その管理画面、誰でも入れます。
実際にあった危険な設定と対策
Webサイトで最も狙われやすいのは「管理画面」です。/admin に誰でもアクセスでき、ログイン試行制限もない——そんな状態のサイトは少なくありません。本記事では、実際にあった危険な状態と、設定を少し変えるだけで攻撃の大半を防ぐ具体的な対策を解説します。
管理画面が狙われる理由
Webサイトで最も危険なのは、実は「管理画面」です。多くのサイトがこうなっています。
- ⚠
/adminに誰でもアクセス可能 - ⚠ログイン試行回数の制限なし
- ⚠IP制限なし
この状態だと、Botによる総当たり攻撃(ブルートフォース)が24時間365日日常的に行われます。攻撃者は世界中からURLを推測して試行するため、放置するほどリスクが上がり続けます。
実際にあった危険な状態
今回、あるサイトを確認したところ、次の状態でした。
- ✗
/admin/loginに誰でもアクセス可能 - ✗アップロードフォルダに個人情報が存在
- ✗フォルダ自体は非表示だが、URLを直接入力すればアクセス可能
つまり、
👉「入口は開いている」
👉「中に個人情報がある」
という非常に危険な状態でした。攻撃者にとって「ご自由にどうぞ」と言っているのと同じです。
改善① アップロードフォルダの保護
まず行ったのはアップロードフォルダの保護です。.htaccess を使い、以下を実施しました。
🚫
PHPの実行禁止
悪意のあるPHPファイルがアップロードされても実行されない
📁
CSV・JSONの直接アクセス禁止
個人情報を含むファイルが直接ダウンロードされない
👁
ディレクトリ一覧の非表示
フォルダ内ファイル一覧が見えなくなる
これにより、外部からの直接アクセスは 403(Forbidden) で拒否されるようになりました。
改善② 管理画面のIP制限(最重要)
次に行ったのが管理画面の制限です。特定のIP以外はアクセスできないように設定しました。
許可されたIP
自分(社内 / VPN)
→ 通常通りアクセス可能
それ以外のIP
外部(攻撃者・Bot含む)
→ 403エラーで遮断
この設定だけで効果は絶大
IP制限を入れた瞬間から、ブルートフォース攻撃のログがゼロになります。ほぼすべての自動化された攻撃を遮断できるのがIP制限の威力です。
よくある誤解
多くの方がこう思っています。
❌ 「フォルダが見えないから安全」
→ URLを知っていれば直接アクセスできてしまう
❌ 「ログイン画面があるから安全」
→ パスワードは総当たりで突破される(特に弱いパスワードは数分〜数時間で破られる)
「見えない」と「アクセスできない」はまったく別の話です。本気の対策には物理的にアクセスを遮断する仕組みが必要です。
最低限やるべき対策
以下は必須レベルの対策です。サイト規模に関係なく実施してください。
特定IPまたはVPN経由のみアクセス可。最も効果的
PHP実行禁止・直接アクセス禁止・ディレクトリ一覧非表示
通信内容の盗聴防止。Let's Encryptで無料導入可能
.git / .env / config.php など機密ファイルを公開しない
FREE DIAGNOSIS
無料診断のご案内
現在、簡易的な無料診断を実施しています。以下の3点をチェックします。
- ✓管理画面の公開状態
- ✓アップロードフォルダの安全性
- ✓設定ミスの有無
「自分のサイトが安全か分からない」「何から手を付ければ良いか分からない」という方は、お気軽にご相談ください。パスワード共有不要・契約不要で診断レポートを発行いたします。
まとめ
セキュリティは「知っているかどうか」で大きく差が出ます。今回のように、設定を少し変えるだけで攻撃の大半は防げます。
ご自身のサイトに以下の状態がないか、まずは確認してみてください。
- ・管理画面が
/adminで誰でも開けないか - ・アップロードフォルダに直接アクセスできないか
- ・HTTPSになっているか
- ・
.gitや.envがブラウザで見えないか
SECURITY CHECK
あなたのサイト、本当に安全ですか?
パスワード共有不要・完全リモートで、管理画面の安全性をチェックします。
無料セキュリティ診断を申し込む →診断だけで契約は不要。強引な営業は一切いたしません。