セキュリティ対策　この記事もchatGPT

2025年11月1日 IT

🔒 AWS EC2＋Docker＋WordPressのセキュリティ対策まとめ

AWS EC2上で運用している k-stone.click のWordPress環境では、DockerとNginxを使った構成に加え、複数のセキュリティ対策を実施しました。
この記事では、実際に行った安全対策を整理して紹介します。

EC2接続に使用する秘密鍵は、他のユーザーに読み取られないよう厳格に権限を設定します。

chmod 400 mykey.pem
ssh -i mykey.pem ubuntu@<EC2のパブリックIP>

これにより、SSHクライアント以外から鍵を使用できないようになります。

SSH設定ファイル /etc/ssh/sshd_config を編集して、以下のように設定しました。

PermitRootLogin no
PasswordAuthentication no

これでrootアカウント経由の侵入を防止します。

AWS EC2のセキュリティグループでは、必要最小限のポートだけを開放しています。

SSHポート（22）は特定のIPのみ許可し、他のポートは閉じています。

WordPressへのアクセスを暗号化するため、Nginx経由でHTTPSを導入しました。
初期段階では自己署名証明書を利用し、後にLet’s Encryptによる自動更新を設定します。

以下のコマンドで無料のSSL証明書を発行します。

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d k-stone.click

Nginxで常時HTTPSを強制するため、次のヘッダを追加しました。

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

この設定により、ブラウザはHTTPではなくHTTPSのみを利用します。

不正なスクリプト実行やクリックジャッキングを防止するため、Nginx設定に以下のヘッダを追加しました。

add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";

Access-Control-Allow-Origin（CORS）は未設定ですが、将来的に特定ドメインのみ許可する予定です。

WordPressの標準ログインURL（/wp-admin）を変更し、総当たり攻撃を防止しました。
プラグイン WPS Hide Login を使用して独自URLに設定しています。

スパム投稿を防ぐため、サイト全体でコメントを無効化。
WordPress管理画面 → 設定 → ディスカッション → 「コメントを許可する」のチェックを外しました。

WordPress（wp_data）とMySQL（db_data）をDockerボリュームでホスト保存し、
週1回バックアップスクリプトでS3へ自動転送しています。

WordPress本体・プラグイン・テーマの自動更新をONにし、脆弱性修正を即時反映しています。

EC2・Docker・WordPressの3層構成でも、基本的なセキュリティ対策を徹底すれば、多くの攻撃を防ぐことが可能です。
特に次の4つが重要です。

これらを継続的に行うことで、安全で信頼性の高い運用が実現できます。

🔐 ポイント:
「守るべき範囲を限定し、常に最新状態を保つ」
—— シンプルですが、最も効果的なセキュリティ戦略です。