「WEBのセキュリティって、何をしたらいいのかわからない。」
「WEBサイトの制作や運用をするのに、どういうセキュリティ対策をしたら良いの?」
という方のために、WEB制作をフリーランスで20年やって、セキュリティに関するトラブルがゼロの私がやっている方法を紹介します。
ネットのセキュリティって難しそうなイメージがありますが、環境さえ用意すれば誰でも簡単にできます。
事務所の方針として、顧客からサイト管理を委託されているので、当然パスワード漏洩や改ざんが絶対にないよう厳重にセキュリティ対策をしています。
顧客との信頼関係を築いていく上で重要です。
長く仕事を続けていくためには、セキュリティへの意識は高くしておきましょう。
商売は信用第一です。
その中でも信頼性が高く簡単でお金もかからず効果的なのが固定IPを駆使する方法です。
具体的にどのようにやっているか紹介します。
●自分のIPアドレスを調べる方法
まずは固定IPを割り振ってもらえるASAHIネットなどのネット回線の事業者と契約して、オプションで固定IPの契約もしましょう。
固定IPを割り振ってもらったら、以下のページで確認できます。
あなたが現在インターネットに接続しているグローバルIPアドレス確認
やり方がわからなかったり、不安な方は、サポートに連絡を必ずしましょう。
①固定IPのみでFTP作業できるようにする
ネット接続で固定IPアドレスを契約することで、ずっと同じIPアドレスが割り振られるようになります(通常の契約だとIPは動的に変更される)。
つまりこの世に固定IPは1つしか存在しないので、他者が操作することが不可能になります。
特定の固定IPのみが、FTPの操作をできるようになります。
やり方は、.ftpaccessで固定IPからのアクセスだけでアップできるように制御します。
ローカル上で、適当なファイル名をつけたテキストファイルに以下を記述します。
<Limit ALL>
Order Allow,Deny
Allow from xxx.xx.xxx.xxx(あなたの固定IP)
Deny from all
</Limit>xxx.xx.xxx.xxxを自分のIPに変更してください。
データをFTPでサーバーにアップしたら、ファイル名を.ftpaccessに変更して終了です。
※ .(ドット)で始まるファイルは、ローカルPCで作れないので最後にサーバー上でファイル名を変更します
.ftpaccessが使えるサーバー限定となります(ロリポップ! 
などが使えるサーバー)。
ロリポップだと.ftpaccessが簡単操作
またレンタルサーバーのロリポップ! を使うと、.ftpaccessを編集しなくても管理画面内のこのページで簡単に操作できます。以下の画面のスクショを掲示します。
いま現在ページを閲覧しているIPアドレスも出ます。(現在の接続元IPアドレスの【】の間)
その下のテキストエリアにも、その値が表示されますので、設定ボタンを押すだけ。
このように初心者でも、メッチャわかりやすくて操作しやすいのがロリポップ!の特徴です。
上記のような理由やコスパなど総合面で、どのサーバーが良いのか迷っている人に迷わずおすすめしています。ロリポップをオススメしている理由については、以下のページを参考にしてみてください。
②固定IPだけでWordPressを操作
いまはほとんどのウェブサイトは、WordPressで作られています。
WordPressの操作もあなたの固定IPだけで操作できるように制御しましょう。
以下のWordPressのログイン画面と管理画面に、特定の固定IPだけが操作できようにしましょう。
wp-login.php(ログイン画面)を.htaccessで制限
テキストファイルに以下を記載して
<Files "wp-login.php">
order deny,allow
deny from all
allow from xxx.xx.xxx.xxx(あなたの固定IP)
</Files>FTPでwp-login.phpのディレクトリにアップし、.htaccessにファイル名を変更します。
wp-adminディレクトリ(管理画面)
テキストファイルに以下を記載して
order deny,allow
deny from all
allow from xxx.xx.xxx.xxx(あなたの固定IP)FTPでwp-adminディレクトリにアップし、.htaccessにファイル名を変更します。
このように2つ.htaccessが必要になります。
ちなみにワードプレスは、プラグインの脆弱性を狙われやすいので無闇にプラグインを入れてはいけません。以下、参考記事です。
https://news.mynavi.jp/techplus/article/20220720-2403330/
以上です。たったこれだけなので、この記事を読んでなぞるだけで誰でも簡単に行えます。
アサヒネットの固定IPの契約はたったの月800円。セキュリティを強化するのに最も効果的な手法なので、私もずっと採用しています。
そして、顧客である企業側が、自社のCMSの利用を固定IPありきになっているので、WEB制作業者にはほぼ必須になりつつあります。
セキュリティに関するトラブルは、問題が起きてからでは、もう遅いのです。
もしトラブルおこしたら、次から仕事の依頼はくるでしょうか?
最初にしっかりやっておくことだけです。
当事務所はASAHIネット 
の固定IPで契約して、8年くらいこの方法でセキュリティを行なっていますが、トラブルはゼロです。
お金をかけなくても、固定IP契約とちょっとした努力で大幅セキュリティ強化は可能です。
ちなみにASAHIネットではWi-Fiでも固定IPを使えましたので、出張時でも通常通りに仕事ができました。
長くやっている実感として、セキュリティに対する意識は年々高まってきていますので、早めに固定IPを導入しておくべきです。
特に私のような小さな制作業者だからこそ、発注側が不安に感じないように用意しておきましょう。
③セキュリティソフト導入
作業環境のPCにも、当然セキュリティソフトを入れておくことが、セキュリィ対策の基本です。
どのソフトが良いのか?というより、お客さんがウイルス対策しているのか?と心配される方がいるので、最低限の常識として必ずインストールするようにしておきましょう。
以前は、Macだとウイルス対策しなくてもOKという噂がありましたが、そんな神話のようなことはありません。
私の環境では、たまにウイルスを駆除されています。
このような自分に都合の良い噂を人は信じてしまいがちですが、お客さんから情報を預かる側としての責任を持つことが大切です。
特にこだわりがなければ国内シェア一位のウイルスバスターで問題ないでしょう。
最後に
以上、簡単にできるセキュリティ対策を3つ紹介しました。
・固定IPでFTPを使える人を限定
・固定IPでWordPressを使える人を限定
・セキュリティソフトを導入
これらセキュリティ三種の神器だけで、さまざまなトラブルを未然に防いでくれます。
食中毒になるような、不衛生な飲食店に行きたくありませんよね?
それと同じようにセキュリティ対策を、不真面目にしている業者に制作を依頼したくないですよね?
セキュリティ対策は、顧客を守るためでもあり、自分の信用力を高めるためでもあります。
社会的信用のための投資だと考えると、セキュリティとの向き合い方は変わってきます。
自分のためであり、顧客のためとも言えます。
経験的に、大手企業のCMSの仕事する場合は、だいたい固定IPが必要になってきます。
参考にしていただけると嬉しいです。
