WEB制作の現場で必須なセキュリティ対策やるべきこと3選【かんたん】

セキュリティ対策

「WEBのセキュリティって、何をしたらいいのかわからない。」
「WEBサイトの制作や運用をするのに、どういうセキュリティ対策をしたら良いの?」

という方のために、WEB制作をフリーランスで20年やってセキュリティに関するトラブルがゼロの私がやっている方法を紹介します。
ネットのセキュリティって難しそうなイメージがありますが、環境さえ用意すれば誰でも簡単にできます。

事務所の方針として、顧客からサイト管理を委託されているので、当然パスワード漏洩や改ざんが絶対にないよう厳重にセキュリティ対策をしています。

顧客との信頼関係を築いていく上で重要です。
長くこの仕事を続けていくためにはセキュリティの意識は高めておくべきです。

その中でも信頼性が高く簡単でお金もかからず効果的なのが固定IPを駆使する方法です。
具体的にどのようにやっているか紹介します。

●自分のIPアドレスを調べる方法

まずは固定IPを割り振ってもらえるASAHIネットなどのネット回線の事業者と契約して、オプションで固定IPの契約もしましょう。
固定IPを割り振ってもらったら、以下のページで確認できます。

あなたが現在インターネットに接続しているグローバルIPアドレス確認

やり方がわからなかったり、不安な方は、サポートに連絡を必ずしましょう。

①固定IPのみでFTP作業できるようにする

ネット接続で固定IPアドレスを契約することで、ずっと同じIPアドレスが割り振られるようになります(通常の契約だとIPは動的に変更される)。
つまりこの世に固定IPは1つしか存在しないので、他者が操作することが不可能になります。

特定の固定IPのみが、FTPの操作をできるようになります。
やり方は、.ftpaccessで固定IPからのアクセスだけでアップできるように制御します。

ローカル上で、適当なファイル名をつけたテキストファイルに以下を記述します。

<Limit ALL>
Order Allow,Deny
Allow from xxx.xx.xxx.xxx(あなたの固定IP)
Deny from all
</Limit>

データをFTPでサーバーにアップしたら、ファイル名を.ftpaccessに変更して終了です。
※ .(ドット)で始まるファイルは、ローカルPCで作れないので最後にサーバー上でファイル名を変更します

.ftpaccessが使えるサーバー限定となります(ロリポップ! などが使えるサーバー)。

ロリポップだと.ftpaccessが簡単操作

またレンタルサーバーのロリポップ! を使うと、.ftpaccessを編集しなくても管理画面内のこのページで簡単に操作できます。以下の画面のスクショを掲示します。

いま現在ページを閲覧しているIPアドレスも出ます。(現在の接続元IPアドレスの【】の間)
その下のテキストエリアにも、その値が表示されますので、設定ボタンを押すだけ。

このように初心者でも、メッチャわかりやすくて操作しやすいのがロリポップ!の特徴です。
上記のような理由やコスパなど総合面で、どのサーバーが良いのか迷っている人に迷わずおすすめしています。ロリポップをオススメしている理由については、以下のページを参考にしてみてください。

②固定IPだけでWordPressを操作

いまはほとんどのウェブサイトは、WordPressで作られています。
WordPressの操作もあなたの固定IPだけで操作できるように制御しましょう。

以下のWordPressのログイン画面と管理画面に、特定の固定IPだけが操作できようにしましょう。

wp-login.php(ログイン画面)を.htaccessで制限

テキストファイルに以下を記載して

<Files "wp-login.php">
order deny,allow
deny from all
allow from xxx.xx.xxx.xxx(あなたの固定IP)
</Files>

FTPでwp-login.phpのディレクトリにアップし、.htaccessにファイル名を変更します。

wp-adminディレクトリ(管理画面)

テキストファイルに以下を記載して

order deny,allow
deny from all
allow from xxx.xx.xxx.xxx(あなたの固定IP)

FTPでwp-adminディレクトリにアップし、.htaccessにファイル名を変更します。

このように2つ.htaccessが必要になります。

ちなみにワードプレスは、プラグインの脆弱性を狙われやすいので無闇にプラグインを入れてはいけません。以下、参考記事です。

WordPressプラグイン「Modern WPBakery」を削除せよ、侵入は時間の問題
Malwarebytesは7月19日(米国時間)、WordPressのプラグインである「Modern WPBakery」をすぐにアンインストールするよう注意を呼び掛けた。このプラグインの脆弱性を突いたサイバー攻撃が急増していることが観測されているという。

以上です。たったこれだけなので、この記事を読んでなぞるだけで誰でも簡単に行えます。

固定IPの契約はたったの月800円。セキュリティを強化するのに最も効果的な手法なので、私もずっと採用しています。

そして、顧客である企業側が、自社のCMSの利用を固定IPありきになっているので、WEB制作業者にはほぼ必須になりつつあります。

セキュリティに関するトラブルは、問題が起きてからでは、もう遅いのです。
だから、最初にしっかりやっておくことに尽きますです。

当事務所はASAHIネット の固定IPで契約して、8年くらいこの方法でセキュリティを行なっていますが、トラブルはゼロです。

お金をかけなくても、固定IP契約とちょっとした努力で大幅セキュリティ強化は可能です。
ちなみにASAHIネットではWi-Fiでも固定IPを使えましたので、出張時でも通常通りに仕事ができました。

長くやっている実感としてセキュリティに対する意識は年々高まってきていますので、早めに固定IPを導入しておくべきです。
特に私のような小さな制作業者だからこそ、発注側が不安に感じないように用意しておきましょう。

③セキュリティソフト導入

作業環境のPCにも、当然セキュリティソフトを入れておくことが、セキュリィ対策の基本です。
どのソフトが良いのか?というより、お客さんがウイルス対策しているのか?と心配される方がいるので、最低限の常識として必ずインストールするようにしておきましょう。

以前は、Macだとウイルス対策しなくてもOKという噂がありましたが、そんなことはありません。
私の環境では、たまにウイルスを駆除されています。
このような自分に都合の良い噂を信じてしまいがちですが、お客さんから情報を預かる側としての責任を持つことが大切です。

特にこだわりがなければ国内シェア一位のウイルスバスターで問題ないでしょう。

【ウイルスバスタークラウド】

最後に

以上、簡単にできるセキュリティ対策を3つ紹介しました。

・固定IPでFTPを使える人を限定
・固定IPでWordPressを使える人を限定
・セキュリティソフトを導入

これらセキュリティ三種の神器だけで、さまざまなトラブルを未然に防いでくれます。

食中毒になるような、不衛生な飲食店に行きたくありませんよね?
それと同じようにセキュリティ対策を、不真面目にしている業者に制作を依頼したくないですよね?

セキュリティ対策は、顧客を守るためでもあり、自分の信用力を高めるためでもあります。
社会的信用のための投資だと考えると、セキュリティとの向き合い方は変わってきます。
自分のためであり、顧客のためとも言えます。

経験的に、大手企業のCMSの仕事する場合は、だいたい固定IPが必要になってきます。

参考にしていただけると嬉しいです。

吉村デザイン事務所

ウェブ制作の仕事をやること約25年。フリーランスとしてのキャリアは約20年。

東京で有名インテリア会社、大手ISPプロバイダー、女性向けファッション&化粧品会社、ベンチャー・ウェブ制作会社での勤務を経て函館に戻り独立。

主要スキルは、WEBデザイン、プログラミング、イラスト、WEBマーケティング、ライティング、SEO、SNS運用。

SNSの運用を代行して、無名・有名を問わずマイクロインフルエンサー(フォロワー10,000以上)を複数育てた実績があります。

SEOでは、マーケティングや宣伝用語のビッグキーワードで3位以内をはじめ、狙ったキーワードは大手企業と上位を競いあっています。

これらの技術や経験で、宣伝費0円で3ヶ月先まで予約がいっぱいの集客に成功したお店のホームページ、年間100万PVを超える情報サイト(これも宣伝費0円)などのプロデュースした実績がございます。

いままで得た知識、技術、経験を伝えていくことを今後の目標として、このブログでの記事執筆に力を入れています。自分の経験に基づくことだけしか書いていませんので、本当に役立つことだけ発信しています。よかったら読んでいただき、世の中に貢献できたら嬉しいです。

好きなクリエーター:伊丹十三、竹久夢二、みうらじゅん、さくらももこ

好きなたべもの:春巻き、桃

吉村デザイン事務所をフォローする
セキュリティ対策.htaccessWEB制作
吉村デザイン事務所をフォローする
吉村デザイン事務所
タイトルとURLをコピーしました