エックスサーバーセキュリティ対策
エックスサーバーのセキュリティ対策を徹底解説!
エックスサーバーのセキュリティ対策って何?
エックスサーバーには、どんなセキュリティ対策があるの?
今回は、エックスサーバーに関する、上記のような疑問にお答えします。
本記事の内容
- エックスサーバーのセキュリティ対策とは?
- エックスサーバーの主なセキュリティ対策
本記事の執筆者
こんにちは、ホームページ自作ラボ管理人のリュウです。
私は、現役のWebデザイナーとして、ホームページ制作会社の代表をしています。
本記事は、以下のような人にオススメです
- エックスサーバーのセキュリティ対策について知りたい
- エックスサーバーが自分に向いているかを判断したい
本記事を読むことで、エックスサーバーのセキュリティ対策について知ることができ、エックスサーバーがあなたに向いているレンタルサーバーかどうかの判断材料になります。
結論を先に言うと
エックスサーバーのセキュリティ対策は、様々な状況を想定したセキュリティ対策が、「完璧」と言って良いくらいされているので安心です。
では、エックスサーバーのセキュリティ対策について徹底解説していきます!
なお、エックスサーバーについての全体的な解説は『エックスサーバーの評判は!? 特徴・メリット・デメリットを徹底解説!』をご覧ください。
エックスサーバーの評判は!? 特徴・メリット・デメリットを徹底解説!
このページの目次
エックスサーバーのセキュリティ対策とは?
Webサイトをインターネット上に公開するということは、様々なセキュリティのリスクを抱えることになります。
特にWordPressは、CMS(コンテンツ管理システム)として世界No.1の人気があるため、不正アクセスのターゲットになりやすいです。
そこで、エックスサーバーは、安心してサイト運営ができるように様々なセキュリティ対策を行っています。
エックスサーバーの主なセキュリティ対策
エックスサーバーの主なセキュリティ対策は、以下の通りです。
- 国外IPアクセス制限設定
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
- WAF設定
- セコムのセキュリティ診断
- FTPセキュリティ
- メールセキュリティ
- 独自SSL
国外IPアクセス制限設定
WordPress管理画面などへの不正アクセスは、国外のIPアドレスから行われることが多いです。
そこで、国外IPアクセス制限設定によって国外IPアドレスからのアクセスを制限することで、不正ログインやDDoS攻撃の踏み台になることを防げます。
ダッシュボード アクセス制限
WordPressのダッシュボード(管理画面)に対する、国外IPアドレスからの接続を制限します。
以下が、ダッシュボードでアクセス制限される箇所です。
- /wp-admin … ダッシュボード のフォルダ
- /wp-login.php … ダッシュボード ログイン時にアクセスするファイル
XML-RPC API アクセス制限
スマホアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC WordPress API」に対する、国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を制限します。
以下が、XML-RPC APIでアクセス制限される箇所です。
- /xmlrpc.php … XML-RPC WordPress API (ファイル)
REST API アクセス制限
他サービス等と連携するための開発者向けの機能「REST API」に対する国外IPアドレスからの接続を制限します。
以下が、REST APIでアクセス制限される箇所です。
- /wp-json … REST APIアクセス時に含まれるURL
海外から管理画面にアクセスすることがないのであれば、国外IPアクセス制限を設定しておきましょう。
例外は、仕事の都合などで、海外からWordPressの管理画面に入る場合とかですよね。
ログイン試行回数制限設定
ログイン試行回数制限設定は、短時間に連続してWordPressの管理画面にログイン処理(失敗)が行われた場合に24時間アクセスを制限する機能です。
不正アクセスの定番である「パスワード総当り(ブルートフォースアタック)」による不正アクセスを防止することができます。
「パスワード総当り(ブルートフォースアタック)」とは、ログインできるアカウントとパスワードを解読するため、可能な組合せをっすべて試す方法で、文字通り「総当たり攻撃」です。
人間が行っていると膨大な時間が掛かるので、単純なコンピュータプログラムで自動化して行われます。
コンピューターを使って、管理画面にログインしようとされるなんて怖いですね。
パスワード総当りは、思っている以上に多いです。でも、エックスサーバー側でも対策してくれているので、必要以上には心配しなくて大丈夫です。
コメント・トラックバック制限設定
コメント・トラックバック制限設定では、コメント投稿やトラックバックを制限することができます。
大量コメント・トラックバック制限
WordPressサイトに大量のコメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限します。
制限は、6時間が経過した後、自動的に解除されます。
国外IPアドレスからのコメント・トラックバック制限
国外IPアドレスからのWordPressサイトにコメント投稿、またはトラックバックを制限します。
WAF設定
WAF(Webアプリケーションファイアウォール)は、WordPressなどのWebアプリケーションの脆弱性を悪用した攻撃から、Webサイトを保護することが可能です。
不正アクセスからサイトを保護し、Webアプリケーションの安全性を簡単な設定で向上することができます。
サーバーパネルの設定画面より、対策が必要な以下の項目を設定できます。
XSS(クロスサイトスクリプティング)対策 | javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。 |
---|---|
SQL(SQLインジェクション)対策 | SQL構文に該当する文字列が挿入されたアクセスについて検知します。 |
ファイル(ファイル不正アクセス)対策 | .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。 |
メール(メールの不正送信)対策 | to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。 |
コマンド(コマンドアクセス/実行)対策 | kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。 |
PHP(PHP関数の脆弱性)対策 | session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。 |
セコムのセキュリティ診断
エックスサーバーでは、ネットワーク上の脆弱性を厳格に診断するために、セコムトラストシステムズ社のセキュリティ診断サービスを導入しています。
セコムトラストシステムズ社は、警備サービス会社として最大手のセコム株式会社を始めとした、セコムグループの一員です。
セコムグループのシステム構築・運用で培った技術力を活かして、トータルな情報・ネットワークサービス事業を展開されています。
長年培った経験とノウハウのあるセコムトラストシステムズ社によって、客観的なセキュリティチェックを、定期的に実施してもらえるので安心です。
FTPセキュリティ
FTPについて以下の機能があります。
FTP over SSL | 通信を暗号化し、より安全に送受信ができるFTPSを利用できます。 |
---|---|
FTP制限設定 | FTPでの接続が可能なIPアドレスを設定し、他のIPアドレスからの接続を制限できます。 Webサイト管理者の端末のIPアドレスを設定しておけば、管理者以外の端末からは接続できなくなります。 |
メールセキュリティ
メールに関するセキュリティです。
アンチウィルス | ウィルスメールの駆除機能です。 |
---|---|
スパムフィルター | 特定条件の受信メールを排除する機能です。 |
POP over SSL | 利用しているメールソフトとサーバー間のPOPによる通信を暗号化し、盗聴を防止する仕組みです。 |
SMTP over SSL | 利用しているメールソフトとサーバー間のSMTPによる通信を暗号化し、盗聴を防止する仕組みです。 |
IMAP over SSL | 利用しているメールソフトとサーバー間のIMAPによる通信を暗号化し、盗聴を防止する仕組みです。 |
独自SSL
エックスサーバーでは、無制限・無料で利用できる「無料独自SSL」が用意されています。
また、サイトシールに対応した証明書や企業認証SSL・EV SSLの証明書を取り扱う「オプション独自SSL」も用意されています。
多くのWebサイトは無料の独自SSLで十分です。
独自SSLは、サイトそのものを保護する機能ではありません。問い合わせフォーラムなどから送信された情報が、改ざんされたり漏洩したりするのを保護してくれる技術です。
SSL化は、個人情報保護だけでなく、SEOのためにも必須ですよね。
エックスサーバーのセキュリティ対策のまとめ
今回は、エックスサーバーのセキュリティ対策について徹底解説しました。
エックスサーバーの主なセキュリティ対策は、以下の通りです。
- 国外IPアクセス制限設定
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
- WAF設定
- セコムのセキュリティ診断
- FTPセキュリティ
- メールセキュリティ
- 独自SSL
様々な状況を想定したセキュリティ対策が、「完璧」と言って良いくらいされているので安心です。
エックスサーバーがしてくれるセキュリティ対策をした上で、WordPressを最新バージョンにしておくなど、自分でできることを最大限に行ってください。
そうすれば、不正アクセスされる可能性を限りなくゼロに近くできると思います。
なお、エックスサーバーについての全体的な解説は『エックスサーバーの評判は!? 特徴・メリット・デメリットを徹底解説!』をご覧ください。