページが見つからない等で表示されない場合、数字の部分を順番に変えていって、自分のユーザの番号にたどり着いた時点で管理者用のページが表示されてしまいます。</p>
<h2>管理者IDを隠す方法</h2>
<p>このページで紹介する対応方法の対応状況の一覧です。</p>
<p>完全に対応するには、プラグインによる対策か、.htaccess と author.php の組み合わせ、functions.php と author.php の組み合わせのいずれかでの対策が必要です。</p>
<table>
<tbody>
<tr>
<td></td>
<td>?author=1 対策</td>
<td>/author/xxx-admin/ 対策</td>
</tr>
<tr>
<td>functions.php</td>
<td>〇</td>
<td>△</td>
</tr>
<tr>
<td>.htaccess</td>
<td>〇</td>
<td>△</td>
</tr>
<tr>
<td>プラグイン</td>
<td>〇</td>
<td>〇</td>
</tr>
<tr>
<td>author.php</td>
<td>△</td>
<td>〇</td>
</tr>
</tbody>
</table>
<h3>管理者IDへのアクセスを隠す方法（functions.php）</h3>
<p>クエリパラメータに author が含まれていたら取り除いてしまう方法です。<br />
この方法か、次に紹介する .htaccess、プラグインでの対応が</p>
<pre class="line-numbers"><code class="language-php" title="functions.php">&lt;?php
function remove_author_parameter() {
  $_GET['author'] = '';
}
add_action( 'init', 'remove_author_parameter' );
</code></pre>
<h3>管理者IDのURLを呼び出させない方法（.htaccess）</h3>
<p>WordPress のルートにある .htaccess の <strong># BEGIN WordPress より前</strong>に、下記の５行を追加してください。<br />
authorというクエリパラメータがある場合、強制的に TOPページにリダイレクトしています。</p>
<pre class="line-numbers"><code class="language-htaccess" title=".htaccess">&lt;IfModule mod_rewrite.c&gt;
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (^|&amp;)author=.* [NC]
RewriteRule ^.*$ /? [L,R=301]
&lt;/IfModule&gt;</code></pre>
<p>飛ばしたい別のページがある場合、RewriteRule の「 &#8211; 」のところに、遷移先のURL （ /author/xxx-user/? 等 ）に書き換えます。</p>
<p>最後の「 ? 」を忘れるとリダイレクトループが発生してしまうのでお気をつけください。</p>
<h3>プラグイン（Edit Author Slug）を利用する方法</h3>
<p>プラグインの設定だけでパラメータアクセスを防ぐことが出来ます。</p>
<p>また、/author/xxx-admin/ のようにユーザーページのURLを任意の文字列に変更できるので、<br />
<a href="https://ja.wordpress.org/plugins/edit-author-slug/" target="_blank" rel="noopener noreferrer" data-blogcard="1">Edit Author Slug</a></p>
<h3>author.php での対応について</h3>
<p><strong>この方法だけでは、詳しい人には管理者ID、管理者名が分かってしまいます。</strong></p>
<p>このページでは、元々この方法を紹介していましたが、厳密にチェックすると不完全であることが分かり、前述の対応方法を紹介するに至りました。</p>
<p>ただ、手軽に対応できるのと、ユーザー名で直接アクセスがあった場合に、404 や リダイレクトしてしまえるメリットがあります。</p>
<p>テンプレートのテーマディレクトリの中に author.php というファイルを作成して、下記の内容を記入して保存してください。</p>
<pre class="line-numbers"><code class="language-php" title="author.php">&lt;?php
wp_redirect(home_url());
exit;</code></pre>
<p>先ほどと同じように ?author=1 とつけてアクセスしたら、トップページが表示されるようになります。</p>
<p>別のページにリダイレクトさせたい場合、下記になります。home_url() の部分を変えることで、任意のページにリダイレクトさせることができます。</p>
<h2>管理者IDを隠す理由</h2>
<p>admin というIDを使ってはいけない理由と同じで、IDがバレることで攻撃者はパスワードを見つけるだけでよくなります。</p>
<p>パスワードを総当たりで探す場合、アルファベットの大文字小文字、数字、記号の90種類をフルに使ったパターンでも、６桁なら数秒もかからずに全パターンを網羅できてしまいます。８桁ならもう少し耐えられるのですが、記号抜きの62種類の場合、数十秒で破られてしまいます。</p>
<p>ただ、これはパスワードだけの場合なので、ここにIDと組み合わせる必要があればIDの文字数＋パスワードの文字数の長さを総当たりで調べる必要があるので、一気に強度が高まることになります。</p>
<p>実際は、インターネット経由での攻撃になるので、全ての組み合わせを試すようなアクセス数がある場合、サーバ側の設定等でブロックされて簡単に総当たりでの突破はされないのですが、攻撃側の技術も進化しているため、巧みにかいくぐって攻撃を仕掛けてきます。</p>
<h2>その他のセキュリティ対策</h2>
<p>手っ取り早い方法としては、管理画面へのアクセスにBASIC認証やIP制限をかけてしまうことで、二重認証化してしまいましょう。</p>
<p>wp-login.phpへのアクセスと、wp-adminディレクトリへのアクセスに対してアクセス権限をかけることになりますが、admin-ajax.php だけはフロント画面からもアクセスがあるので、認証を外してあげる必要があります。<br />
<a href="https://satopedia.com/wordpress/wordpress-basic-auth/" target="_blank" rel="noopener noreferrer" data-blogcard="1">WordPressの管理画面にIP制限をかける方法</a></p>
<h2>まとめ</h2>
<p>セキュリティ対策はやってもやってもキリがないぐらい、攻撃者は様々な方法で攻めてきます。</p>
<p>管理者IDを隠す程度のことでWordPressのセキュリティを劇的に高めることはできませんが、少なくともセキュリティ意識のあるサイトだと伝わります。</p>
<p>玄関の鍵が２個ある家と１個しかない家のどちらに泥棒が入りやすいですか？というレベルの問題で、万能な対策というものはないので、細かい対策の積み重ねで自分のサイトを守っていきましょう。</p>
]]></content:encoded>
					
					<wfw:commentRss>https://satopedia.com/hide-wordpress-admin-id/feed/</wfw:commentRss>
			<slash:comments>1</slash:comments>
		
		
			</item>
		<item>
		<title>WordPress4.7.0、4.7.1の脆弱性について</title>
		<link>https://satopedia.com/wordpress-4-7-vulnerability/</link>
					<comments>https://satopedia.com/wordpress-4-7-vulnerability/#respond</comments>
		
		<dc:creator><![CDATA[さとし]]></dc:creator>
		<pubDate>Sun, 19 Feb 2017 11:18:07 +0000</pubDate>
				<category><![CDATA[WordPress]]></category>
		<category><![CDATA[セキュリティ]]></category>
		<guid isPermaLink="false">http://satopedia.coresv.com/?p=88</guid>

					<description><![CDATA[2017/02/01、WordPressにかなり影響の大きな脆弱性があったことが発表されました。 仕事でWordPressを導入することになった場合、クライアントからセキュリティは大丈夫か？という質問をよく受けます。数ヶ]]></description>
										<content:encoded><![CDATA[<p>2017/02/01、WordPressにかなり影響の大きな脆弱性があったことが発表されました。</p>
<p>仕事でWordPressを導入することになった場合、クライアントからセキュリティは大丈夫か？という質問をよく受けます。数ヶ月単位での更新の度に、「不具合を修正しました」や「脆弱性に対応しました」といった内容が含まれているので、当然と言えば当然ですね。でも、逆に言えば、世界中から常に脆弱性の有無をチェックされ続け、更新され続けているので、下手にスクラッチで作ったシステムよりよっぽどセキュリティは高い状態が維持されています。</p>
<p>そんな中、今回発表された脆弱性についてはかなり衝撃的な内容で、今後、クライアントの心理的なハードルがさらに上がってしまうことは間違いないでしょう。</p>
<p>では、今回の脆弱性がどれくらいヤバイのか、どのような影響があるかを説明していきます。</p>
<p><span id="more-88"></span></p>
<h2>今回の脆弱性はどれぐらいヤバイのか？</h2>
<p>WEBに関わる仕事をしていると、脆弱性の発表自体は日常茶飯事のように耳に入ってきます。聞きすぎて気にも留めなくなっている人も多いと思います。そんな中、今回の脆弱性については、様々なところから発表やアナウンスがあり、WordPressのここ数年で最大の脆弱性だと言われています。</p>
<h3>脆弱性修正の発表のされ方が普通じゃない！？</h3>
<p>1/26時点のリリースノートでは、影響の少ない３点だけが発表されていましたが、2/1になってから追加でセキュリティ対応を行なっていたことが発表されました（<a href="https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/">公式発表</a>）。WordPressの自動更新などにより、１サイトでも多く脆弱性が修正された最新版になるように配慮された結果のようです。</p>
<p>その面影は、2/19現在でもWordPressの日米の公式サイトに残っています。</p>
<p>【英語版のリリースノート】</p>
<p><a href="https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/" data-blogcard="1" target="_blank" rel="noopener noreferrer">WordPress 4.7.2 Security Release</a></p>
<p>【日本語翻訳版のリリースノート】</p>
<p><a href="https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/" data-blogcard="1" target="_blank" rel="noopener noreferrer">WordPress 4.7.2 セキュリティリリース</a></p>
<p>英語サイトでは、4.7.2での更新は４種類になているのに対し、日本語翻訳サイトでは３種類になっています。</p>
<p>英語サイトの４件目が今回問題になっている脆弱性になります。</p>
<p>通常は最新版のリリースとともに更新内容が公開されるのですが、そうなると更新が遅いサイトが脆弱性を利用した攻撃の対象になってしまうことを懸念して、約１週間後に通知があったという気の使い方です。</p>
<p>そこまでしても脆弱性対応についての発表から約10日間で<a href="https://threatpost.com/1-5m-unpatched-wordpress-sites-hacked-following-vulnerability-disclosure/123691/">世界中で150万を超えるサイトが被害にあっている</a>ようです。</p>
<h3>ホスティングサービスから連絡が入ってませんか？</h3>
<p>さくらインターネットやバリュードメイン、CPIなど、レンタルサーバーのホスティング会社が、メールやHP上でユーザへの更新の呼びかけが行われています。</p>
<p>これまでにも数ヶ月単位でのWordPressの更新があり、そこに脆弱性対応を行ったような記述はされていることも多いのですが、直接関係のないホスティングサービスの会社がメール等による周知を手伝うくらいヤバイと思ってもらえれば良いです。</p>
<h2>脆弱性を使ってどんな攻撃ができるのか？</h2>
<p>今回の脆弱性は、REST APIがユーザ認証なしで呼び出せてしまうという問題です。</p>
<p>すごく簡単に言えば、「誰でも記事の内容を変更したり、投稿したりすることが可能」というような状態になってしまっていました。</p>
<p>公式発表は下記の通りです。</p>
<blockquote><p>An unauthenticated privilege escalation vulnerability was discovered in a REST API endpoint. Reported by Marc-Alexandre Montpas of Sucuri Security.</p></blockquote>
<p>「REST APIとは？」について、詳細は記述しませんが、プログラム同士の通信方法の仕様の１つです。</p>
<p>通常は、管理画面にログインして、投稿の画面から記事を作っていると思いますが、専用のアプリ等を作れば、APIに向けてデータを投稿することで、更新をしたり、外部のサイトで別のWordPressのデータを取得したりと、非常に便利な機能なので、将来活用したいと期待していました。</p>
<h2>脆弱性による攻撃を防ぐには？</h2>
<p>大きく分けて４つの方法があります。</p>
<ol>
<li>　WordPressを最新版に更新する</li>
<li>　REST APIを停止する</li>
<li>　アクセス元を制限する</li>
<li>　セキュリティの高いサーバに移す</li>
</ol>
<p>上２つは脆弱性があった部分を修正したり、無効にすることで完全に被害を防ぐことができます。</p>
<p>大幅なカスタマイズを入れている等の理由で、バージョンアップや設定変更が難しい場合の対策として、下２つのように、悪意のあるユーザからのアクセスをブロックしてしまうという方法もあります。</p>
<p>こちらは完全には防ぐことはできませんが、一定の効果はあります。例えば、一般向けに公開しているサイトの場合でも、海外からのアクセスを禁止するだけで、攻撃されるリスクが大きく下がります。セキュリティの高いサーバだと、前述の海外アクセスを防ぐ仕様以外にも、攻撃によく使われているIPアドレス等が記録されていて、自動的にアクセスを防ぐ仕組みが入っていたりします。</p>
<h2>今回の脆弱性の影響を受けるバージョン</h2>
<p>これまでの流れの中で記載している通り、対象となるバージョンは、4.7.0 と 4.7.1 です。</p>
<p>4.7.0からREST APIが有効化されてましたが、それ以前のバージョンについては、REST APIは使えない設定だったので、影響がないのです。</p>
<p>ただ、先取りして使える状態ではあったようなので、ご自身で有効化して使っていた人は最新版に更新しておいた方が無難だと思います。</p>
<h2>WordPressの自動更新について</h2>
<p>今回、最新版のリリースの発表が2017/01/26でしたが、私が管理しているサイトでは1/27付で自動更新しましたという通知が大量に届いていました。</p>
<p>開発中のサイトは、最新版の4.7.2への更新でしたが、リリース済みでメジャーアップデートを避けていたサイトでは、4.3.8など、それぞれのバージョンの中での最新に更新されていました。</p>
<p>こちらの記事で書いたように、WordPressのアップデートをOFFにする方法があります。仕事で使う場合は、自動更新やエンドユーザが勝手に更新してしまって、崩れたり止まったりするリスクを少しでも下げるために、OFFにすることもありますが、今回のような話があると自動更新は常に有効にしておきたいですね。</p>
<p><a href="https://satopedia.com/wordpress/disable-wordpress-update/" data-blogcard="1" target="_blank" rel="noopener noreferrer">WordPressのアップデート通知をOFFにする方法</a></p>
<h2>まとめ</h2>
<p>WEB業界で働いている人なら、大小関わらず、今回のWordPressの脆弱性の話を目にしたり、耳にしたりしていると思います。</p>
<p>脆弱性対応についての発表は、簡単に再現されて、最新版へのアップデート前に攻撃されないように配慮してもらっていることは分かりましたが、それでも１週間程度しか時間をもらえません。</p>
<p>毎日、セキュリティに関するニュースを調べている余裕もないと思いますし、自動更新を有効にし、自動でできることは自動的に対応させるようにした方が良さそうですね。</p>
]]></content:encoded>
					
					<wfw:commentRss>https://satopedia.com/wordpress-4-7-vulnerability/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
