レンタルサーバーのバックアップについて

大事なホームページが何らかの事象で、動かなくなる可能性があります。

原因は...ネットで調べました。調べた内容に僕の意見を追加します。

Webサイトの改ざん!原因究明・対処方法を実例で解説

パスワードを破られ不正ログインされる

ウイルス感染やリスト攻撃などでサイト管理のID/パスワードを破られると、不正ログインやリモート操作されるなどの手口で改ざんされてしまいます。簡単なID・パスワードは特に危険です。内部犯行のケースもあります。

この場合「正常なログイン」として侵入されるので、不正操作に気づきにくいです。サイト制作会社が乗っ取られ、担当するすべてのサイトが改ざんされる事件も起きています。WordPressなどCMSのログイン情報は、厳重に管理してください

※内部犯行だとどうしようもありませんが、WordPressにはログインした時にメールを送る機能があります。その時間が分かればある程度犯人が予想できるかもしれません。レンタルサーバーのログイン、パスワード & FTPのパスワードも共有されていたら、管理するホームページの全ての情報が収集できるので、もはやレンタルサーバーの契約自体を解除する必要があるかもしれません。
どんなに厳しく管理してもID,パスワードの流出の可能性はあるので、復旧に関する対応を考えておく必要があると言えます。

考えられる対策としては、

①ID入力でパスワードが自動で表示されない設定を行う。

②IDは普通変えられないので、パスワードを定期的に変える。パスワードはなるべく簡単でない難しいものにする(自動生成)。
この場合、パスワードは何かで管理しなければなりません。

③パスワードは紙ではなく、USBメモリに記録しておく。かつ、USBメモリは管理者が管理する。
これって、非常に面倒で効率的ではありません。USBメモリが壊れて内容が見えなくなる可能性もあります。

④考えても結論はでません。何をやっても流出や喪失の可能性があります。各社、各人にノウハウがあるのでしょう。
会社なら、重要な情報を流出した場合には、罰則がありそれで不正をしないような抑止になっていますが。モラルの無い社員もいるでしょう。
コッソリ、ID,パスワードをメモって会社を辞めた後で情報を抜き取る可能性もあります。

勝手に持論を展開しましたが、パスワードの流出等はストレスを感じない程度の対策をしておいて、万が一流出場合も考慮してマニュアル化(これもある意味危険かもしれません。理由:マニュアル以上の事をされてしまうので。)して直ぐに、復旧できるようにしておく必要があります。

今考えました、ログインID、パスワードを個人別にしておいて、誰がいつログインしたか常に管理しておく。不審な動き(ログイン回数が多い、ログインしている時間が長い)があったら自動的に複数(単数だと管理者本人が犯人の場合に対応できない)の管理人に連絡が届くシステムを構築しておく。

....どんな対策をするにせよ、セキュリティ対策にはお金がかかりそうですね

ウイルスによるパスワードの流出

ウイルス...怖いですね。
昔々Windowsが発売される前、お客さんにフロッピーディスクで提供したソフト(プログラム)がウイスルに感染していて、お客さんに誤りました(使用する前だったので事なきを得ました)。原因は本の付録にあったフリーソフトを使っていた為でした。
Windowsになってからも、サーバーにおいていた僕のソフトが感染(実は前感染していたソフトを全部除去していなかった)していて、それを使った部下が使おうとしてウイルスバスター(多分)で感染が発見されて大騒ぎになりました。

どこにウイルスがいるか分かりません。中華製のウイルス検索ソフト自体がウイルスのようなうな動きをする事もあります。

WordPressにおいては、どこでウイルス感染するか...
その前に、ウイルス感染とは何でしょう? 中学生がウイルスを作成して逮捕されていましたね。中学生でも作れます。ウイルスの目的も様々です。最悪、PCを破壊します。簡単ですハードデスクの内容をグチャグチャにするウイルスに感染すると二度とPCが使えなくなくなる可能性があります(フォーマットすれば良いかもしれませんが、通常アクセスできない復活用のシステムのデータが保存されている領域を破壊されると...)。

WordPressの場合、悪意のあるプラグインが原因になることがあります。例えばそのプラグインを使ったら内部の情報をメールで送ったりすることができます。プラグイン自体がPHP(WordPressもPHPで作られている)で作られたプログラムなので、どんな事でもできます。
※システム関数(フォーマットとかハードウエアを制御)は使えないと思うので、PCを壊すことはないと思いますが、PCを乗っ取られる可能性はあります。

そういう事なので、信用が無いプラグイン(評価をチェック)は絶対に使ってはいけません。

ウイスル以外で問題になるのは??

WordPressやプラグインの脆弱性があげられます。

脆弱性って何でしょう?? 総務省がホームページで喚起していました。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html

脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。

これって、イタチごっこです。もしかしたら、某国が国家レベルでそんなソフトを開発しているかもしれません。現代は情報が一番重要な「金のなる木」です。戦争の為の武器以上に効果的です。

なので、素人が対応できるレベルではありません。平凡なホームページが狙われるわけがないと思っていけません。そんは平凡なホームページを乗っ取り、他のサイバー攻撃に使われるかもしれません。「怖いですね...

素人が対応できる事は、セキュリティに問題があると分かったら、直ぐに新しいVer.にアップデートする事です。
でも、これって色々問題が生じます。

①使っていたプラグインをアップデートしたら、色々カスタム用に入れ込んでいたコードが消えてしまいます。
例えば:header部にある画像を表示する場合には,PHP部にコード入れますが、これが全部消えます。

対策:アップデートする前に、どこに影響するか考えて、カスタム用のコードのバックアップをとりアップデート後に戻します。
影響する箇所が分かっていないと、前の状態に戻ったか気づかないこともありえます。

②制作しているホームページが、沢山あったら全部対応するのは大変です。これが不定期に対応が必要となったらどうしましょうか?
どんなに慎重に対応しても、対応ミスをする可能性はあります。
僕の経験上、単純な繰り返し作業にはミスが起こり、それが表に出易くなります。(単純作業では頭が働かず、チェック作業もいい加減になりがちです)。

対策:変更作業がある場合は、必ず作業前にチェックリストを作成して作業後にチェックをするようにします。これはプログラム作業での基本の基本です。面倒な作業ですが後々自分の助けになります(何をいつどんな対策をして、どんなチェックをしたか)。

やっと本題です

結局、何かあった時に元に戻すにはバックアップが必要となります。

さあ、どうしましょうか???

WordPressには自動バックアップ機能(ツール+エクスポート)がありますが、データベースまではやってくれません。他にも色んなプラグインがあります。僕は「All- in-one WP Migration」を使っています、これはデータベースも含めてバックアップがとれます、別のドメインでこの保存したバックアップをインポートすると、ドメインを含めてホームページを復活することができます。

欠点は、自分でやらないとバックアップしれくれない!! です。
「人は忘れる動物です」何かあった時に、バックアップしていなかった!! という事になります。

大した記事は書いていないかもしれませんが、その時になると「やっておけば良かった」という事になります。

僕が参考にしている「紫電改」のホームページに記事がありました。

不正アクセスに対抗せよ。バックアップを用意しないのは無保険車を運転するのと同じ

僕も調べました。
このサービスは無料かなと思っていたら、そうでは無かったです。

手数料

バックアップデータの提供の際には、下記の通りデータ提供1回ごとに手数料が必要です。

  • サーバー領域データ … ご指定の日のWeb・メールデータ(税込10,800円)
  • MySQLデータベース … ご指定の日の特定のデータベース1つ(税込5,400円)

 

何も無いより良いです。お金よりデータです。対応に1日かかるくらいなら1万円で済むなら安いと思います。

以上

 

 

Follow me!

0

    コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です