エックスサーバーのセキュリティ対策はさまざまものが施されています。
「国外IPアクセス制限設定」や「コメント・トラックバック制限設定」など以前から好評だったセキュリティ対策に加えて、最新のWAFにも対応となりました。
私も長年エックスサーバーを利用していますが、WAFに対応したということでより安心して使えるようになったと思います。
- WAFとはどんなものなのか?
- WordPressのセキュリティ対策はどうなっているのか?
- メールのセキュリティ対策はどうなのか?
など、今回はエックスサーバーのセキュリティ対策について詳しくお伝えします!
「エックスサーバーのセキュリティは大丈夫なのかな…?」と心配している人は、ぜひこの記事を参考にしてくださいね。
目次
エックスサーバーのWAFを使ったセキュリティ対策と強化方法
「WAF」とは、「ウェブ・アプリケーション・ファイアーウォール」のことで、ウェブサーバーよりも前に防御壁(ファイアーウォール)を置くことで、不正なアクセスを防いでくれる機能です。
不審者(不正アクセス)を見張る門番が追加されるようなものだと思ってください。
エックスサーバーもこの最新のWAFに対応しました。
設定できる内容はこの6つです。
WAF設定
- XSS対策
- SQL対策
- ファイル対策
- メール対策
- コマンド対策
- PHP対策
これらの不正アクセス(攻撃)があった場合に、サーバーより前の段階でガードマンが通せんぼをして、中に入れないような仕組みになっています。
設定はサーバーパネルの「セキュリティ > WAF設定」からおこなえます。
初期状態ではOFFになっていますが、基本的にはWAFをONにしておいたほうが安全です。
ですが、場合によってはサイトの動作に影響があるので、ONにしたあとには必ず動作チェックを入念におこなうようにしてくださいね!
思わぬところで接続エラー(主に403エラー)になったりすることがあります。
WAFを導入したことでエックスサーバーのセキュリティはより強固なものとなりました。
後述のセキュリティ対策とあわせて、この価格帯でこれだけしっかりとした対策が取られているレンタルサーバーは他になかなかないと思います。
エックスサーバーはその他の機能もとても高性能なので、安心して使えるレンタルサーバーです。
エックスサーバーのWordPressのセキュリティ対策と強化方法
WordPressは世界中で多くの人に利用されているCMS(コンテンツ・マネージメント・システム)ですので、その分クラッカーからの攻撃に合いやすいといえます。
ですが、エックスサーバーはこの点についてももちろんしっかりとセキュリティ対策がされています!
エックスサーバーのWordPressのセキュリティ対策は主にこの3つです。
WordPressセキュリティ設定
- 国外IPアクセス制限設定
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
設定は、エックスサーバーのサーバーパネル「WordPress > WordPressセキュリティ設定」から行えます。
それぞれについて詳しくみてみましょう。
1)国外IPアクセス制限設定
国外IPアクセス制限設定は、WordPress管理画面やシステムへの国外IPからのアクセスを制限する機能です。
制限できるアクセスはこの3つです。
- ダッシュボード(管理画面)アクセス制限
- XML-RPC API(メール投稿機能などの外部システム)アクセス制限
- REST API(外部からのデータ利用)アクセス制限
不正なアクセスは国外からのことがほとんどなので、基本的にはすべての設定をONにしておくことをおすすめします。
この機能をONにすることで多くの不正アクセスを防止することができます。
ただし、ご自身が海外に行くときはこの機能をOFFにしておかないと管理画面に入ることができなくなってしまうので、旅行や出張のときは忘れずにOFFにしておいてくださいね!
IPとは?
「IP」とは「IP(インターネット・プロトコル)アドレス」のことで、ネットワークに接続されている機器を識別するために割り当てられている数字のことです。
人に「Aさん」「Bさん」と名前がついているように、ネットワークに接続しているPCやスマホにも「1番さん」「2番さん」という形で全てにIPアドレスが割り振られています。
(実際のIPアドレスはもっと数字の桁数が多いです)
このIPアドレスを見ることによって、どこから接続されているかおおよその位置を判断することができます。
ブルートフォースアタックについて
先ほど「不正アクセスは国外からが多い」といいましたが、その中でも多いのが「ブルートフォースアタック」という攻撃です。
「brute force」とは直訳すると「獣のような力(≒力づく)」という感じで、セキュリティ用語では「パスワードなどを総当たり攻撃(力ずく)で片っ端から試して見つけること」を意味します。
手法としては、解析ツールを使ってIDとパスワードを手当たり次第に入力して、ダッシュボードへのアクセス(ログイン)を無理やりこじ開けるというものです。
ものすごくアナログな攻撃方法ですが、威力は強力で簡単な文字列であれば数分で突破されてしまいます。
この「ブルートフォースアタック」は国外IPからの攻撃がほとんどなので、この「国外IPアクセス制限」が有効な対策の1つになるというわけです。
2)ログイン試行回数制限設定
これは短時間に連続してログイン処理が失敗した場合に、アクセス制限がかかる機能です。
これも先ほどお伝えした「ブルートフォースアタック」に対して有効な防御方法になります。
ただし、ご自身がパスワードを忘れてしまって短時間に連続でログインに失敗するとこの制限がかかってしまうので注意してください…!^^;
ログイン制限は24時間後に解除されます。
WordPressのプラグインにもこのようなログイン試行回数制限をしてくれるものがありますが、エックスサーバーであればサーバー側で対処してくれるので必要ないですね(^^)
3)コメント・トラックバック制限設定
コメント・トラックバック制限にはこの2つがあります。
- 大量コメント・トラックバック制限
- 国外IPアドレスからのコメント・トラックバック制限
こちらにも国外IPからの制限がありますが、スパムコメント・トラックバックの多くも国外IPアドレスから行われることが確認されています。
基本的にはこの機能もONにしておくことをおすすめします。
先ほど同様で、プラグインを使わずにサーバー側でこういった対処できるのはありがたいですよね(^^)
このように、エックスサーバーにはWordPressを使う際のセキュリティ対策がいろいろと施されています。
安全性を考えるなら、とてもおすすめのサーバーだと言えますよ!
エックスサーバーのメールのセキュリティ対策と強化方法
メールのセキュリティ対策はこの4つです。
- SMTP認証の国外アクセス制限設定
- アンチウイルス
- スパム(迷惑)メールフィルター
- POP over SSL、SMTP over SSL、IMAP over SSL
1)SMTP認証の国外アクセス制限設定
こちらもWordPressのセキュリティ対策同様に、国外からのアクセスを制限する機能です。
メールアカウントを不正利用されないためにも、ONにしておくことをおすすめします。
2)アンチウイルス
エックスサーバーで作成したメールアドレスは、受信時に全て自動的にウイルスチェックがおこなわれます。
もし万が一ウイルスが検知された場合でも、システム側で自動的に削除してくれるので安心です。
ウイルス駆除には国際的に高評価のF-Secure社のプログラムを使用しています。
3)スパム(迷惑メール)フィルター
スパム(迷惑)メールをシステムで自動的に検知する機能です。
ON/OFFの設定だけでなく、
- フィルターの判断基準の調整
- ホワイトリスト
- ブラックリスト
の設定もできます。
4)POP over SSL、SMTP over SSL、IMAP over SSL
送信・受信ともに通信を暗号化(SSL)して、途中で盗聴されることを防ぎます。
POPやSMTPなど、メール関連の用語の解説については、こちらの記事を参考にしてみてくださいね。
-
-
エックスサーバーで独自ドメインのメールアドレスを取得する方法!
ビジネスやサイト運営をする際に、独自ドメインのメールアドレスが必要になることってありますよね。 プライベート利用ならGmailで十分だと思いますが、仕事などで対外的な信用度が求められる際には独自ドメイ ...
エックスサーバーはメールに関してもしっかりとしたセキュリティ対策がされているので、安心です。
エックスサーバーのその他のセキュリティ対策と強化方法
最後に、上記以外のセキュリティ対策を4つご説明します。
- アクセス拒否設定
- PHPのバージョンを最新にする
- WordPressのバージョンを最新にする
- WordPressのログインユーザー名はadminなどの分かりやすいものを避ける
- (必須!)ログインに2段階認証を設定する
1)アクセス拒否設定
指定したIPアドレスからのアクセスを拒否することができます。
怪しい挙動をするIPアドレスなどがある場合には、この機能でブロックしましょう。
2)PHPのバージョンを最新にする
PHPのバージョンが古い場合、セキュリティの脆弱性(ぜいじゃくせい)を突かれることがあるので、基本的には最新のバージョンを設定するのがおすすめです。
ただしWordPressのプラグインの中には最新のPHPバージョンに対応していないものもあるため、バージョンを上げるときには入念に確認をしてくださいね!
PHPバージョンの互換性チェックには「PHP Compatibility Checker」を使おう
WordPressのテーマやプラグインと、PHPバージョンの互換性をチェックしてくれるプラグインもあります。
それが「PHP Compatibility Checker」です。
使い方はとても簡単で、チェックしたいPHPのバージョンを選んで実行するだけです。
PHPのバージョンアップ前には、必ず一度確認してみてくださいね!
3)WordPressのバージョンを最新にする
これもPHPと同じ理由ですが、古いバージョンはセキュリティホールを突かれることがあるので、常に最新版を使うようにしておいた方が安心です。
4)WordPressのユーザー名は「admin」などの分かりやすいものを避ける
推測されやすいIDやパスワードを使うことは避けましょう。
「ブルートフォースアタック」のときにより短時間で突破されてしまう原因にもなります。
単純な単語の組み合わせなどもあまりよくないので、少しでも複雑な文字列にしておいた方が安全です。
ただし、覚えづらいものはご自身のユーザビリティが下がるので、その点はうまく調整することも大切ですね…!
5)(必須!)ログインに2段階認証を設定する
4)でユーザー名やパスワードを推測されづらいものを設定するということをご説明しましたが、それよりもさらにセキュリティレベルをあげるのが「ログインの二段階認証」です。
二段階認証とは、
- ユーザー名
- パスワード
に加えて、
- 手元にあるスマートフォンにランダムに生成される文字列
を入力しないとログインができない、というものです。
つまり「いま自分が持っているスマートフォンを見ることができる人しかログインができない」ということになります。(=自分以外の第三者がログインすることは、ほぼ不可能)
ですので、この設定をしておけば、不正ログインに関しての対策はかなり強固なものとなります。
今ではほとんどのWebサービスでこの2段階認証が導入されていますし、金融系サービスのログインや振込確認もほぼすべて2段階認証になってますよね!
それぐらい強力なセキュリティ対策といえますし、2段階認証以上に安全な不正ログイン対策は現時点ではないと思います。
たとえユーザー名やパスワードが流出してしまったり、ブルートフォースアタックで突破されたとしても、ログインするための最終的な情報は自分しか持っていないからです。
例えていうなら、「ログインするために必要な鍵を1本だけ自分が管理している」ということです。
WordPressの2段階認証に必要なもの
2段階認証には次の2つの設定が必要になります。
- WordPressプラグイン「Google Authenticator」
- Googleの「認証アプリ」(スマートフォンアプリ)
「Google Authenticator」のプラグインを設定すると、ログイン画面に新たに「Google Authenticator code」という欄が表示されるので、そこに手元のスマートフォンの「Googleの認証アプリ」で生成されたコードを入力すればOKです。
設定方法の詳しい手順については、こちらの記事の「管理画面ログインの2段階認証の設定の仕方」という項目を参考にしてみてください。
-
-
WordPressとレンタルサーバーのセキュリティを高める、14の対策法!
WordPressを利用するときに気になるのが、セキュリティですよね。 しっかりとした対策を取っておかないと、 サイトの内容が改ざんされたり 他のサーバーへの攻撃の踏み台にされてしまったり という、シ ...
WordPressに2段階認証を設定する際の注意点「もし、無くしてしまったら…?」
スマホをなくしてしまったり、壊してしまうと認証コードが取得できなくなってしまうので気をつけて下さい。
また、意外と盲点なのが「スマホの機種変更」です。
機種変更時には必ず認証アプリの引き継ぎ設定をしておく必要があります。
ただ、紛失や機種変更で認証コードが取得できなくなってしまった場合でも、サーバーにFTPで直接アクセスをして、「Google Authenticator」のプラグイン自体を削除してしまえば、2段階認証の設定が消えます。
もしものときは、その方法で設定を解除してください。
FTP接続の方法についてはこちらを参考にどうぞ。
-
-
エックスサーバーにFTP接続するための手順と方法!図解で詳しく説明
エックスサーバー内のファイルを操作したいときにはFTPで接続する必要があります。 FTPとは「File Transfer Protocol」の略で、簡単にいうと「(サーバーに直接)ファイルを転送する仕 ...
エックスサーバーのセキュリティ対策と強化方法まとめ
エックスサーバーのセキュリティ対策についてお伝えしました。
最後に今回の内容のまとめです。
- エックスサーバーは最新のWAFに対応しています。
1)XSS対策
2)SQL対策
3)ファイル対策
4)メール対策
5)コマンド対策
6)PHP対策
WAFの機能は初期状態ではOFFになっていますが、基本的には全てをONにしておいたほうが安全です。
ただしその際は動作チェックを入念におこなうことをおすすめします。 - WordPressのセキュリティ対策はこの3つです。
1)国外IPアクセス制限設定
2)ログイン試行回数制限設定
3)コメント・トラックバック制限設定
不正アクセスは国外からのものが大半なので、この機能をONにすることでセキュリティレベルがあがります。 - メールのセキュリティ対策はこの4つです。
1)SMTP認証の国外アクセス制限設定
2)アンチウイルス
3)スパム(迷惑)メールフィルター
4)POP over SSL、SMTP over SSL、IMAP over SSL - その他のセキュリティ対策はこの3つです
1)アクセス拒否設定
2)PHPのバージョンを最新にする
3)WordPressのバージョンを最新にする
4)WordPressのユーザー名は「admin」などの分かりやすいものを避ける
5)(必須!)ログインに2段階認証を設定する
エックスサーバーはWAFに対応したことで、セキュリティがより強固なものとなりました。
また、個人ではなかなか設定が難しい国外IPアドレスの接続制限をサーバー側でやってくれるので非常に安心ですね!
性能も非常に高く安定しているレンタルサーバーなので、選んでおいて間違いないと自信をもっておすすめできます(^^)
さらにエックスサーバーについて詳しく知りたい方は、公式サイトも参考にどうぞ!
エックスサーバーをおすすめする理由や、評判や口コミについてさらに詳しくはこちらも参考にしてみてください。
-
-
【エックスサーバーの評判がいい理由・7つ】利用者の私が詳細を解説
「エックスサーバーの評判がいいって聞いたことあるけど、ホントかな…?」 「値段や速度、セキュリティってどうなの?」 とお考えではありませんか? ウェブ上でコンテンツを発信するときの土台となるのがレンタ ...
