独自ドメイン・サーバー

フリードメイン・フリーサーバー

フリードメイン

 世の中、フリーのドメインが取得できるサービスが有るのですね。知らなんだ。
 令和3年11月現在、Freenomという所から、「tk」「ml」「ga」「cf」「gq」のドメインを無料でも取得することができます。
 「tk」は、90日間に25回のアクセスがなかった場合は自動停止、取得から登録期間が経過した場合は更新が必要となります。
 登録期間の最後の15日間だけ無料ドメインの無料更新ができます。この15日間を逃すと、利用出来なくなってしまうので、よくよく注意しましょう。
 このような制約の他、無料ドメインはどうしてもいつ使えなくなるか不安な要素があるので、メインのドメインとしては使いにくいような気がします。
 ネットを見ていると、「最初は良いが、ちょっとアクセスが来だすとドメインの使用権がいつの間にか消えていて、お金を払わないと取り戻せなかった詐欺のようだ」というような記述も見受けられるので、こだわりの内容をネットで公開して、みんなに知ってもらおうというような用途には使わないほうが無難です。
 昔、Microsoft Office Live Basics というサービスがあって、ドメインを無料でくれていたのだれど、知らないうちにいつの間にか登録したドメインを他人が使っていたというようなことがありました。多分有料になる前に通知のメールは来ていたのでしょうが、全く気がつきませんでした。Microsoft のサービスでさえ、無料のものはそのようなことが実際にあります。

freenom.comでの登録方法

 Freenomからドメインを探すのですが、Get it now! と出るのにそのタブを押すと × が表示され、結局どのドメインも、取得できずじまいになってしまうので、「この無料アドレス取得は、過去の残骸が残っているだけに違いない」と思っていたのですが、そうではありませんでした。
 Get it now! と出るドメインは取得可能ですが、そのまま Get it now! を押してもだめで、もう一度 ○○.tk などと、ドメイン付きで検索して Selected と表示されたら、Checkout1 domains in cart のタブをクリックするとカートの画面になります。そこで Period の項目で 12Months @ FREE を選択してから Continue を押すと、登録画面になります。
 メールアドレスを確認するなどしてドメインが登録できたら、後はネームサーバーの設定をして、自分の契約したサーバーで、無事ドメインが使えるようになります。

freeサーバー

クリックすると拡大画像を表示します

 freeサーバーもsslの普及で状況が一変しています。以前は有料と無料の差は、ただ広告が入るかどうかというだけの違いでしたが、今はそうはいきません。
 ssl化されていないと、「保護されていない通信」「このサイトへの通信は保護されていません」という右のようなやつがでてきます。こんな物が出てくるページを見ようとする物好きもなかなかいないので、ブラウザにこんな表示が出だしてからは、ホームページをssl化していないと、結局ホームページを作る意味さえなくなってしまいます。
 有料サーバーの方は無料でsslを使えるように殆どのサーバーがなっている中、無料サーバーの方は、旧態依然としていて、無料sslが使えるものは1つもありません。
 HTMLだけの簡単なページなら無料でsslを使えるサーバーもないことはないですが、PHPなどを表示したいとなるとまずだめです。
 xreaの無料サーバーの場合、共有sslというのがあって、例えば、
  https://ss1.xrea.com/ID.サーバー名.xrea.com/
のようにやれば、一応ssl化されてはいるようですが、これも、単純なページならssl化できるものの、WordPressなどのようにPHPを使ったりするものは、リンクがおかしくなって、管理画面が出てこなくなるなど、まともには使えません。

HAIKは、「サイト情報の設定>リンク設定」というのがあるので、そこを設定すると、リンクが生き返って、一応sslで動いているようです。

 しかし、共有ssl は、脆弱性も指摘されていて、下のように実際ウイルスに感染してしまうと、何が原因か本当の所は分かりませんが、私は金輪際これに手を出す気にはなりません。
 今どきホームページビルダーなどを使って、1からホームページをシコシコと作っているような奇特な方は希少価値でしょうから、結局無料サーバーとは名ばかりで、旧態依然とした無料サーバーは、ホームページ用のサーバーとしては、今になっては使えたものではありません。

無料サーバーをドメインで使う

 他のサーバーのことはあまり調べていないのでわかりませんが、xreaの場合、独自ドメインを使えば、無料サーバーでも無料sslが使えます。ですから、上の無料ドメインと組み合わせると、HAIKやWordPressなどのようにPHPを使ったようなプログラムでも、普通に動かすことができます。xreaのサーバーは自由度が高いので、無料のサーバーでも、この組み合わせでなら、広告が入るものの、かなり自由にやりたいことができます。
 たとえば、HAIKやWordPressの導入初期のサンプルページをxreaの無料サーバーで作ってみました。
 無料独自ドメインの危うさと広告を苦にしないなら、これでも当面の間は結構使えるかもしれません。

でもやっぱり有料契約のほうがいい

 一生懸命つくったホームページが、たった15日しかない更新期間の手続きを逃したばかりに使えなくなる憂き目を想像するなら、年間3,000円弱の投資は、安心を買うと思えば認めても良い最低限の投資なのではないでしょうか。サーバー契約をしないで、独自ドメインを取得するだけでも今どき1,500円くらいはかかります。

 ロリポップのライトプランを36ヶ月契約でドメインとサーバー同時に新規契約すれば、月々220円ほどで独自ドメインと160GBのサーバーが手に入ります。しかしこれは、サーバー・ドメインとも新規に契約する場合に限るようで、既存のドメインであったり、既に契約をしているユーザーには適用されないようです。
 そのような条件に合致するなら、ロリポップ!は初心者を相手にしたサーバーなので、これは結構いい選択ではないでしょうか。
 但し、データベースを一つしか使えないので、かなり窮屈ではありますが。
 このような条件に合わない場合でも、xrea にしろ CORESERVER にしろ、初心者を相手にしているサーバーではないので、あまり説明は丁寧ではありません。ですから超初心者を自認するような人は、少々お金が高くて機能がさほどでもなくても、やはりロリポップ!のような初心者を相手にしたサーバーが無難です。
 ロリポップ!は、サーバー契約時に無料で取得できる共有ドメインの種類が豊富なので、共有ドメインでも、気に入ったドメインを手に入れることができるかもしれません。
 似たような料金設定のプランに見えるのが、バリューサーバーのまるっとプランです。これなら、独自ドメインとサーバー込みで年間1,800円くらいから契約できると思ってよくよく見てみたら、バリューサーバーの年間1,800円というのは初年度だけでした。ドメインは長く使ってこその独自ドメインなので、1年だけの半額近くにもなる割引額を大きく書いて客引きをするなど詐欺のようなものです。
 このサーバーの2年目以降の料金を払うくらいなら、CORESERVERの V2 CORE-X プランにすれば、同じような料金にも関わらず、これも独自ドメイン込みで、かなりこちらのほうが高機能で、容量もぐっと増えますし、自動バックアップまでついてきます。
 しかもこちらのドメイン永久無料の方は、既得のドメインでも大丈夫です。私はこちらのプランに早速乗り換えました。
 もちろん、これらの有料サーバーなら、どれでも無料SSLは使えます。

 

早速ウイルス感染

 無料独自ドメインのルートに設定した WordPress が、なぜか管理画面に入れなくなり、なんとか入れたとしても、アクセスできないファイルが沢山できて、全く機能しなくなりました。
 よくよく見てみると、.htaccess が書き換えられていて、しかもそれ以下の全部のフォルダにも同じ .htaccess が書き込まれています。それにそれまでなかった、内容がランダムな英数字ばかりの怪しげな PHP ファイルが1つルートにできており、もうひとつルートの index.php も、同じような英数字の羅列に変わっていました。
 .htaccess を書き直しても、書き直しても、すぐにまた同じもっともらしいファイルに置き換わってしまいます。管理者すら変更できない 404 に属性変更しても、やはり書き換えられています。そんな操作を繰り返して、結局、ここに書いた書き換えられているファイルの全貌が、明らかになってきました。

書き換えられた .htaccess

<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

 書き換えられたファイルは、日付が同じ最新の時間になっているので、それを目安にすれば発見しやすいです。
 そんなわけで、これはどう考えてもウイルスに感染したと判断せざるを得ません。
 他のサーバーのホームページと同様に、Akismet Anti-Spam くらいはインストールしていたので、考えられるとしたら、無料独自ドメインの使用か、ネットでも脆弱性を指摘されている、共有ssl かのどちらかが原因のはずです。
 無料独自ドメインの使用で、ウイルス感染したというような話はネット上でもあまり見かけなかったので、とりあえず怪しい共有ssl はやめてしまい、いちいち全部の .htaccess を消して回るのも鬱陶しいし、まだ何が感染しているか分かったものではないので、手っ取り早くサーバーのすべてのファイルを再インストールしました。
 でも、原因が共有ssl だとしたら、ルートに設置したそこは書き換えられてはいずに、無料独自ドメインのフォルダや他のサブフォルダー以下が全て書き換えられていたのが、ちょっと解せないところではあります。
 これを機に .htaccess に、脆弱性防止の設定を追加して様子を見ることにします。

.htaccess

# .htaccessファイルを守る
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

# wp-config.php, wp-mail.php, install.phpを守る
<files ~ "^(wp-config\.php|wp-mail\.php|install\.php)$">
order allow,deny
deny from all
</files>

### 検索エンジンをまとめて許可するためにenv化する(Must)
### 検索エンジンbot参考)https://www.casis-iss.org/ex1911/
SetEnvIf User-Agent "Googlebot" allowbot
SetEnvIf User-Agent "msnbot" allowbot
SetEnvIf User-Agent "bingbot" allowbot
SetEnvIf User-Agent "Slurp" allowbot

### いったん全てを拒否する (Must)
order deny,allow
deny from all

### 検索エンジンからのアクセスを許可 (Must)
allow from env=allowbot

### SearchConsoleのプロパティが確認出来るためにの対策 (任意)
### 参考)https://support.google.com/webmasters/answer/80553?hl=ja
allow from googlebot.com
allow from google.com

### 日本国内のIPを許可 (Must)

allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
allow from 1.5.0.0/16
  ~

 日本国外からログイン画面などへアクセスをできなくするための上のリンクの設定では、リダイレクトが効かなくなってしまったので、他のHPを見て、上のような記述に変えました。
 「IPアドレスで日本国外(海外/外国)からのアクセスを制限する.htaccess CGI’s」から、IPアドレスを取得します。

PageSpeed Insights 対策

 PageSpeed Insights は海外からアクセスするようで、上記のアクセス制限を施したままだと、エラーになります。これはgoogleの検索順位にも影響しそうなので、アクセスを拒否したままだと良くはないような気がするので、下記のアクセス解除も付け加えました。
 これで、PageSpeed Insights もエラー無しで実行できます。

allow from 64.233.160.0/19
allow from 66.102.0.0/20
allow from 66.249.64.0/19
allow from 74.125.0.0/16

ウイルス対策はしっかりと

 でもまあ、見ての通り大したファイルを置いたサーバーではないので、全部消えてしまってもさほどのダメージはなく、対応は余裕を持ってできましたが、これが大切な内容だったら、さぞかし慌てたことでしょうね。

タイトルとURLをコピーしました