エックスサーバーのセキュリティ対策を徹底解説！

エックスサーバーの評判は!? 特徴・メリット・デメリットを徹底解説！

エックスサーバーのセキュリティ対策とは？

Webサイトをインターネット上に公開するということは、様々なセキュリティのリスクを抱えることになります。
特にWordPressは、CMS（コンテンツ管理システム）として世界No.1の人気があるため、不正アクセスのターゲットになりやすいです。

そこで、エックスサーバーは、安心してサイト運営ができるように様々なセキュリティ対策を行っています。

エックスサーバーの主なセキュリティ対策

エックスサーバーの主なセキュリティ対策は、以下の通りです。

• 国外IPアクセス制限設定
• ログイン試行回数制限設定
• コメント・トラックバック制限設定
• WAF設定
• セコムのセキュリティ診断
• FTPセキュリティ
• メールセキュリティ
• 独自SSL

国外IPアクセス制限設定

WordPress管理画面などへの不正アクセスは、国外のIPアドレスから行われることが多いです。

そこで、国外IPアクセス制限設定によって国外IPアドレスからのアクセスを制限することで、不正ログインやDDoS攻撃の踏み台になることを防げます。

ダッシュボード アクセス制限

WordPressのダッシュボード（管理画面）に対する、国外IPアドレスからの接続を制限します。

以下が、ダッシュボードでアクセス制限される箇所です。

• /wp-admin … ダッシュボード のフォルダ
• /wp-login.php … ダッシュボード ログイン時にアクセスするファイル

XML-RPC API アクセス制限

スマホアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC WordPress API」に対する、国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を制限します。

以下が、XML-RPC APIでアクセス制限される箇所です。

• /xmlrpc.php … XML-RPC WordPress API (ファイル)

REST API アクセス制限

他サービス等と連携するための開発者向けの機能「REST API」に対する国外IPアドレスからの接続を制限します。

以下が、REST APIでアクセス制限される箇所です。

• /wp-json … REST APIアクセス時に含まれるURL

ログイン試行回数制限設定

ログイン試行回数制限設定は、短時間に連続してWordPressの管理画面にログイン処理（失敗）が行われた場合に24時間アクセスを制限する機能です。
不正アクセスの定番である「パスワード総当り（ブルートフォースアタック）」による不正アクセスを防止することができます。

「パスワード総当り（ブルートフォースアタック）」とは、ログインできるアカウントとパスワードを解読するため、可能な組合せをっすべて試す方法で、文字通り「総当たり攻撃」です。
人間が行っていると膨大な時間が掛かるので、単純なコンピュータプログラムで自動化して行われます。

コメント・トラックバック制限設定

コメント・トラックバック制限設定では、コメント投稿やトラックバックを制限することができます。

大量コメント・トラックバック制限

WordPressサイトに大量のコメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限します。
制限は、6時間が経過した後、自動的に解除されます。

国外IPアドレスからのコメント・トラックバック制限

国外IPアドレスからのWordPressサイトにコメント投稿、またはトラックバックを制限します。

WAF設定

WAF（Webアプリケーションファイアウォール）は、WordPressなどのWebアプリケーションの脆弱性を悪用した攻撃から、Webサイトを保護することが可能です。

不正アクセスからサイトを保護し、Webアプリケーションの安全性を簡単な設定で向上することができます。

サーバーパネルの設定画面より、対策が必要な以下の項目を設定できます。

XSS（クロスサイトスクリプティング）対策	javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
SQL（SQLインジェクション）対策	SQL構文に該当する文字列が挿入されたアクセスについて検知します。
ファイル（ファイル不正アクセス）対策	.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
メール（メールの不正送信）対策	to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
コマンド（コマンドアクセス／実行）対策	kill、ftp、mail、ping、ls　等コマンドに関連する文字列が含まれたアクセスを検知します。
PHP（PHP関数の脆弱性）対策	session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。

セコムのセキュリティ診断

エックスサーバーでは、ネットワーク上の脆弱性を厳格に診断するために、セコムトラストシステムズ社のセキュリティ診断サービスを導入しています。

セコムトラストシステムズ社は、警備サービス会社として最大手のセコム株式会社を始めとした、セコムグループの一員です。
セコムグループのシステム構築・運用で培った技術力を活かして、トータルな情報・ネットワークサービス事業を展開されています。

長年培った経験とノウハウのあるセコムトラストシステムズ社によって、客観的なセキュリティチェックを、定期的に実施してもらえるので安心です。

FTPセキュリティ

FTPについて以下の機能があります。

FTP over SSL	通信を暗号化し、より安全に送受信ができるFTPSを利用できます。
FTP制限設定	FTPでの接続が可能なIPアドレスを設定し、他のIPアドレスからの接続を制限できます。 Webサイト管理者の端末のIPアドレスを設定しておけば、管理者以外の端末からは接続できなくなります。

メールセキュリティ

メールに関するセキュリティです。

アンチウィルス	ウィルスメールの駆除機能です。
スパムフィルター	特定条件の受信メールを排除する機能です。
POP over SSL	利用しているメールソフトとサーバー間のPOPによる通信を暗号化し、盗聴を防止する仕組みです。
SMTP over SSL	利用しているメールソフトとサーバー間のSMTPによる通信を暗号化し、盗聴を防止する仕組みです。
IMAP over SSL	利用しているメールソフトとサーバー間のIMAPによる通信を暗号化し、盗聴を防止する仕組みです。

独自SSL

エックスサーバーでは、無制限・無料で利用できる「無料独自SSL」が用意されています。
また、サイトシールに対応した証明書や企業認証SSL・EV SSLの証明書を取り扱う「オプション独自SSL」も用意されています。

多くのWebサイトは無料の独自SSLで十分です。

エックスサーバーのセキュリティ対策のまとめ

今回は、エックスサーバーのセキュリティ対策について徹底解説しました。

エックスサーバーの主なセキュリティ対策は、以下の通りです。

• 国外IPアクセス制限設定
• ログイン試行回数制限設定
• コメント・トラックバック制限設定
• WAF設定
• セコムのセキュリティ診断
• FTPセキュリティ
• メールセキュリティ
• 独自SSL

様々な状況を想定したセキュリティ対策が、「完璧」と言って良いくらいされているので安心です。

エックスサーバーがしてくれるセキュリティ対策をした上で、WordPressを最新バージョンにしておくなど、自分でできることを最大限に行ってください。
そうすれば、不正アクセスされる可能性を限りなくゼロに近くできると思います。

なお、エックスサーバーについての全体的な解説は『エックスサーバーの評判は!? 特徴・メリット・デメリットを徹底解説！』をご覧ください。

エックスサーバーの評判は!? 特徴・メリット・デメリットを徹底解説！