サーバーに必要なセキュリティ対策

2019年11月10日SEの日常, ブログ運営

この記事は約 5分で読み終わります。

こんにちは、ばらかん(@barakam63)です。

今回は、サーバーに必要なセキュリティ対策について解説します。

個人でWebサービスやブログを運営していて、レンタルサーバーを利用している方も多いと思います。本記事ではレンタルサーバーで有名なエックスサーバーのセキュリティ対策について解説します。

こんな疑問にお答えします。

● レンタルサーバーでサイトの運営をしてるけどセキュリティ対策は大丈夫?
● レンタルサーバーを利用しているけどセキュリティ対策は何をすれば良いの?

スポンサーリンク

エックスサーバーでできるセキュリティ対策の種類

エックスサーバーでは以下の設定を行うことで、セキュリティ対策を行うことができます。

大きくサーバー本体、WordPressに分類できます。

サーバー本体

● WAF設定

WordPress関連

● 国外IPアドレス制限設定
● ログイン試行回数制限設定
● コメント・トラックバック制限設定

サーバー本体のセキュリティ対策

WAFとは?

WAFはウェブアプリケーションファイアウォールの略です。WAFはサーバーの前に立つ警備員さんのイメージです。サーバーにアクセスしようとする通信が不正なものではないか検知します。

WAFの利点はWebサービス自体にセキュリティ上の問題があっても、Webサービスに到達する前に不正アクセスを検知します。

WAF設定手順

WAF設定はエックスサーバーのサーバーパネルから設定ができます。

1. サーバーパネルにログインし、「WAF設定」を選択します。

2. 対象のドメインを選択します。

3. すべての項目を「ON」にし、「確認画面へ進む」を選択します。

4.「設定する」を選択して完了です。

設定するを押した後に状態が「反映待ち」となるので、状態が「ON」になるまで時間を空けましょう。

WordPressのセキュリティ対策

エックスサーバーではWordPressを簡単にインストールでき、ブログ運営で利用している方も多いと思います。

ところが、WordPressは攻撃者から狙われやすいという事実もあります。そのため、WordPressのセキュリティ対策は必ず行いましょう。

国外IPアドレス設定制限

不正アクセスは国外からのものがほとんどであると言われています。

国外IPアドレス設定制限をすることで国外からの不正アクセスを防止することが可能になります。エックスサーバーではデフォルト設定でONになっていますが確認方法をご紹介します。

1. サーバーパネルの「WordPressセキュリティ設定」を選択します。

2. 設定するドメインを選択します。

3. 「国外IPアクセス制限設定」タブを選択し、すべて「ON」にします。

4. 「設定する」を選択し完了です。

ログイン試行回数制限設定

ログイン試行回数制限設定は短時間の間に連続してログインに失敗した場合にアクセス制限がかかるように設定します。スマートフォンでログインを失敗すると一定の時間が経過するまでロック画面を解除できなくなるのと同じです。

エックスサーバーの場合には24時間経過したらアクセス制限は解除されます。設定は国外IPアクセス制限設定の隣にあるので、タブを移動して「ON」に設定しましょう。

コメント・トラックバック制限設定

大量のコメントやトラックバックによってサーバーダウンを狙う攻撃に対して有効な設定になります。こちらもログイン試行回数制限設定の隣に設定箇所があるため、すべて「ON」にしましょう。

その他のセキュリティ対策

ここまでご紹介したセキュリティ対策はエックスサーバーのサーバーパネル画面からできる設定になります。他にもやっておくべきセキュリティ対策をご紹介します。

WordPressとプラグインは常に最新のバージョンを利用する。

WordPressに限らずソフトウェア全般に言えることですが、最新バージョンがリリースされていたら必ず更新しましょう。新しいバージョンがリリースされる理由は脆弱性の修正やバグの修正などがほとんどです。そのため、WordPressやプラグインは必ず最新バージョンを利用するようにしましょう。

不要なプラグインは削除する

有効化していないプラグインは削除しましょう。プラグインの脆弱性を狙った攻撃もあるため、一度プラグインの一覧を確認し、何のために使っているか分からないプラグインや有効化していないプラグインは削除しましょう。

ニックネームを設定する

WordPressをインストールしたときにログインIDを設定したと思いますが、そのIDがブログ記事の右下にある「投稿者名」に記載されている可能性があります。(Posted by ●●のところ)

わたしもWordPressを利用し始めた時は気づかなかったのですが、ニックネームを設定していない状態だと記事の投稿者名がログインIDになっている可能性があります。

WordPressダッシュボードの右上にあるアイコンにマウスを当てるとこのような画面が表示されます。ここで「プロフィールを編集」を選択します。

プロフィール編集画面には設定項目の中にに「ニックネーム」と「ブログ上の表示名」があるので、ブログ上の表示名がログインIDでなければ大丈夫です。

もし、ログインIDになっている場合は以下の手順で設定してください。

1.「ニックネーム」を入力し、「プロフィールを更新」を選択する

2.「ブログ上の表示名」で「ニックネーム」を選択し「プロフィールを更新」を押す

セキュリティ対策のまとめ

セキュリティ対策はインターネットを利用する上では必須です。サイバー攻撃は今後も進化していきます。もはやセキュリティ対策は生活する上での必須項目とも言えるでしょう。

本記事ではエックスサーバー、WordPressについて説明しましたがこの他にも色々とやれることがあります。「ウイルス対策ソフトをインストールしたから」、「ソフトウェアは常に更新しているから」で満足することなく、セキュリティ対策へのアンテナを立てておく必要があるでしょう。

それでは、最後まで読んでいただきありがとうございました

ではでは、('ω’)ノ

スポンサーリンク