副業としてワードプレスでブログを構築する方が増えてきていますが、セキュリティ対策はバッチリでしょうか。
ワードプレスは多くの方が使っている反面、利用者に個人が多くセキュリティ対策が甘いことから、ハッカーからのサイバー攻撃の標的になることも少なくないです。
サイバーセキュリティはそれだけで専門の会社があるくらいなのですが、この記事ではセキュリティ対策の初歩の初歩として、サーバーに詳しい人でもつまづきやすい「ディレクトリの表示/非表示」について紹介したいと思います。
セキュリティ対策について
まずは前段から紹介します。
株式会社シーズ・クリエイトの調査(https://cybersecurity-jp.com/cybersecurity-guide/14641 )によると、2007年に19.9億回だったサイバー攻撃の回数が、2017年には1500億回に増加しているそうです。
「ほとんどは国や官公庁への攻撃なんでしょ?」と思われる方もいらっしゃるかもしれません。確かにそれは正しいです。ただ、ハッカーたちは攻撃に自分たちのサーバーを利用せず、セキュリティの甘い個人のサイトを踏み台にして攻撃をしています。自分たちのサーバーだと特定や逆探知されやすくなってしまうためです。
もし、そのハッカーの踏み台となってしまった場合、あなた自身も警察捜査の対象になってしまうかもしれません。そうした状況に陥らないためにも、避けるためにもセキュリティ対策をきちんとして、ハッカーからの攻撃に備えておきましょう。
ディレクトリが見えると何が起こるのか
そこで本記事ではセキュリティ対策の一つとして「ディレクトリ構成の非表示」について紹介します。サーバー設定がほとんどわからない人や、サーバーに慣れ親しんでいるエンジニアの方も見落としやすい箇所となっています。
まず、「ディレクトリ構成が表示」されるというのはどういうことなのでしょうか?
下記の画像を見てください。
これは私のサーバーのディレクトリ構造です。sample、tool、test.htmlというものが表示されていると思います。これらは全てサーバー内部に保存されているファイルとフォルダで、ディレクトリ構造が表示される状態になっています。
これが自分にだけ見えているのであれば問題ないのですが、サーバーを立ち上げたばかりだとこの内容が誰でも見える状態になってしまうことがあるのです。
ディレクトリ構造が表示され、あなた以外の誰かが閲覧できてしまう場合、あなたのサーバーの中が丸見えとなり、設定ファイルやサーバーに関する情報を第三者に提供してしまうことになります。ハッカーはそれらをヒントにサーバーへのアタックを試みます。
もちろん、自分で提供した覚えはないでしょうがそれを狙うハッカーはたくさんいるのも事実。ディレクトリ構造を表示することは、ハッカーに攻撃の材料を与えているのと同じなのです。
解決策
では、解決するにはどうしたらいいのでしょうか。
実は解決策は簡単。index.htmlというファイルを作って各フォルダにアップロードするだけです。内容はどのようなものでも問題ありません。
サーバー業者によって対応は異なるのですが、ほとんどのWEBサーバーは初期設定で「index.htmlという名前のファイルを表示する」と設定されています。仮にindex.htmlのファイルがない場合、サーバーは自動的にディレクトリ構成を表示するような設定になっているのです。
その設定を書き換えて「そもそもディレクトリを非表示にする」ことも可能なのですが、そのためにはコマンドプロントという真っ黒い画面から設定のためのコマンドを送信しなければならないので、サーバーに詳しくない人からするとかなりの高難易度…。それであればindex.htmlのファイルを作ってしまった方が手っ取り早いです。
2階層目以降にも必要
ここで注意が必要です。
index.htmlはルートディレクトリ(サーバーの一番上のディレクトリ)だけではなく、2階層目、3階層目にも入れておきましょう。
2階層目、3階層目にindex.htmlが設置されていない場合にもディレクトリ構造が表示されてしまうためです。
おわりに
いかがでしょうか。本記事では、サーバーのディレクトリを非表示にすることによって、サーバーを踏み台にされるリスクを避ける方法を紹介しました。
こうしたサーバーが自分の知らないところで踏み台にされることも恐ろしいのですが従量課金制のサーバーだと多大なトラフィックが発生して、請求額が数十万円になってしまいます。
サーバーを利用する場合には最低限の知識をつけて運用したいですね。