セキュリティ・トラブル

エックスサーバーのセキュリティ対策を解説|WAFやWordPressについて

更新日:

エックスサーバーのセキュリティ対策はさまざまものが施されています。
「国外IPアクセス制限設定」や「コメント・トラックバック制限設定」など以前から好評だったセキュリティ対策に加えて、最新のWAFにも対応となりました。

私も長年エックスサーバーを利用していますが、WAFに対応したということでより安心して使えるようになったと思います。
もちろんさっそく利用していますよ(^^)

  • WAFとはどんなものなのか?
  • WordPressのセキュリティ対策はどうなっているのか?
  • メールのセキュリティ対策はどうなのか?

など、今回はエックスサーバーのセキュリティ対策について詳しくお伝えします!

エックスサーバーのセキュリティは大丈夫なのかな…?」と心配している人は、ぜひこの記事を参考にしてくださいね(^^)

エックスサーバーの詳細はコチラ/

今ならドメインが無料!12/27まで

エックスサーバーのWAFを使ったセキュリティ対策方法

WAF」とは、「ウェブ・アプリケーション・ファイアーウォール」のことで、ウェブサーバーよりも前に防御壁(ファイアーウォール)を置くことで、不正なアクセスを防いでくれる機能です。
不審者(不正アクセス)を見張る門番が追加されるようなものだと思ってください。

エックスサーバーもこの最新のWAFに対応しました。
設定できる内容はこの6つです。

WAF設定

  1. XSS対策
  2. SQL対策
  3. ファイル対策
  4. メール対策
  5. コマンド対策
  6. PHP対策

これらの不正アクセス(攻撃)があった場合に、サーバーより前の段階でガードマンが通せんぼをして、中に入れないような仕組みになっています。

設定はサーバーパネルの「セキュリティ > WAF設定」からおこなえます。

初期状態ではOFFになっていますが、基本的にはWAFをONにしておいたほうが安全です。
ですが、場合によってはサイトの動作に影響があるので、ONにしたあとには必ず動作チェックを入念におこなうようにしてくださいね!
思わぬところで接続エラー(主に403エラー)になったりすることがあります。

WAFを導入したことでエックスサーバーのセキュリティはより強固なものとなりました。
後述のセキュリティ対策とあわせて、この価格帯でこれだけしっかりとした対策が取られているレンタルサーバーは他になかなかないと思います。

エックスサーバーはその他の機能もとても高性能なので、それについてはこちらを参考にしてみてくださいね!

エックスサーバーについて詳しくはコチラ/

今ならドメインが無料!12/27まで

エックスサーバーのWordPressのセキュリティ対策方法

WordPressは世界中で多くの人に利用されているCMS(コンテンツ・マネージメント・システム)ですので、その分クラッカーからの攻撃に合いやすいといえます。
ですが、エックスサーバーはこの点についてももちろんしっかりとセキュリティ対策がされています!

エックスサーバーのWordPressのセキュリティ対策は主にこの3つです。

WordPressセキュリティ設定

  1. 国外IPアクセス制限設定
  2. ログイン試行回数制限設定
  3. コメント・トラックバック制限設定

設定は、エックスサーバーのサーバーパネル「WordPress > WordPressセキュリティ設定」から行えます。

それぞれについて詳しくみてみましょう。

1)国外IPアクセス制限設定

国外IPアクセス制限設定は、WordPress管理画面やシステムへの国外IPからのアクセスを制限する機能です。
制限できるアクセスはこの3つです。

  1. ダッシュボード(管理画面)アクセス制限
  2. XML-RPC API(メール投稿機能などの外部システム)アクセス制限
  3. REST API(外部からのデータ利用)アクセス制限

不正なアクセスは国外からのことがほとんどなので、基本的にはすべての設定をONにしておくことをおすすめします。
この機能をONにすることで多くの不正アクセスを防止することができます。

ただし、ご自身が海外に行くときはこの機能をOFFにしておかないと管理画面に入ることができなくなってしまうので、旅行や出張のときは忘れずにOFFにしておいてくださいね!

IPとは?

IP」とは「IP(インターネット・プロトコル)アドレス」のことで、ネットワークに接続されている機器を識別するために割り当てられている数字のことです。
人に「Aさん」「Bさん」と名前がついているように、ネットワークに接続しているPCやスマホにも「1番さん」「2番さん」という形で全てにIPアドレスが割り振られています
(実際のIPアドレスはもっと数字の桁数が多いです)

このIPアドレスを見ることによって、どこから接続されているかおおよその位置を判断することができます

ブルートフォースアタックについて

先ほど「不正アクセスは国外からが多い」といいましたが、その中でも多いのが「ブルートフォースアタック」という攻撃です。

brute force」とは直訳すると「獣のような力(≒力づく)」という感じで、セキュリティ用語では「パスワードなどを総当たり攻撃(力ずく)で片っ端から試して見つけること」を意味します。

手法としては、解析ツールを使ってIDとパスワードを手当たり次第に入力して、ダッシュボードへのアクセス(ログイン)を無理やりこじ開けるというものです。
ものすごくアナログな攻撃方法ですが、威力は強力で簡単な文字列であれば数分で突破されてしまいます

この「ブルートフォースアタック」は国外IPからの攻撃がほとんどなので、この「国外IPアクセス制限」が有効な対策の1つになるというわけです。

2)ログイン試行回数制限設定

これは短時間に連続してログイン処理が失敗した場合に、アクセス制限がかかる機能です。
これも先ほどお伝えした「ブルートフォースアタック」に対して有効な防御方法になります。

ただし、ご自身がパスワードを忘れてしまって短時間に連続でログインに失敗するとこの制限がかかってしまうので注意してください…!^^;
ログイン制限は24時間後に解除されます。

WordPressのプラグインにもこのようなログイン試行回数制限をしてくれるものがありますが、エックスサーバーであればサーバー側で対処してくれるので必要ないですね(^^)

3)コメント・トラックバック制限設定

コメント・トラックバック制限にはこの2つがあります。

  1. 大量コメント・トラックバック制限
  2. 国外IPアドレスからのコメント・トラックバック制限

こちらにも国外IPからの制限がありますが、スパムコメント・トラックバックの多くも国外IPアドレスから行われることが確認されています
基本的にはこの機能もONにしておくことをおすすめします。

先ほど同様で、プラグインを使わずにサーバー側でこういった対処できるのはありがたいですよね(^^)

このように、エックスサーバーにはWordPressを使う際のセキュリティ対策がいろいろと施されています。
安全性を考えるなら、とてもおすすめのサーバーだと言えますよ!

エックスサーバーについて詳しくはコチラ/

今ならドメインが無料!12/27まで

エックスサーバーのメールのセキュリティ対策方法

メールのセキュリティ対策はこの4つです。

  1. SMTP認証の国外アクセス制限設定
  2. アンチウイルス
  3. スパム(迷惑)メールフィルター
  4. POP over SSL、SMTP over SSL、IMAP over SSL

1)SMTP認証の国外アクセス制限設定

こちらもWordPressのセキュリティ対策同様に、国外からのアクセスを制限する機能です。
メールアカウントを不正利用されないためにも、ONにしておくことをおすすめします。

2)アンチウイルス

エックスサーバーで作成したメールアドレスは、受信時に全て自動的にウイルスチェックがおこなわれます
もし万が一ウイルスが検知された場合でも、システム側で自動的に削除してくれるので安心です。

ウイルス駆除には国際的に高評価のF-Secure社のプログラムを使用しています。

3)スパム(迷惑メール)フィルター

スパム(迷惑)メールをシステムで自動的に検知する機能です。

ON/OFFの設定だけでなく、

  • フィルターの判断基準の調整
  • ホワイトリスト
  • ブラックリスト

の設定もできます。

4)POP over SSL、SMTP over SSL、IMAP over SSL

送信・受信ともに通信を暗号化(SSL)して、途中で盗聴されることを防ぎます

POPやSMTPなどの説明については、こちらの記事を参考にしてみてくださいね。

▶ (補足)POPとIMAP、ポート番号について

エックスサーバーはメールに関してもしっかりとしたセキュリティ対策がされているので、安心ですね(^^)

エックスサーバーについて詳しくはコチラ/

今ならドメインが無料!12/27まで

エックスサーバーのその他のセキュリティ対策方法

最後に、上記以外のセキュリティ対策を4つご説明します。

  1. アクセス拒否設定
  2. PHPのバージョンを最新にする
  3. WordPressのバージョンを最新にする
  4. WordPressのログインユーザー名はadminなどの分かりやすいものを避ける
  5. (必須!)ログインに2段階認証を設定する

1)アクセス拒否設定

指定したIPアドレスからのアクセスを拒否することができます。
怪しい挙動をするIPアドレスなどがある場合には、この機能でブロックしましょう。

2)PHPのバージョンを最新にする

PHPのバージョンが古い場合、セキュリティの脆弱性(ぜいじゃくせい)を突かれることがあるので、基本的には最新のバージョンを設定するのがおすすめです。

ただしWordPressのプラグインの中には最新のPHPバージョンに対応していないものもあるため、バージョンを上げるときには入念に確認をしてくださいね!

3)WordPressのバージョンを最新にする

これもPHPと同じ理由ですが、古いバージョンはセキュリティホールを突かれることがあるので、常に最新版を使うようにしておいた方が安心です。

4)WordPressのユーザー名は「admin」などの分かりやすいものを避ける

推測されやすいIDやパスワードを使うことは避けましょう
「ブルートフォースアタック」のときにより短時間で突破されてしまう原因にもなります。
単純な単語の組み合わせなどもあまりよくないので、少しでも複雑な文字列にしておいた方が安全です。

ただし、覚えづらいものはご自身のユーザビリティが下がるので、その点はうまく調整することも大切ですね…!

5)(必須!)ログインに2段階認証を設定する

4)でユーザー名やパスワードを推測されづらいものを設定するということをご説明しましたが、それよりもさらにセキュリティレベルをあげるのが「ログインの二段階認証」です。

二段階認証とは、

  • ユーザー名
  • パスワード

に加えて、

  • 手元にあるスマートフォンにランダムに生成される文字列

を入力しないとログインができない、というものです。

つまり「いま自分が持っているスマートフォンを見ることができる人しかログインができない」ということになります。(自分以外の第三者がログインすることは、ほぼ不可能
ですので、この設定をしておけば、不正ログインに関しての対策はかなり強固なものとなります。

今ではほとんどのWebサービスでこの2段階認証が導入されていますし、金融系サービスのログインや振込確認もほぼすべて2段階認証になってますよね!
それぐらい強力なセキュリティ対策といえますし、2段階認証以上に安全な不正ログイン対策は現時点ではないと思います。

たとえユーザー名やパスワードが流出してしまったり、ブルートフォースアタックで突破されたとしても、ログインするための最終的な情報は自分しか持っていないからです。
例えていうなら、「ログインするために必要な鍵を1本だけ自分が管理している」ということです。

WordPressの2段階認証に必要なもの

2段階認証には次の2つの設定が必要になります。

  • WordPressプラグイン「Google Authenticator」
  • Googleの「認証アプリ」(スマートフォンアプリ)

「Google Authenticator」のプラグインを設定すると、ログイン画面に新たに「Google Authenticator code」という欄が表示されるので、そこに手元のスマートフォンの「Googleの認証アプリ」で生成されたコードを入力すればOKです。

WordPressに2段階認証を設定する際の注意点「もし、無くしてしまったら…?」

スマホをなくしてしまったり、壊してしまうと認証コードが取得できなくなってしまうので気をつけて下さい。

また、意外と盲点なのが「スマホの機種変更」です。
機種変更時には必ず認証アプリの引き継ぎ設定をしておく必要があります。

ただ、紛失や機種変更で認証コードが取得できなくなってしまった場合でも、サーバーにFTPで直接アクセスをして、「Google Authenticator」のプラグイン自体を削除してしまえば、2段階認証の設定が消えます
もしものときは、その方法で設定を解除してください。

FTP接続の方法についてはこちらを参考にどうぞ!

エックスサーバーにFTP接続するための手順と方法!図解で詳しく説明

エックスサーバーについて詳しくはコチラ/

今ならドメインが無料!12/27まで

今なら独自ドメインがずっと無料になるお得なキャンペーン開催中!

(画像引用:「エックスサーバー」公式サイト)

エックスサーバーに新規で申し込むと、今ならなんと独自ドメインが1つ無料でもらるキャンペーンをやっています!

  • .com
  • .net

などの人気ドメインをもらえるので、これは熱いですね。
さらになんと更新費用もずっと無料です!

キャンペーンの詳細はこちらです。

キャンペーン期間

2018年11月16日(金)12:00 ~ 2018年12月27日(木)18:00 まで
→ 本日12月16日(日)はキャンペーン期間中!(残りあと11日)

キャンペーン対象

キャンペーン期間中に、新規に申し込んだサーバーアカウント

キャンペーン内容

キャンペーン対象のサーバーアカウントを契約すると、独自ドメイン(.com/.net/.org/.biz/.infoからいずれか)が1つもらえます。

今回契約したサーバーの利用期間中は、更新費も無料
ドメインの移管でもOKです。

期間限定ですので、気になっている人はこのチャンスをうまく活かしてくださいね!

キャンペーン詳細を今すぐチェック!/

エックスサーバーのセキュリティ対策方法まとめ

いかがだったでしょうか?
エックスサーバーのセキュリティ対策についてお伝えしました。
最後に今回の内容のまとめです。

  • エックスサーバーは最新のWAFに対応しています。
    1)XSS対策
    2)SQL対策
    3)ファイル対策
    4)メール対策
    5)コマンド対策
    6)PHP対策
    WAFの機能は初期状態ではOFFになっていますが、基本的には全てをONにしておいたほうが安全です。
    ただしその際は動作チェックを入念におこなうことをおすすめします。
  • WordPressのセキュリティ対策はこの3つです。
    1)国外IPアクセス制限設定
    2)ログイン試行回数制限設定
    3)コメント・トラックバック制限設定
    不正アクセスは国外からのものが大半なので、この機能をONにすることでセキュリティレベルがあがります。
  • メールのセキュリティ対策はこの4つです。
    1)SMTP認証の国外アクセス制限設定
    2)アンチウイルス
    3)スパム(迷惑)メールフィルター
    4)POP over SSL、SMTP over SSL、IMAP over SSL
  • その他のセキュリティ対策はこの3つです
    1)アクセス拒否設定
    2)PHPのバージョンを最新にする
    3)WordPressのバージョンを最新にする
    4)WordPressのユーザー名は「admin」などの分かりやすいものを避ける
    5)(必須!)ログインに2段階認証を設定する

エックスサーバーはWAFに対応したことで、セキュリティがより強固なものとなりました。
また、個人ではなかなか設定が難しい国外IPアドレスの接続制限をサーバー側でやってくれるので非常に安心ですね!

性能も非常に高く安定しているレンタルサーバーなので、選んでおいて間違いないと自信をもっておすすめできます(^^)
さらにエックスサーバーのその他の性能について知りたい方は、こちらの記事を参考にしてくださいね!

エックスサーバーについて詳しくはコチラ/

今ならドメインが無料!12/27まで

レンタルサーバーおすすめランキング

エックスサーバー

エックスサーバーは「高速」「多機能」「高安定性」の三拍子がそろった、信頼できる王道レンタルサーバーです。
「独自SSL無料」「WordPress簡単インストール」「マルチドメイン無制限」と複数Webサイト運営もバッチリの機能がそろっています。
大切なデータをしっかり守ってくれる「自動バックアップ」機能も標準対応なので、初心者でも安心です!

mixhost

mixhost

mixhostは、最新技術による高速化対策で、サイトの表示速度がサクサク早い
そして、月額利用料が割安初期費用がゼロ
その他にも「自動バックアップ&復元無料」「独自SSL標準搭載」「WordPress簡単インストール」など、初心者でも安心の機能がいっぱいです。

おすすめの記事

「レンタルサーバーはどこがいいんだろう?」 「エックスサーバーの評判がいいって聞いたことあるけど、ホントかな?値段や速度、セキュリティってどうなの?」 とお考えではありませんか? レンタルサーバー選び ...

今回はエックスサーバーでブログを作る方法について、 契約するところから ブログをSSL化するところまで 一つ一つ丁寧に解説します。 ボリューム多めですが、このページを上からなぞっていけばすべての作業が ...

-セキュリティ・トラブル

Copyright© 明快!レンタルサーバー比較ガイド , 2018 All Rights Reserved.