WordPressセキュリティ対策【Xserverの設定11個】

各記事にあるclipをクリックすることで、あとからもう一度読みたい記事をクリップ一覧ページにまとめておくことができます(メニューをご覧ください)。
この記事で解決できるお悩み
  • エックスサーバー契約したけど、何から始めたらいいかわからない
  • エックスサーバーのサーバーパネルってなにかすることあるの?
  • ワードプレスインストール完了したけどさっそくブログ始めていいのかな・・・

この記事で解説するとおりにエックスサーバー(Xserver)のサーバー設定をすれば、サーバーのことがあまりわからない初心者でも迷うことなく設定を完了することができますよ!

設定項目ごとに画像を使って説明しているため、誰でも迷うことなく進めることができます。

本記事で解説するサーバー設定をしておくことでセキュリティ強化はもちろんWebページ表示の高速化に繋がり、SEO対策にもなるのでぜひご覧ください!

すでにブログ運用を始めている方も、この機会に設定を見直してみましょう。

記事の最後にはワードプレス(WordPress)の設定をまとめた記事の紹介もあるので、サーバー設定が完了したらワードプレスの設定まで進めちゃってください。

エックスサーバーのサーバーパネル

サーバーの設定変更をするために用意されているページを【サーバーパネル】と言います。

後ほどサーバーパネルにアクセスするためのリンクボタンは用意してますが、あとから混乱しないように、まずはサーバーパネルの基本的な構成、見方から解説します。

サーバーパネルにログインするとまず最初に以下のサーバーパネル設定項目一覧が表示されます。

Xserverサーバーパネルトップ
Xserverサーバーパネルトップ

サーバーの設定変更は主に【サーバー全体の共通設定】と【ドメインごとの個別設定】の2種類があります。

つまり、サーバーパネル内の項目【アカウント】は契約しているサーバー全体で使用する共通の設定項目で、その他の項目は基本的にドメインごとの設定をする項目になります。

ドメインとは?

当ブログのURLで説明すると、『https://literacyboxes.com/』の赤字部分がドメインです。
このドメインはインターネット上の住所となるので、別の人が同じドメインを取得することはできません。
ドメイン取得サービスより取得して、契約しているレンタルサーバーに登録することで『このドメインはこのサーバーで利用しますよ』と紐付けることで、利用が可能になります。

試しに【メール】-[メールアカウント設定]をクリックしてみます。

【メール】-[メールアカウント設定]
【メール】-[メールアカウント設定]

すると以下のようにドメインを選択する画面になります。

これが先程説明したドメインごとの設定です。

ここでドメインを選択すると、対象のドメインでメールアドレスを作成することができます。
※メールアドレスの作成については別記事で解説します。

設定を変更したいドメインが一つに決まっている場合は、サーバーパネルトップページであらかじめ指定しておくこともできます。

Xserver サーバーパネルドメイン指定
Xserver サーバーパネルドメイン指定
Xserver サーバーパネル項目選択後設定画面
Xserver サーバーパネル項目選択後設定画面

サーバーパネルログイン時のトップページでは画面全体に設定項目一覧表示がされていましたが、各設定項目に入ると設定項目一覧は左側サイドバーに表示されていることがわかりますね。

サーバーパネルトップページの画面全体に設定項目一覧が表示されたページに戻りたい場合は、画面上部の【トップ】またはロゴマークをクリックしてください。

以上がサーバーパネル画面の基本的な構成、見方となります。

なんとなく理解したらさっそくサーバーの設定作業に進みましょう。

以下からサーバーパネルにアクセスし、ログインしてください。

Xserver(エックスサーバー)の各種設定

サーバーパネルの基本的な見方がわかったところで、さっそく最初でやっておくべき設定を確認していきましょう。

【アカウント】ー [SSH設定]

SSH設定
SSH設定

先程説明したCUIというコマンドでサーバーを操作するための設定です。

サーバーにある程度詳しい人でない限り使用することはないですし、いつハッカーが不正に接続しようとしてくるかもわからないので、セキュリティの観点から『OFFにする』を設定しておきましょう。

『OFFにする』を選択 → 『設定する』をクリック

SSH設定は『OFFにする』で設定しておく
SSH設定は『OFFにする』で設定しておく

【アカウント】ー [二段階認証設定]

二段階認証設定
二段階認証設定

サーバーパネルへログインする時のセキュリティを強化する設定です。

サーバーパネルへログインする際は、通常メールアドレスとパスワードの組み合わせでログインしますが、万が一何らかの方法でパスワードが漏れてしまった場合でも、二段階認証を設定しておけば連携したスマホを持っている人でないとログインはできないため、より強固なセキュリティとなります。

二段階認証アプリを開いて準備してください。

twitterやInstagramなどの他サービスで2段階認証を設定する際にも利用できるので、まだスマホに2段階認証アプリをインストールしていない場合はこの機会にインストールしておきましょう。

Microsoft Authenticator

Microsoft Authenticator

アプリ利用手

利用手順1:右上[+]をクリック
Microsoft Authenticatorアプリ追加手順-1
利用手順2:3番目をクリック
Microsoft Authenticatorアプリ追加手順-2
利用手順3:QRコードを読み取る
Microsoft Authenticatorアプリ追加手順-3

サーバーパネルへ不正にアクセスされるとブログを乗っ取られるだけでなく、契約しているレンタルサーバーを犯罪に利用されることもあり大変危険なので、二段階認証設定は必ず設定しておきましょう。

『利用する』を選択 → 『変更する』をクリック

二段階認証設定は『利用する』で設定
二段階認証設定は『利用する』で設定

[STEP2]の『QRコードを表示』をクリックするとQRコードが表示されるので、アプリ利用手順の通りにアプリでQRコードを読み取ります。

QRコードをアプリで読み取ると、アプリに6桁の時間制限付きのパスワードが表示されるので、[STEP3]の入力欄へ入力して認証をクリックします。

認証コードを入力する
認証コードを入力する
利用手順4:コードをコピー
QRを読み込んで二段階認証コードを取得
QRを読み込んで二段階認証コードを取得
利用手順5:コードを貼り付けて認証

設定が完了するとバックアップコードが表示されます。

二段階認証でセキュリティが強固になるということは、逆を言えば二段階認証コードが分からなくなると本人さえもログインできなくなるということです。

画面内下部の説明に記載の通り、スマホを無くしたり等の理由でアプリが使えなくなった場合に強制的に二段階認証を解除するために、このバックアップコードは大切に保管してください。

バックアップコードを保管する
バックアップコードを保管する

これで二段階認証設定が完了です。

次回以降、サーバーパネルにログインする時は通常どおりの『メールアドレス&パスワード』でのログイン後に以下二段階認証ログイン画面が表示されるので、二段階認証アプリを開いて制限時間付きパスワードを制限時間内に入力するとログインできます。

二段階認証ログイン画面
二段階認証ログイン画面

以降はドメインごとの設定項目となるので、サーバーパネルトップページの左下で設定対象ドメインを指定しておいてください。

Xserver サーバーパネルドメイン指定
Xserver サーバーパネルドメイン指定

【WordPress】ー [WordPressセキュリティ設定]

WordPressセキュリティ設定
WordPressセキュリティ設定

WordPress(ワードプレス)のセキュリティに関する設定です。

WordPress(ワードプレス)は世界的に利用されていることで、仕組みも世界的に知られています。

そのため、ハッカーはWordPress(ワードプレス)のセキュリティの欠点(セキュリティホール)を探して乗っ取ろうとしてくるため、セキュリティ面は常に気をつける必要があります。

便利な物には必ず悪用しようとする人がでてくるということですね。

国外IPアクセス制限設定

まずは国外からのアクセス制限の設定です。

ダッシュボード アクセス制限
『ダッシュボード』とはWordPress(ワードプレス)の管理画面のことです。
WordPress(ワードプレス)管理画面に日本国内からしかアクセスしない場合は、『ONにする』を選択してください。
※日本国外からでも管理画面以外の公開している記事等は閲覧できます。
※海外在住や移住する方、海外旅行先でWordPress(ワードプレス)管理画面へアクセスする場合は、『OFFにする』を設定しないと管理画面へアクセスできないため、この設定のことは頭の片隅にでも覚えておきましょう。

XML-RPC APIREST API アクセス制限
XML-RPC APIやREST APIとは、投稿記事などのデータをWordPress(ワードプレス)管理画面からではなく外部サービス等から操作できるようにするための仕組みのことです。
XML-RPC APIやREST APIを利用しない、またはよくわからない場合は、いずれも『ONにする』を選択してください。

それぞれ選択したら『設定する』をクリック

国外IPアドレス制限設定
国外IPアドレス制限設定

ログイン試行回数制限設定

セキュリティ攻撃の手法の一つに、『ブルートフォースアタック(総当たり攻撃)』という攻撃手法があります。

考えられる限りのユーザー名とパスワードの組み合わせを全て試していくという方法です。

アナログ的な感じもしますが、実際にはプログラムで自動的に超高速で組み合わせを試していくので、いつかはログインできる手法とも言えます。

このような攻撃から守るために、『●回ログインに失敗したらアクセスできなくする』という設定です。

もちろん、サイト保持者も一定回数間違えるとログインできなくなるので、気をつけましょう。
※万が一ログインできなくなったら、一旦『OFFにする』に変更してしてください。

『ONにする』を選択 → 『設定する』をクリック

ログイン試行回数制限設定
ログイン試行回数制限設定

コメント・トラックバック制限設定

迷惑なコメント・トラックバックを制限します。

コメントとは?

投稿記事に対する読者からのコメントです。
コメントへURLを記載し、自身のサイトへ誘導することを目的とした悪質な迷惑コメント(スパムコメント)をプログラムで自動的に大量投稿してくる悪質な利用者が存在します。

トラックバックとは?

トラックバックとは、こちらの記事へは直接コメントせずに読者が自身のブログ等でコメントを記事として作成し、こちらの記事に対して『コメント記事を作成したのでそちらの記事内コメント欄へ載せてください』という通知を送信し、コメント欄へ表示してもらう機能です。
お互いのブログを行き来できる(相互リンク)ようになりSEO効果が期待できるため、関連性のないサイトや記事からトラックバックをプログラムで自動的に大量送信してくる悪質な利用者が存在します。

大量コメント・トラックバック制限
大量にコメントやトラックバックができないように制限する場合は、『ONにする』を選択します。

国外IPアドレスからのコメント・トラックバック制限
国外からはそもそもコメントやトラックバックできないように制限する場合は、『ONにする』を選択します。

それぞれ選択したら、『設定する』をクリックします。

コメント・トラックバック制限設定
コメント・トラックバック制限設定

【FTP】ー [FTP制限設定]

FTP制限設定
FTP制限設定

Xserverのサーバーへデータを送受信するには、FTPソフトを利用してアップする方法と、Xserverが用意している画面上(ファイルマネージャー)からアップする方法がありますが、IPアドレスで通信を制限する設定です。

WordPress(ワードプレス)をカスタマイズしたりなど理由がない限りサーバーに直接データを送受信したい場面はないので、ファイルマネージャーからの送受信だけを許可、つまりXserver管理画面にログインしている場合のみサーバーへデータを送受信できるように制限することで、不正アクセスのリスクを低減します。

FTPとは?

FTPとは[File Transfer Protocol]のことで、サーバーとPC等端末間でデータを送受信するためのインターネット上の世界共通の決まりごとですが、難しい話になるのでとりあえず『インターネット上でデータを送信したり受信したりする技術なんだな~』ってぐらいで理解しておいてください。

IPアドレスとは?

ネットワーク上で通信端末を特定するために割り振られる番号、つまりインターネット上における端末の住所のようなもので、1~255の数字で4つに分けられて表示されます。(例:238.5.143.15 という感じ)
ドメインに似ていると思いましたか?実は、数字の羅列で覚えづらいIPアドレスを人間がパット見て分かりやすくするために文字列に変換した仕組みがドメインです。
また、[127.0.0.1]というIPアドレスは【自分自身】を表します。つまり、自サーバー向けに通信を行う場合に使用します。(難しいと思うので、「ふ~ん」って流してOKです。)

設定対象
『サーバーアカウント全体』かドメイン別に指定できますが、個人(一人)で使用しているならドメイン別に指定する理由はほとんどないので、『サーバーアカウント全体』を選択しておけば大丈夫です。

IPアドレス
『ファイルマネージャーのIPアドレス(127.0.0.1)を追加する』を選択して『確認画面へ進む』をクリック後、確認画面で設定内容に間違いないことを確認したら『追加する』をクリックしてください。
これでXserverが用意している画面上以外からはサーバーにデータを送受信できなくなります。

FTP接続許可IPアドレス追加
FTP接続許可IPアドレス追加
FTP接続許可IPアドレス追加確認
FTP接続許可IPアドレス追加確認

FTPソフトを利用してデータを送受信したい場合は、『現在のIPアドレス(xxx.xxx.xxx.xxx)を追加する』を設定してください。

ただし、ISP(インターネットサービスプロバイダ)との通信契約で固定IPアドレス契約をしていない場合、IPアドレスは定期的に変更となってしまうため、『FTPソフトで急に通信できなくなった』と思ったらこの設定を思い出して、確認する必要があります。

【ドメイン】ー [SSL設定]

SSL設定
SSL設定

SSLでWeb通信をするための設定です。

SSLとは?

PCやスマホなどの端末からインターネット上でデータをやりとりする際に、暗号化して送受信をする仕組みで、クレジットカード情報や個人情報などを送受信する際に悪い人に見られないようにします。
現在ではセキュリティ向上の観点から導入必須と言える仕組みとなっており、検索エンジン大手のGoogleはSSLを導入しているWebサイトは検索結果の順位を決定する際に優遇すると発表しており、今やSSLを導入していないWebサイトのほうが珍しいです。

SSLを導入しているWebサイトと導入していないWebサイトの見極め方は簡単で、アクセスしているWebサイトのURLを確認します。

  • SSL未導入のURLの → http://literacyboxes.com/
  • SSL導入済のURLの → https://literacyboxes.com/

上記『SSLとは?』の説明に記載の通り、現在ではSSLの導入は必須です。

SSLの導入には有料と無料があり、Xserverでは有料SSLも無料SSLもどちらも導入できますが、今回のこちらの設定項目は無料SSLの設定となります。

無料のSSLでもしっかりと暗号化通信がされるので安心してください。

WordPress(ワードプレス)をサーバーパネルの『WordPress簡単インストール』でインストールした際に、『無料独自SSLを導入する』にチェックをいれてインストールしていれば、この設定は不要です。

もし、まだSSLを導入していない場合は設定を進めてください。

設定対象ドメインを確認、設定対象サイトを選択して『確認画面へ進む』をクリック後、内容に間違いなければ『追加する』をクリックして完了です。

※無料SSLでは『CSR情報』の入力は不要なので、気にしないでいいです。

独自SSL設定追加
独自SSL設定追加
独自SSLを追加する
独自SSLを追加する

SSLは設定完了後、約1時間程度で利用可能になります。

また、設定完了後はWordPress(ワードプレス)管理画面の【設定】ー [一般]から基本URLを『http』から『https』に変更しておきましょう。

ダッシュボード-設定-一般から基本URLを変更
ダッシュボード-設定-一般から基本URLを変更

ドメインを変更したくなった場合は以下の記事を参考にするとスムーズに変更できますよ。

ワードプレスでドメインを変更する時は、まずは全体像を把握しよう!

【高速化】ー [Xアクセラレータ]

Xアクセラレータ
Xアクセラレータ

Xアクセラレータとは、IT用語ではなくXserver社が提供する独自サービスの名称で、『キャッシュ』を利用してWebページの表示を高速化する機能を提供します。

キャッシュとは?

キャッシュは細かく解説すると1記事かけるぐらいなので、ここでは何となく理解してください。

例えばスマホからサーバーにページを要求するたんびに、サーバーは様々な複数のデータをかき集めてページを生成し、スマホへ送ってくれることでWebページを見ることができますが、キャッシュが有効だとサーバでは1回目に要求された時にかき集めて生成したページ情報を一定期間保存しておいて、2回目はデータをかき集める作業を省略して保存しておいたデータをそのままスマホへ送信することで高速化を実現します。

というぐらいで認識しておけばとりあえずここではOKです。

Webページの表示を高速化させることで読者のストレスを軽減させるだけでなく、Google検索エンジンからのSEO評価も高くなります。

以上のことからも、基本的には『Xアクセラレータ Ver.2』を設定しておけば問題ありません。

『Xアクセラレータ Ver.2』を選択 → 『確認画面へ進む』をクリック → 『変更する』をクリック

Xアクセラレータ Ver.2
Xアクセラレータ Ver.2
Xアクセラレータ Ver.2へ変更する
Xアクセラレータ Ver.2へ変更する

しかし、以下に当てはまるブログ運用を予定している方は、『OFF』に設定したほうがいいかもしれませんが、今のところどうするかよくわからない場合はWordPress(ワードプレス)でブログを運用していく中で『キャッシュ』というワードが出た時に『Xアクセラレータ』の利用を再検討してください。

ログインをした特定の対象者だけが閲覧できるページや閲覧するたびページ内容が変化する動的ページを含む場合
キャッシュはページを都度生成するわけではなく一度生成したページ情報を一定期間別途保持するため、特定対象者以外にも表示されてしまう場合があるほか、変化するべきページが前回表示された時のまま表示されてしまう可能性があります。

WordPress(ワードプレス)には機能を追加するプラグインという仕組みがあり、キャッシュ系プラグインも存在します。

また、ページデザインを簡単に変更するためのテーマという仕組みもあり、中にはキャッシュ機能を備えた高機能テーマも存在します。

キャッシュ系機能は複数利用してしまうとシステム内で競合し思わぬエラーが発生する場合があるため、Xアクセラレータを有効にする場合はキャッシュ系プラグインやテーマ付随キャッシュ機能は利用しないほうがいいです。

【高速化】ー [サーバーキャッシュ設定]

サーバーキャッシュ設定
サーバーキャッシュ設定

Xアクセラレータとほぼ同一の機能で、Xアクセラレータ機能がOFFでもサーバーキャッシュ設定をONにするとXアクセラレータもONになります。

Xアクセラレータとサーバーキャッシュ設定の機能面での違いが公式サイトに明記されていないため詳細な説明ができませんが、とりあえずXアクセラレータをONにする選択をした方は、こちらもONにしておきましょう。

『ONにする』を選択 → 『確認画面へ進む』をクリック → 『変更する』をクリック

『ONにする』を選択
『ONにする』を選択
サーバーキャッシュ設定をONに変更
サーバーキャッシュ設定をONに変更

【高速化】ー [ブラウザキャッシュ設定]

ブラウザキャッシュ設定
ブラウザキャッシュ設定

これまで設定したキャッシュは生成したページ情報をサーバー内で保持し、2回目にページを要求した際に1回目に生成したページ情報を送信するという機能でした。

に対してブラウザキャッシュ設定は、生成したページ情報をブラウザ内で保持する機能です。

こちらも高速表示をさせるための機能なので、ONに設定しておきましょう。

『ON[全ての静的ファイル]※推奨設定』を選択 → 『変更』をクリック

ON[全ての静的ファイル]を選択
ON[全ての静的ファイル]を選択

【セキュリティ】ー [WAF設定]

WAF設定
WAF設定

サーバーへの通信を監視し、不正なアクセスがあれば遮断する機能です。

ブログを運用する上でセキュリティはある程度知ってたほうがいいですが、セキュリティは幅広く奥が深いため勉強するにはそれなりの時間が必要になります。

深堀りしすぎるとブログ運用どころではなくなるので、とりあえず全部ONにしとけばOKとだけ認識しておいて大丈夫です。

全て『ON』を選択 → 『確認画面へ進む』をクリック → 『設定する』をクリック

全てONにするを選択
全てONにするを選択
確認して『設定する』をクリック
確認して『設定する』をクリック

以上で、エックスサーバーのサーバーパネル上での設定確認は完了です。

ここまで完了したら、いよいよワードプレスの設定に進みましょう!

まずはデザイン面から設定していきたいという方は、【テーマ】を設定することになります。

『テーマってなに?』という方は以下の記事からご確認ください。

WordPressのテーマとは?選び方4つのポイントも併せて解説

『まずはしっかりと全体の基本設定から!』という方は、以下の記事で最初にやっておくべき設定から進めるといいでしょう。

初心者もプロもWordPressで最初にやる【7個の設定】

▼ コメント ▼

タイトルとURLをコピーしました