大切なWebサイトを運営する上で、セキュリティ対策は欠かせません。
国内シェアNo.1レンタルサーバーのエックスサーバーでは、二段階認証やWAF、無料SSLなど、さまざまな対策が用意されています。
本記事では、エックスサーバーの7つのセキュリティ対策を詳しく解説します。
エックスサーバーのセキュリティ対策の概要と種類
エックスサーバーは、以下のようなさまざまなセキュリティ機能を備えています。
- 二段階認証とSMS認証
エックスサーバーにログインする際の二段階認証またはSMS認証の設定。 - パスワード変更
エックスサーバーにログインする際のパスワードの変更。 - WAF(Web Application Firewall)
不正アクセスや攻撃からWebサイトを保護する仕組み。 - 無料SSL証明書
通信を暗号化し、ユーザーの個人情報やパスワードが第三者に盗まれるのを防ぐ。 - WordPressセキュリティ設定
国外IPからWordPressのログイン制限やスパムコメントなどの対策。 - 自動バックアップ機能
定期的にデータベースやファイルを自動でバックアップ。 - 手動バックアップ機能
特定のバックアップ・ファイルを手動でダウンロード。
一部、WordPressプラグイン(拡張機能)でも利用できる機能もあります。重複しないようにするか、重複しても問題ないか確認や動作チェックが必要となります。
エックスサーバーの7つのセキュリティ対策の設定
エックスサーバーの4つのセキュリティ対策の設定について解説します。設定するには、はじめにエックスサーバーのログインページから以下を入力してログインします。
- XserverアカウントIDまたは登録メールアドレス
- パスワード
二段階認証とSMS認証
エックスサーバーにログインする際、Googleの認証アプリまたはモバイルのショートメールに届いた番号で認証する設定をしてセキュリティを高めます。
| 項目 | 二要素認証(TOTP認証) | SMS認証 |
|---|---|---|
| セキュリティ強度 | 高 | 中 |
| 主なリスク | スマホ紛失時の復旧が大変 (バックアップコードあり) | SIMスワップ攻撃(※1) SMS遅延(※2) |
| 推奨設定 | 推奨 | 予備手段として設定 |
※1:SIMスワップ攻撃とは、攻撃者が不正に電話番号を自分のSIMカードに移行し、SMS認証を突破する手口。
※2:SMS遅延とは、認証コードが届くのが遅れる、または届かない現象。
各認証で設定するには、以下の手順で行います。
- アカウントのアイコンや名前を押す
- 「登録情報確認・編集」を押す
- 二段階認証またはSMS認証の右側の「設定変更」を押す
※二段階認証を設定すると、SMS認証のボタンが非表示になります。
- 設定する・しないを選択
- 「設定を変更する」を押す
その後、アプリと連携するためのQRコードを表示できます。
続いて、Google Authenticator(認証システム)のアプリをインストールします。
※セキュリティアプリのためか、アプリ画面がスクリーンショットできませんでした。
画面右下にある「+」ボタンを押して、「QRコードをスキャン」を押し、画面上のQRコードを読み取って連携完了です。
今後、エックスサーバーのログインする際は、IDまたはメールアドレスとパスワードを入力後、このアプリに表示された番号を入力するとログインできます。
パスワード変更
エックスサーバーにログインする際のパスワードを変更することができます。
わかりやすいパスワードにしている場合は、突破されてしまう可能性がありますので、複雑なパスワードに設定してください。
複雑なパスワードは、ブラウザのGoogleクロームやパスワード生成ツールを利用してください。
パスワード変更は以下の手順で行います。
- 「人型のアイコン」または「表示名」を押す
- パスワード変更」を押す
- 新しいパスワードを二箇所に入力して「パスワードを変更する」を押して完了
WAF(Web Application Firewall)
WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃を防御するための仕組みです。
悪意のある攻撃を検知し、遮断します。これにより、Webサイトの安全性が大幅に向上します。
ただし、不正アクセスを100%駆除することを保証するものではありません。
エックスサーバーでWAFを有効化する方法
サーバーの項目から「サーバー管理」を押します。
- セキュリティ > WAF設定を押します。
- 必要な項目のボタンを押してONにします。
- XSS対策
クロスサイトスクリプティング(XSS)攻撃を防止します。攻撃者が悪意のあるスクリプトをウェブページに挿入するのを防ぎます。 - SQL対策
SQLインジェクション攻撃を防ぎます。攻撃者が悪意のあるSQLコードをデータベースに送信してデータを盗んだり改ざんしたりするのを防ぎます。 - ファイル対策
不正なファイルアップロードを防止します。ウェブサイトに不正なファイルがアップロードされるのを防ぐための対策です。 - メール対策
メールアドレスやフォームに関連する攻撃を防止します。メールアドレスの収集やスパム送信を防ぎます。 - コマンド対策
コマンドインジェクション攻撃を防ぎます。攻撃者がサーバー上で悪意のあるコマンドを実行するのを防ぎます。 - PHP対策
PHP関連のセキュリティ問題を防止します。悪意のあるPHPコードがサーバーで実行されるのを防ぎます。
※WAF設定の追加・変更後、反映まで最大1時間程度かかる場合があります。
SSL化とHTTPS
SSL(Secure Sockets Layer)は、Webサイトとユーザー間の通信を暗号化する技術です。SSLにより、第三者による情報の盗聴や改ざんを防ぎます。
SSLの主な目的
- データの暗号化
ユーザーのブラウザとウェブサーバー間で送受信される情報を暗号化し、第三者による傍受や盗聴を防ぎます。たとえば、ログイン情報や個人情報などが暗号化されることで安全性が向上します。 - データの改ざん防止
通信中にデータが第三者によって変更されていないことを保証します。これにより、正確なデータが送受信されます。 - 認証
サーバーが信頼できるものであることを証明します。SSL証明書を導入しているウェブサイトでは、ユーザーがそのサイトが正規の運営者によるものであると確認できます。
SSL化されたウェブサイトの特徴
- URLが「https://」で始まる
通常の「http://」に「s」がついているのが特徴です。 - ブラウザに鍵マークが表示される
多くのブラウザでは、SSLが有効なウェブサイトでアドレスバーに鍵アイコンが表示され、ユーザーが安全性を確認できます。
SSLの重要性
- セキュリティ対策の基本
ユーザーの個人情報を保護し、ウェブサイトへの信頼性を高めます。 - SEOへの影響
GoogleはSSL化されたウェブサイトを優遇しており、検索結果で上位表示されやすくなります。 - 法的要件の遵守
特にECサイトや個人情報を扱うサイトでは、SSL化が求められる場合があります。
無料SSL証明書の取得と設定手順
無料のSSL証明書を取得するには、エックスサーバーのサーバーパネルにログインし、左側のメニューから以下の操作を行います。
- 「ドメイン」 から「SSL設定」を選択します。
- SSL化したいドメインの右側のボタンを「ON」にして完了です。
設定が反映されるまで数分から数時間かかる場合があります。
WordPress側のSSL化の方法
ご利用のウェブサイトがWordPressの場合は、ダッシュボードからSSLを適用させる設定が必要です。設定するには、はじめにWordPressのダッシュボードにログインします。
- 「設定」>「一般」を押します。
- 「WordPressアドレス(URL)」と「サイトアドレス(URL)」のどちらとも「http」を「https」に変更します。
- 下にスクロールして「変更を保存」を押して完了です。
具体的には、以下のように「http」の後に「s」をつけて変更します。
↓
https://example.com
「WordPressアドレス(URL)」と「サイトアドレス(URL)」のどちらか一方だけを「https」にしてしまうと、ログインできなくなるなど不具合が発生しますのでご注意ください。
設定後、再度ログイン画面になる場合がありますので、ブラウザのURLが「https」になっているかご確認ください。
WordPressセキュリティ設定
エックスサーバーでは、サイト作成ツールのWordPress(ワードプレス)で作成したホームページやブログのセキュリティ設定もできます。
- 「WordPress」>「WordPressセキュリティ設定」
- セキュリティ設定したいWordPressがインストールされているドメインを選択
- 国外アクセス制限、ログイン試行回数制限、コメント・トラックバック制限の右側のON・OFFを選択します(各項目は後述します)。
設定項目は、それぞれ以下のような機能になっています。
- ダッシュボード アクセス制限
WordPressの管理画面(/wp-admin/)へのアクセスを国外IPから制限。 - XML-RPC API アクセス制限
XML-RPCは、外部アプリ(Jetpackプラグイン、モバイルアプリなど)からWordPressに接続するための仕組み - REST API アクセス制限
WordPressの「REST API」へのアクセスを制限。REST APIは、プラグインやテーマがデータをやり取りするのに使われる機能です。 - wlwmanifest.xml アクセス制限
Windows Live Writer(ブログ投稿ツール)用の設定ファイルへのアクセスを制限 - ログイン試行回数制限
短時間に複数回ログインを試みたIPアドレスを一定時間ブロックする機能 - コメント・トラックバック制限
スパムコメントや不要なトラックバック(外部サイトからのリンク)を防ぐ機能です。 - 単一ユーザーからの大量投稿
短時間で大量のコメント・トラックバックを送信する行為を制限 - 国外IPアドレスからの投稿
海外のIPアドレスからのコメント・トラックバックをブロック
自動バックアップ機能
エックスサーバーでは、自動バックアップ機能が標準で提供されています。
サーバー内のデータベースやファイルが定期的にバックアップされ、万が一のトラブルが発生した場合でも復元が可能です。
エックスサーバーでは以下のデータが自動的にバックアップされます。
- データベース
MySQLデータベースが毎日バックアップされ、一定期間保存されます。 - ファイル
サーバー内のWebデータやメールデータも定期的にバックアップされます。
バックアップはサーバー運営側で管理されており、利用者が何もしなくても自動で処理されるため、手間がかかりません。
自動バックアップの注意点
自動バックアップをする際は、以下の点に注意してください。
- 自動バックアップ機能は、完全な保証を提供するものではありません。定期的に手動バックアップするとリスクが軽減できます。
- バックアップデータをダウンロードする際には、保存期間が過ぎる前に行う必要があります。
- 復元する場合は現在のデータをバックアップしておくことを推奨します。
- 自動的にバックアップされたファイルをダウンロードしたい場合は、やや時間がかかります。短時間で終えたい場合は、次の項目で解説している手動バックアップもご検討ください。
自動バックアップの取得・復元
自動バックアップの取得・復元をするには、以下の手順で行います。バックアップを取得と復元する際の表示項目はほぼ同じになっています。
- 「サーバー」 > 「自動バックアップの取得・復元」
- 自動バックアップデータの取得または復元を選択、対象バックアップ日の選択、すべてまたは対象を指定して取得
- 「実行する」を押すと、バックアップデータを作成してくれます。
「履歴」タブを押すと、バックアップ作成の状況を確認できます。
手動バックアップ機能
自動バックアップに加え、必要に応じて手動でバックアップを取ることも可能です。以下の手順で進めます。
- 「サーバー」>「手動バックアップ」
- バックアップを取りたいドメイン名が表示されるまで下にスクロール
ドメイン名以外に表示されている名称では、以下のバックアップができます。
- ホームディレクトリ
エックスサーバーのユーザーごとのデータが格納される最上位ディレクトリ。利用しているサーバー上のすべてのデータをバックアップ - .pki(Public Key Infrastructure)
SSL/TLS証明書の管理に関連するフォルダ(SSH接続用の鍵や証明書)。 - .spamassassin
スパムメールのフィルタリングを行う「SpamAssassin」の設定フォルダ。 - MaildirまたはMaildir.1など
メールデータが保存されているフォルダ。 - ssl
SSL証明書に関するデータが格納されているフォルダ。
バックアップしたい初期ドメインまたは取得したドメイン名の右側にある「作成してダウンロードする」を押すと、バックアップ・ファイルがダウンロードされます。
まとめ
エックスサーバーには、無料SSL、WAF、二段階認証、自動バックアップなど、多くのセキュリティ機能が備わっています。
これらを適切に活用することで、Webサイトの安全性を高め、セキュリティ・リスクを軽減することができます。
設定は比較的簡単なので、ぜひ本記事を参考にしてください。定期的なバックアップやパスワードの見直しもお忘れなく。
