エックスサーバー(Xserver)のセキュリティ設定の設定手順を解説します。
- エックスサーバーのセキュリティの設定方法と詳細手順がわかります
- エックスサーバー公式サイトの説明よりも判り易い(はず)
エックスサーバー(Xserver)上で独自ドメインとSSL設定をしてWordpressをインストールしてログインできるようになるまでの手順をこちらを参考にしてください。
エックスサーバーの初期設定方法と手順を徹底解説!WordPressが使えるようになるまでの詳細手順
エックスサーバーのレンタルサーバーのWebサイトやブログの表示速度を速くする設定方法についてはこちらの記事を参考にしてください↓
エックスサーバーの高速化設定方法と手順を解説
エックスサーバーのセキュリティセット詳細
エックスサーバーの主なセキュリティ設定は下記のとおりです。
- WAF設定
- WordPressセキュリティ設定
- アクセス制限
- .htaccess編集
それぞれの設定について詳しく解説していきます。
最重要のWAF設定を最後に載せているので、時間が無い場合はWAF設定以外は読み飛ばしてWAF設定を先に済ませてください。
アクセス制限と.htaccess編集は敷居が高く初心者向けでないので読み飛ばしても大丈夫です。
WordPressセキュリティ設定
WordPressセキュリティ設定はWordpressに特化したセキュリティの設定です。
主に国外のIPアドレスからWordpress管理画面へのアクセスを防いだり、パスワードの入力回数に制限を設けることでセキュリティを高めることができます。
国内からしかWordpressの管理画面にアクセスしない場合はWordPressセキュリティ設定のすべての項目をオン(ON)にすることを強くおすすめします
国外IPアクセス制限設定
下記の3項目を設定することで国外IPアドレスからのダッシュボード(WordPress管理画面のこと)にアクセスがあったさいにブロックすることができます。
- ダッシュボード アクセス制限
ONにすることで国外IPアドレスからWordpress管理画面への接続を制限します - XML-RPC API アクセス制限
ONにすることでスマホや外部システムからリモートで記事や画像の投稿をする機能を使う際に国外IPアドレスからの接続を制限します - REST API アクセス制限
ONにすることでREST APIを使った国外IPアドレスからの接続を制限します
REST APIとは WordPressの記事データをjavascriptなどのWeb用プログラミング言語で自由に加工したり表示したりできる仕組みのことです。
つまり他の外部のプログラム(Webソフトウェア)からWordpressに記事を投稿できたりするわけです。これらは主にプログラミング言語を使った開発者向けの機能です。
ログイン試行回数制限設定
ログイン試行回数制限設定をオンにすることで、Wordpressの管理画面のログイン画面のパスワード入力で、短期間に連続して失敗した場合にアクセスを制限することができます。主にパスワード総当り方式のサイバー攻撃を防ぐことができます。
コメント・トラックバック制限設定
この設定ではコメント投稿やトラックバックへの制限を掛けることができます。
- 大量コメント・トラックバック制限
ONにするとコメントやトラックバックに大量投稿の迷惑行為があった場合に制限が掛かります。制限は6時間続きます - 国外IPアドレスからのコメント・トラックバック制限
ONにすると国外IPアドレスからのコメント投稿とトラックバックを制限します
コメント投稿とは
コメント投稿とは記事の下にある閲覧者とのメッセージのやりとりのことです。
Wordpressの設定でコメント投稿の機能自体を無効にすることもできます。
トラックバックとは
トラックバックとは外部リンクを検知して知らせる機能です。言い換えると自分のブログを他のブログが引用したときにリンクを貼ってもらったことを知らせる機能のことです。
ただ、この機能は相手側もトラックバックを送信する設定にしていないと(無効にしていると)そもそも通知自体が届きません。
WordPressのトラックバック機能の設定方法はこちらの記事を参考にしてください↓
鋭意作成中・・
アクセス制限
アクセス制限は指定のディレクトリに対してベーシック認証をかけることができます。会員制のサイトなどを運用する場合に利用できます。
ベーシック認証(Basic認証)とはChromeなどのWebブラウザにアクセスすると上部に小さくログインと表示され、ユーザー名とパスワードの入力欄のある小さなウィンドウのことです。
各項目の意味は下記のとおりです。
- 現在のフォルダ:Webサイトやブログ全体にアクセス制限(Basic認証)をかける場合に利用
- wp-admin:Wordpressの管理画面にユーザIDとパスワードを設定
- wp-content:Wordpressのテーマやプラグインが保存されている場所にユーザIDとパスワードを設定
- wp-includes:Wordpressのシステムに関わるファイルが保存されている場所にユーザIDとパスワードを設定
現在のフォルダにアクセス制限を掛けてしまうとWebサイトやブログの閲覧者にIDとパスワードを求める画面が表示され、認証しないとブログにアクセスできなくるので注意してください
現在のフォルダ以外のwpから始まる項目にアクセス制限を掛けても利用者(ブログ閲覧者)やブログ管理者には直接パスワードやユーザーIDの入力を求める画面は表示されません。
フォルダ(ディレクトリ)にアクセス(ディレクトリの中身や配下のファイルを開くとき)する際に入力を求められるので攻撃者の手間を増やすことにあなり不正アクセスを防ぐことができるというわけです。
アクセス制限(Basic認証)の具体的な方法はこちらの記事を参考にしてください↓
鋭意作成中・・
可能な限りこれらのすべてのフォルダにアクセス制限を掛けた方が良いです
不正アクセスはWAFでもある程度は防ぐことはできますが、攻撃者の心を折るためには2重3重の対策をすることが大切になるからです
.htaccess編集
htaccessはドットエイチティアクセスと読みます。
これはWebサーバ(Apache)用の設定ファイルで、ディレクトリ(Windowsでいうフォルダと同じ)単位で制御するためのファイルです。
このファイルを設置したディレクトリを頂点としてその配下すべてに影響を及ぼします。
個人ブログで使うことはあまりないので読み飛ばしても大丈夫です。
セキュリティのためとうよりも機能やツールとして使う場面で主に利用されます。
会社のWebサイトなどでは使われる可能性はあります。
このhtaccessファイルで出来ることは代表的なものは下記のとおりです。
- リダイレクト設定:他のページに転送する設定
- Basic認証:ブログにパスワード設定を施して限定公開できる
- IP制限:例えば社内のIPアドレスからしかアクセスできないようにする
これらの設定には全て専門的な知識が必要です。
エックスサーバーではWebサーバにNGINXを利用していても.htaccessファイルを利用可能です。
それぞれの内容を記載します。
リダイレクト設定
htaccessファイルに転送元と転送先のURLを記述することで、転送元にアクセスしたユーザやクローラーなどを転送先のURLに飛ばすことができます。
Basic認証
Basic認証(ベーシック認証)はユーザー認証やアクセス制限ともいいます。
エックスサーバーでは別途アクセス制限機能が実装されているのでそちらを利用したほうが簡単です。
本来Basic認証はhttpd.confファイルを使って実装するほうが一般的です。
.htaccessファイルを利用してBasic認証を行うと設置したディレクトリにあるファイルにアクセスする際にユーザIDとパスワードの入力を求めることができるます。
例えば社内の関係者などだけでWebサイト(ブログ)を利用することができます。
IP制限
IP制限はallow(許可)やdeny(拒否)などの英単語とIPアドレスを組み合わせて任意のIPアドレスからしかWebサイトにアクセスできなくしたりといった設定が可能です。
Basic認証と同様に本IP制限も本来はhttpd.confファイルを使って実装するほうが一般的です。
WAF設定
WAFはウェブアプリケーションファイアウォールの略でワフと呼ばれています。
Wordpressにセキュリティ脆弱性がみつかった場合は個人で対応することは非常に困難ですが、このWAF設定をオンにすることでセキュリティ脆弱性の穴に対応することができるため必須の設定です。
Xserver(エックスサーバー)では6つのWAF設定のオン/オフが選択できます。
- XSS対策
- SQL対策
- ファイル対策
- メール対策
- コマンド対策
- PHP対策
上から順に悪意を持った攻撃の発生件数は多くなっているので、XSS対策とSQL対策は必ずONにする必要があります。
それぞれの機能を見ていきます。
XSS対策
XSSはクロスサイトスクリプティングの略です。
Wordpressなどのウェブアプリケーションに対する世界中で最も発生件数の多いサイバー攻撃の手法です。
WordPress本体やブラグインにセキュリティの脆弱性があった場合、攻撃者がデータを埋め込みスクリプト(簡単なプログラム)を実行させます。
例えばWordpressのブログ画面にあるサイト内検索や投稿、問い合わせフォームから外部リンクを含んだスクリプト(簡易ブログラム)を埋め込みます。
ブログを訪れた閲覧者は投稿画面に表示されている、攻撃者の埋め込んだ外部リンクをクリックすることで悪意のあるスクリプト(簡易ブログラム)が実行され、閲覧者に不利益が生じるという流れになります。
つまり他者の個人ブログのWordpressの脆弱性を利用して、悪意のある外部リンクを埋め込み、攻撃者の目的の画面に飛ばすことができるということです。
例えば、犯罪目的で銀行口座のパスワードを聞き出すための偽Web画面が表示されたり、ウィルスやワーム等のマルウェアに感染したりします。
言い換えると自分のブログが攻撃(犯罪)の踏み台にされるということです。
なので、気づかない間に犯罪の踏み台にされてしまい、個人ブログ自体の信用性を失ってしまう結果になるのでXSSの対策は必須です。
XserverのWAF機能のXSSの初期設定はオフになっているので忘れずにオンにしてください
SQL対策
SQL対策では主にSQLインジェクションという世界ではXSSに次いで多いサイバー攻撃を防ぐことができます。
SQLインジェクションとはWordpressなどのWebアプリケーションのセキュリティ脆弱性を利用して外部から標的のブログ内の記事内容を格納しているデータベースに悪意のある文字データを挿入したり、文字データを抜き取ったりします。
つまりブログ記事の文章が知らない間に改竄されていたり、もしあればですが個人情報が外部に漏洩することになります。個人情報の漏洩はブログ内で顧客(利用者)の氏名、電話番号、メールアドレス等の個人情報を入力させていなければ問題にはなりません。
ですが、SQL対策をしていなければブログの文章内容が勝手に改竄されていても気づかない可能性が高いです。
エックスサーバーではSQLインジェクション攻撃を検知した時点でレンタルサーバー契約者のメールアドレス宛に改竄された可能性がある旨の連絡をしているようですが、WAFのSQL対策をオンにしていないと改竄自体を防ぐことはできないので、忘れずにSQL対策をオンにする必要があります。
SQLとはストラクチャークエリーランゲージの略でデータベースの中の情報を操作するために使うプログラミング言語です。
SQLを使うことでデータベースの様々な権限や構造やデータの定義をしたり、情報の入出力などの操作ができます。
SQLはデータベースの種類を問わずにどんなデータベースソフトの操作に使えることが最大の特長です。
ファイル対策
ファイル対策はレンタルサーバーのWebサーバ(ApacheやNGINX)に関係するファイルに対するアクセスを検知して改竄を防ぎます。
個人ブログではこれらのWebサーバの設定ファイルを使うことはまずありませんが、万が一Webサーバの設定ファイルが改竄されたらWordpressの管理画面に入る事ができなくなる可能性もあるため、必須のセキュリティ設定項目です。
メール対策
メール対策はレンタルサーバーのメール機能を利用した攻撃や迷惑行為を検知して未然に店ぐことができます。
コマンド対策
コマンド対策はレンタルサーバーの物理サーバのOSであるLinuxの操作コマンドを含んだ文字列を検知して攻撃や迷惑行為の踏み台になるのを防止します。
PHP対策
PHP対策はWordpressの大元になっているWebプログラミング言語のPHPを通した権限や操作に関する記述を検知して乗っ取りやなりすましを未然に防ぎます。
すべてのWAF設定をオンにすることをおすすめします
エックスサーバー WAF設定の詳細手順
最重要のWAF設定だけを取り上げて手順を解説します。
WAFの設定は非常に簡単で、マウスのクリックだけで完了します。
ざっくりですが下記の2ステップでWAF設定は完了します。
- エックスサーバーのサーパーパネル画面にアクセス/ログインします
- セキュリティのWAF設定から、該当のドメインを選択し、各項目をONにする
①エックスサーバーのサーパーパネル画面にログイン
エックスサーバーのWebサイトにログインします
エックスサーバーのWebサイトのサーバー管理に入ります②セキュリティのWAF設定の各項目をONにする
エックスサーバーのWebサイトのサーバーパネル内のWAF設定に入りますサーバーパネル内のセキュリティ項目の”WAF設定”をクリックします。
エックスサーバーWebサイトのサーバーパネル内のWAF設定内のドメインを選択しますWAF設定を変更するドメインの”選択する”をクリックします。
エックスサーバーWebサイトのサーバーパネル内のWAF設定は初めは全てOFF(オフ)になっています
エックスサーバーWebサイトのサーバーパネル内のWAF設定を全てON(オン)にします- 最初はすべての項目がOFFになっているのでクリックしてオン(ON)にします
- 確認画面へ進むボタンを押します
エックスサーバーWebサイトのサーバーパネル内のWAF設定を全てON(オン)にした後の確認画面確認画面内の設定するボタンを押します。
エックスサーバーWebサイトのサーバーパネル内のWAF設定を全てON(オン)にして「設定する」ボタンを押した後の画面”WAF設定の変更が完了しました。”と表示されるので戻るボタンを押します。
エックスサーバーWebサイトのサーバーパネル内のWAF設定の変更が反映されるまでは「反映待ち」と表示されるWAF設定画面の状態欄に設定が変更せれるまでは”反映待ち”と表示されます。
数十分~1時間程で”反映待ち”の表示は消え、設定が反映されます。
設定をオフ(OFF)に変更するときも同様の手順になります。
エックスサーバーは初期状態だとWAF設定はすべてオフ
エックスサーバーのレンタルサーバーでは初期設定ではすべてのWAF設定はオフになっています。
最初からすべてのWAF設定がオンの状態だとWordpressの操作やブログの表示などに制限や不具合が発生する可能性があるため、そうしたときに初心者が不具合の原因を切り分けることが困難で、エックスサーバーのサポートに問い合わせが殺到して大変なので、初期状態ではあえてWAF設定をオフにしているのは間違いありません。
このようにWAF設定のすべてをオンにしてしまうとセキュリティは高まるのですが、外部機能やツールなどが利用できなくなることも多いです。
たとえば、WAF設定のSQL対策をONにしている場合、ブログの中級~上級者で使うことのあるGoogleタグマネージャーの情報が取得できません。
これはエックスサーバー特有の現象です。
他のレンタルサーバー会社のWAFのSQL設定だと同じ現象が起きなかったりします。
なぜなら各社が導入しているWAFの機器が異なるからです。
なのでエックスサーバーもWAF機器の入替等によって今後そういった問題点が改善される可能性があります。
制限が多少あってもセキュリティを高めることのほうが優先度は高いのでWAF設定はすべてONにするのがおすすめです
まとめ
レンタルサーバーのエックスサーバー(Xserver)のセキュリティはWAFの設定が最も重要です。なぜなら頻度の最も多いサイバー攻撃を防いでくれるからです。
次点で有用なのはWordPressセキュリティ設定です。
WordPressセキュリティは設定を施すことによるデメリットがほとんどありません。
WAF設定以外の項目は後回しにしても大丈夫です。
必要が迫られた場合のみ適宜設定を追加すれば大丈夫です。
WAF設定がオンの状態だと便利な外部ツールが使えなかったりする場合があるので、そのときに一部のWAF設定をオフにする必要に迫られることもあるはずです。
そんなときはセキュリティの設定のほうを優先することをおススメします。
くどいようですがセキュリティは非常に大切です。
どんな便利なツールを導入するよりも、先ずはセキュリティ設定がブログを開設したら最優先で実施するべき最重要事項になります。
セキュリティの重要性は実際に迷惑行為やサイバー攻撃(未遂も含む)を体験して初めて実感することができるのでなかなか伝わらないことも事実です。
せっかく手塩にかけて成長させた個人ブログが、心無いサイバー攻撃で記事が改竄されたり、犯罪の踏み台に利用され、世間からの信頼と評価が落ちるのは絶対に避けねばなりません。
セキュリティの設定は非常に簡単で短時間で済ますことができます。忘れないうちに済ましておくことが肝要です。
エックスサーバーのレンタルサーバーの申し込みサイトのリンクはこちらです↓
エックスサーバー
