当ブログはロリポップ!レンタルサーバーを利用しているのですが、最近、FTP経由のサイト改ざんの事例が増加しているということで、対策を促すメールがきました。
メールの内容は、
1.ご利用のパソコンのウイルス対策を行ってください
2.FTP パスワードには複雑な文字列を設定してください
3.FTP 接続を制限する.ftpaccess を設置してください
4.FTP ソフトでサーバーへ接続する際は FTPS をご利用ください
こういうことは、正直、疎くて苦手なのですが、そうも言ってられませんからね。
自分の身はきちんと自分で守らないといけないので、できることはやっておいたほうがいいのかな。
1についてはまあ当然として、2のFTP パスワードは、やっぱり定期的にご変更するのがいいのでしょうね。
さて、3つめの項目「FTP 接続を制限する.ftpaccess を設置してください」については、
“指定した IP アドレス以外の FTP 接続が制限される”
ということで、ロリポップ!ユーザーは、【ユーザー専用ページ】で簡単に設置できるようです。
詳細はロリポップ!のサイトのこちらのマニュアルページに載ってます。
「FTPアクセス制限の設定 / ユーザー専用ページ / マニュアル – ロリポップ!」
そのマニュアルに、FTP接続できない場合についての注意書きがあるのですが、DHCP環境で利用の場合は、IPアドレスは設定時のものから変わる場合があるので、FTP接続できない場合はIPアドレスをこのFTPアクセス制限画面で確認の上、設定の変更を行う必要があるんですね。
繋がらなくなったら、ここを確認せよ!ということですね。
そうなるとちょっと面倒ですが、初心者はこのくらいはやるべきなんだろうな〜(汗)
次の4つめの項目「FTP ソフトでサーバーへ接続する際は FTPS をご利用ください」については、
サーバーへのファイルアップロードは、FTP接続ではなく、FTPS、SSH、ロリポップ!FTPを使ってサーバーへ接続を行ってください。
ということで、初心者は素直に「ロリポップ!FTP」を使っておいたほうが良さそうですね。
詳細はロリポップ!のサイトのこちらのマニュアルページに載っていて、Cyberduck等の各種FTPソフトの設定方法が記載されています。
「各種FTPソフトの設定方法 / ホームページ / マニュアル – ロリポップ!」
以上、案内の内容を、ざっと初心者なりに確認してみました。
トラブルがあってからでは遅いので、早速対応していきたいと思います。
あと、案内メールの最後に、「WordPress や EC-CUBE などの CMS ツールをご利用の方へ」という項目があり、
脆弱性が存在する可能性を減らすため、使用していないテーマや
プラグインなどは必ず削除していただきますようお願いいたします。
※ WordPress の場合、「停止」ではなく「削除」を行ってください。
という案内もありました。
さらに、「WAF 機能を標準搭載しています。ぜひご活用ください。」ともあるのですが、そういえばWAF(ウェブアプリケーションファイアウォール)を有効にすると、CGI、PHPプログラムの動作に影響が出たりと、何だか不具合が出てましたよね。
当ブログでWAF設定で不具合が起きて、記事に取り上げたのは次の2件です。
「ロリポップとWordPressの組み合せで「するぷろ for iPhone」の投稿時にエラーが出てしまう」
「WordPressのテキストウィジェットに貼付けたgoogleアドセンスのコードの保存が終了しない」
これらはどうなったんだろう。相変わらずなのかな〜
だとしたら、WAF機能は使えないですよね。困ったものです。
上記を含めて、ロリポップ!レンタルサーバーのサイト改ざんへの対策方法については、こちらにまとめられています。
「サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー」