xserverセキュリティ対策WAF設定

xserverで行ったwordpress/webサイトのセキュリティ対策

HanamiWEBオンラインスクールでは

●バーチャル自習室でのリアルタイム質問!

●チャットで質問し放題!

●24時間学び放題のEラーニング教材!

全部ついて 2,500円/月!

私はxserverを使っています。xserverのサーバー管理パネルから簡単にworpdressのセキュリティ対策とwebサイトのセキュリティ対策を強化できるって知っていますか?

知らない方は今すぐサーバーパネルへログインをしてみましょう!

wordpressセキュリティ設定

wordpress簡単インストールを使ってwordrpessをインストールした方も多いのではないでしょうか?同じ項目にある【wordpressセキュリティ設定】はクリックした事ありますか?

xserver wordprrssセキュリティ設定

国外IPアクセス制限

標準で、国外からのアクセスをブロックしてくれています。

xserver wordprrssセキュリティ設定国外IP制限

ダッシュボードアクセス制限

ONにすると、国外からwordrpessダッシュボードへのアクセスを禁止できます。

アクセスが制限される箇所
・/wp-admin … ダッシュボード のフォルダ
・/wp-login.php … ダッシュボード ログイン時にアクセスするファイル

xserver

XML-RPC APIアクセス制限

XML-RPCって?

スマートフォンアプリや外部のシステムから記事を投稿したり画像をアップしたりする際に使われる通信プロトコルの事です。WordPressのPingback機能など、様々な部分に使われているプロトコルで、worpdressの初期値ではこの機能が有効になっています。

ユーザ名やパスワードのリストを作成して、ログイン攻撃をする事が出来てしまうんです。

XML-RPC自体はwordpressで必要な機能ですが、海外から利用する事を許可しておく必要はないので、こちらもONにしておきます。

アクセスが制限される箇所
・/xmlrpc.php … XML-RPC WordPress API (ファイル)

xserver

REST APIアクセス制限

REST APIって?

こちらもスマートフォンアプリや外部のシステムからwordpressを使うために利用するAPIになります。初期値はONになっているので、そのままONにしておきます。

アクセスが制限される箇所
・/wp-json … REST APIアクセス時に含まれるURL

xserver

もしも海外からwordpressへアクセスをする必要がある場合、OFFにします

ログイン試行回数制限設定

ログインを間違えるとロックがかかって一定期間ログインできなくなる機能です。

もしもログインパスワードがわからなくなり何度もログイン試行してロックがかかってしまっても、24時間すれば解除され再度ログインできるようになります。

または、こちらの設定を【OFF】へ一時的に切り替える事でログインロックを解除できます。 

xserver wordprrssセキュリティ設定ログイン試行回数ロック

コメント・トラックバック制限設定

大量のコメントやトラックバックが行われた場合に制限をかけます。6時間で制限解除がされます。

国外IPからのコメントやトラックバックを制限します。ここで注意が必要なのは、今までご紹介をしてきた他の項目はすべて推奨設定だったのですが

国外IPからのコメントやトラックバックの制限だけは推奨設定になっていません

国外からのコメントやトラックバックが不要な方、国外からのコメントやトラックバックに困っている方は推奨設定であるONに変更をしましょう。

xserver wordprrssセキュリティ設定コメントトラックバック設定

WAF設定

xserverサーバーパネルにあるセキュリティ項目にある【WAF設定】

xserverセキュリティ対策WAF設定
xserverセキュリティ対策WAF設定

初期設定ではすべてOFFになっています。

WAFって?

Web Application Firewallの略。
Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策の事です。

  • 不正ログイン
  • ハッキング

等に対して有効化セキュリティ対策です。

XSS対策

javascriptなどのスクリプトタグが埋め込まれたアクセスに対して有効な機能です。

掲示板など、第3者がwordpress上に書き込んだ情報を表示する機能があるサイトに有効です

SQL対策

SQL構文に該当する文字列が挿入されたアクセスを検知検出。

会員制サイトやメルマガ登録など、データベースを使うプラグインを利用している場合に有効です。ほとんどのプラグインはデータベースを利用していると思うので、ONにすることをお勧めします。

ファイル対策

.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知。

画像のアップロード機能付き掲示板や、ファイルに何かしらの操作を加えるプラグインを利用してる場合に有効な機能です。

メール対策

to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知

お問い合わせフォームなど、メール機能を使う使うサイトではONにしておくことをお勧めします。

コマンド対策

kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知

PHPやPerl等で作成されコマンド実行を利用するプラグインを利用している場合に有効なので、プラグインは基本的にPHPを使っているのでONにしておくことをお勧めします。

PHP対策

session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知

PHPを利用するプラグインを利用している場合に有効なので、プラグインは基本的にPHPを使っているのでONにしておくことをお勧めします。

WAF設定をすると

反映待ちになります。1時間ほどで反映されます。

xserverセキュリティ対策WAF設定

xserverのwordpress/webサイトセキュリティについてまとめ

いかがでしょうか?xserverではwordpressのセキュリティ対策機能があります。

wordpressのセキュリティ大丈夫?セキュリティプラグインは何が良いの?

皆様が感じる疑問だと思います。本記事で紹介をしたセキュリティ対策はxserverを使えばできています。重複してセキュリティ対策をする必要なないので、セキュリティプラグインもよく考えてから設定をしてくださいね!

以前書いた記事です。xserverを利用していない方にも参考になると思います!

セキュリティ対策を行ったら、SEO対策も行いましょう!

ホームページのリスキリングはお任せください!

2019年よりWordPressやホームページに関するスキルシェアを行ってきました。事例やノウハウが蓄積され、スピーディーかつ的確にお悩みを解決へと導く事を得意としています。ホームページに関するお悩みがございましたら、LINE公式アカウントよりお気軽にご相談ください!

↑クリックするとLINE公式が開きます

新着記事

SPF と DKIM と共に有効な DMARK ポリシーを併用してメールの認証設定方法
WordPressにログインできない?
【Hbook】When using Stripe you need to add a Required Country Field in the Details form. エラーの対処法
検索結果にサイト名(会社名)が表示されない
WP Rocket - WordPress Caching Plugin