「WordPressサイトをエックスサーバーで運営しているけど、セキュリティ設定って何から手をつけていいか分からない…」
「サーバーパネルに『WAF設定』とか『WordPressセキュリティ設定』とかあるけど、これって何?触っても大丈夫?」
国内シェアNo.1の人気を誇るエックスサーバー。その魅力は、表示速度や安定性だけではありません。実は、WordPressサイトを守るための強力なセキュリティ機能が、標準でたくさん備わっているんです。
しかし、多くの人がその機能を十分に活用できていないのが現状かもしれません。「設定が難しそう」「下手に触ってサイトが表示されなくなったら怖い」と感じて、初期設定のままにしている方も多いのではないでしょうか。
はじめに:エックスサーバーのセキュリティ、最大限に活用できていますか?
せっかくエックスサーバーという強力な武器を持っているのに、その性能を最大限に引き出せていないのは、非常にもったいない話です。例えるなら、最新の多機能な防犯システムが家にあるのに、電源の入れ方を知らずに外出しているようなものかもしれません。
この記事では、エックスサーバーを使っているあなたのために、サーバーパネルから設定できるWordPressのセキュリティ機能を、一つひとつ丁寧に、そして「なぜその設定が必要なのか」という理由と共に解説していきます。僕自身がサイトを運営する上で「ここは絶対に押さえておくべき!」と感じるポイントを中心に、初心者の方でも迷わないように、具体的な推奨設定まで踏み込んでご紹介します。
この記事を最後まで読めば、あなたはもうエックスサーバーのセキュリティ設定に迷うことはありません。サーバーの力を120%引き出し、安心してサイト運営に集中できる環境を手に入れましょう!
なぜサーバー側のセキュリティ設定が重要なのか?プラグインだけでは不十分な理由
WordPressのセキュリティ対策というと、多くの人が「プラグイン」を思い浮かべるかもしれません。確かに、「SiteGuard WP Plugin」のような優れたプラグインは、不正ログイン対策などに絶大な効果を発揮します。
しかし、プラグインだけに頼った対策には限界があります。なぜなら、プラグインはあくまでWordPressという「家の中」で働く警備員のようなもの。家に侵入しようとする不審者が玄関のドアをガチャガチャやっている段階では、まだその存在に気づけないのです。
そこで重要になるのが、WordPressが動いている土台、つまり「サーバー側」でのセキュリティ対策です。
サーバー側での対策は、WordPressに攻撃が到達する前の、いわば「家の敷地の入り口」や「玄関の外」で不審者をブロックするようなもの。これにより、WordPress本体やプラグインへの負担を減らし、より根本的なレベルでサイトの安全性を高めることができます。
サーバー対策とプラグイン対策の「多層防御」
セキュリティの世界では、「多層防御」という考え方が基本です。これは、一つの防御が破られても、次の防御で食い止めるという、何重にもわたる防御壁を築く考え方です。
- 第1の壁(サーバー):エックスサーバーの「WAF」や「国外IPアクセス制限」が、怪しいアクセスをWordPressに到達する前にブロック。
- 第2の壁(WordPress):セキュリティプラグインが、ログインページを守ったり、ファイルの改ざんを監視したりする。
- 第3の壁(運用):あなたが強力なパスワードを設定したり、常に最新の状態にアップデートしたりする。
エックスサーバーには、この「第1の壁」を強固にするための機能が、標準で2つも用意されています。
- WordPressセキュリティ設定:国外からのアクセス制限や、総当たり攻撃(ブルートフォースアタック)対策など、WordPressを狙った典型的な攻撃を防ぐ機能。
- WAF(Web Application Firewall)設定:SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を悪用する、より高度な攻撃を検知・防御する機能。
この2つの機能を正しく設定し、さらにプラグインによる対策を組み合わせることで、WordPressセキュリティは飛躍的に向上するのです。
【基本編】WordPressセキュリティ設定:まずはここから押さえよう!
それでは、サーバーパネルにログインして、具体的な設定を見ていきましょう。まず取り組むべきは「WordPressセキュリティ設定」です。これは、WordPressを狙った基本的な攻撃の多くを、簡単な設定でブロックしてくれる非常に強力な機能です。
サーバーパネルにログインしたら、「WordPress」カテゴリの中にある「WordPressセキュリティ設定」をクリックしてください。
1. 国外IPアクセス制限設定:海外からの攻撃を9割以上シャットアウト
WordPressへの不正ログインや攻撃の多くは、海外のサーバーを経由して自動的に行われています。この設定は、そうした海外からの不審なアクセスを、WordPressの重要な機能に到達する前にまとめてブロックしてくれるものです。
- 設定場所:WordPressセキュリティ設定 > 国外IPアクセス制限設定
- 推奨設定:すべてON(有効)
体感ですが、これをONにするだけで、不正アクセスの試みは9割以上減ると言っても過言ではありません。基本的には、以下の4つの項目すべてを「ONにする(推奨)」に設定しておけば間違いありません。
- ダッシュボード アクセス制限:管理画面(/wp-admin/)やログインページ(/wp-login.php)への海外からのアクセスをブロックします。WordPress乗っ取り防止の最重要項目です。
- XML-RPC API アクセス制限:古いスマホアプリなどから記事を投稿するための仕組みですが、現在ではブルートフォース攻撃の温床になっています。使っていなければ迷わずONにしましょう。(※Jetpackプラグインなど一部のプラグインは、この仕組みを利用していますが、エックスサーバー側でJetpackからの通信は許可するようになっているので安心です)
- REST API アクセス制限:比較的新しい仕組みであるREST APIへの攻撃を防ぎます。これもONが推奨です。
- wlwmanifest.xml アクセス制限:Windows Live Writerという古いブログエディタ用の機能ですが、これも今は不要なのでONでOKです。
「海外の読者もいるんだけど…」という方もご安心ください。この設定は、あくまで管理画面などサイトの裏側へのアクセスを制限するだけなので、海外の読者があなたのサイトを閲覧できなくなることはありません。
ホワイトリスト設定とは?
もし、あなたが海外旅行中や出張中に自分のサイトを更新する必要がある場合は、「ホワイトリスト設定」を使いましょう。ここに自分のIPアドレスを登録しておくことで、国外アクセス制限の影響を受けずに済みます。ただし、ホテルのWi-FiなどはIPアドレスが頻繁に変わるため、その都度設定が必要になる場合があることは覚えておきましょう。
2. ログイン試行回数制限設定:しつこい総当たり攻撃(ブルートフォースアタック)対策
これは、短時間に何度もログインに失敗したアクセス元(IPアドレス)を、一定時間ブロックする機能です。パスワードを力ずくで当てようとする「総当たり攻撃」に絶大な効果を発揮します。
- 設定場所:WordPressセキュリティ設定 > ログイン試行回数制限設定
- 推奨設定:ON(有効)
この機能は、SiteGuard WP Pluginの「ログインロック」機能と似ていますが、サーバー側で動作するため、WordPressに負荷をかけることなく攻撃をブロックできるのが大きなメリットです。必ず「ONにする」に設定しておきましょう。万が一、自分でパスワードを間違えてロックされても、24時間後には自動で解除されるので安心です。
3. コメント・トラックバック制限設定:スパムコメントを激減させる
海外から大量に送りつけられる、英語やロシア語の意味不明なスパムコメントに悩まされた経験はありませんか?この設定は、そうした迷惑行為をサーバーレベルで軽減してくれます。
- 設定場所:WordPressセキュリティ設定 > コメント・トラックバック制限設定
- 推奨設定:
- 大量コメント・トラックバック制限:ON(有効)
- 国外からのコメント・トラックバック制限:ON(有効)
「大量コメント・トラックバック制限」は、短時間に大量の投稿があった場合に一時的に制限をかける機能です。これはONにしておきましょう。
「国外からのコメント・トラックバック制限」は、その名の通り、海外からのコメントやトラックバックをすべてブロックします。日本語で運営しているサイトであれば、海外から正当なコメントが来ることは稀なので、これも「ONにする」にしておくことを強く推奨します。これだけで、スパムコメントが劇的に減ることも珍しくありません。
【応用編】WAF設定:より高度な攻撃からサイトを守る「賢い盾」
「WordPressセキュリティ設定」が基本的な防御だとすれば、次にご紹介する「WAF(Web Application Firewall)」は、より高度で巧妙な攻撃を防ぐための、いわば「特殊部隊」のような存在です。
サーバーパネルの「セキュリティ」カテゴリの中にある「WAF設定」をクリックしてください。
WAFは、SQLインジェクションやクロスサイトスクリプティングといった、Webアプリケーションのプログラム上の弱点(脆弱性)を突いてくる攻撃を検知し、ブロックしてくれます。これは、たとえWordPressやプラグインが最新版であっても、まだ発見されていない「未知の脆弱性(ゼロデイ攻撃)」に対してもある程度の効果が期待できる、非常に重要な機能です。
WAFの各設定項目と推奨設定
WAF設定画面には、いくつかの項目が並んでいますが、基本的にはすべて「ON」にしておくのがベストです。それぞれの項目が、どのような攻撃から守ってくれるのかを少し詳しく見てみましょう。
| 設定項目 | 攻撃の種類 | 具体的な防御内容 | 推奨設定 |
|---|---|---|---|
| SQLインジェクション | データベース不正操作 | フォームの入力欄などに不正なSQL文を注入し、個人情報を盗んだり、データを改ざん・削除したりする攻撃を防ぎます。 | ON |
| XSS(クロスサイトスクリプティング) | 不正スクリプト埋め込み | コメント欄などに悪意のあるスクリプトを埋め込み、訪問者のブラウザで実行させてクッキー情報を盗むなどの攻撃を防ぎます。 | ON |
| ファイル不正アクセス | 重要ファイルへの攻撃 | ../ のようなパス指定を悪用して、本来アクセスできないはずのサーバー上の設定ファイルなどを盗み見ようとする攻撃を防ぎます。 | ON |
| メールの不正送信 | 迷惑メールの踏み台化 | お問い合わせフォームなどを悪用して、第三者へ大量の迷惑メールを送信する攻撃を防ぎます。 | ON |
| コマンドアクセス/実行 | サーバー乗っ取り | Webサーバー上で不正な命令(コマンド)を実行させ、ファイルを改ざんしたり、他のサーバーへの攻撃の踏み台にしたりする攻撃を防ぎます。 | ON |
| PHP関数の脆弱性 | PHPの弱点を突く攻撃 | PHPの特定の関数の弱点を悪用して、不正な処理を行わせる攻撃を防ぎます。 | ON |
これらの設定をすべてONにしておくことで、WordPress本体やプラグインに未知の脆弱性があったとしても、攻撃が成功するリスクを大幅に減らすことができます。
【重要】WAF設定の注意点:誤検知と対処法
WAFは非常に優秀ですが、時として、正常な操作を攻撃と間違えてブロックしてしまう「誤検知」が起こることがあります。
例えば、以下のようなケースです。
- 記事を投稿・更新しようとしたら、「403エラー」や「Not Acceptable」と表示されて保存できない。
- プラグインの設定を保存しようとしても、なぜか反映されない。
- 海外製の高機能なプラグイン(特にページビルダー系)が正常に動作しない。
もし、WAFをONにした後でこのような問題が発生した場合は、誤検知を疑いましょう。その際の対処法は以下の通りです。
- 問題の切り分け
- 一度、すべてのWAF設定を「OFF」にしてみて、問題が解決するかどうかを確認します。
- 解決した場合、WAFの誤検知が原因である可能性が高いです。
- 原因の特定
- WAFの設定項目を一つずつ「ON」に戻していき、どの項目をONにすると問題が再発するかを特定します。経験上、「SQLインジェクション」や「XSS」が原因であることが多いです。
- WAFのログを確認
- WAF設定画面には「WAFログ」というタブがあります。ここを見ると、どのルールによってアクセスがブロックされたかの記録が残っています。これをヒントに、原因をさらに詳しく特定できます。
- 対処
- 原因となったWAFの項目だけを一時的に「OFF」にするのが最も簡単な対処法です。ただし、その分セキュリティは低下します。
- より良い方法は、エックスサーバーのサポートに問い合わせて、誤検知されたルールを個別に無効化(除外設定)してもらえないか相談することです。その際、WAFログの情報(検知日時、検知ルールIDなど)を伝えると、スムーズに対応してもらえます。
WAFは強力な反面、少しクセがあることも事実です。しかし、その特性を理解して上手に付き合えば、これほど頼りになる味方はいません。
まとめ:サーバー設定とWordPress設定の「合わせ技」で鉄壁の守りを!
今回は、エックスサーバーに標準で備わっている「WordPressセキュリティ設定」と「WAF設定」について、詳しく解説しました。
改めて、本日のポイントを整理しましょう。
- WordPressセキュリティ設定は、国外IPアクセス制限、ログイン試行回数制限、コメントスパム制限など、基本的な攻撃対策。基本的にすべてON推奨。
- WAF設定は、SQLインジェクションやXSSなど、より高度な攻撃を防ぐための盾。こちらもすべてON推奨。
- WAFは稀に誤検知することがある。その際は、ログを確認し、一つずつ切り分けて原因を特定する。
これらのサーバー側の設定をしっかりと固めた上で、さらにWordPress側でも以下の基本的な対策を行うことで、あなたのサイトのセキュリティは「鉄壁」と呼べるレベルに近づきます。
- WordPress本体、プラグイン、テーマは常に最新版に更新する
- 推測されにくい強力なパスワードを設定する(12文字以上、英数字+記号の組み合わせ)
- 「SiteGuard WP Plugin」などのセキュリティプラグインを導入し、ログインページURLを変更する
- 使っていないプラグインやテーマはこまめに削除する
- 定期的にバックアップを取る(エックスサーバーの自動バックアップ機能も活用しましょう)
セキュリティ対策は、一つの完璧な方法があるわけではありません。サーバー、WordPress、プラグイン、そしてあなた自身の運用方法。これら複数の層で対策を講じる「多層防御」の考え方が、何よりも大切です。
エックスサーバーは、その「多層防御」を実現するための素晴らしい環境を提供してくれています。ぜひ、この記事を参考に、あなたのサイトの守りをもう一段階、レベルアップさせてあげてください。
「うちのサイト、今どのくらい安全なんだろう?」
そんな疑問を持った方は、まずセキュリティ診断を受けてみるのもいいかもしれません。最近では、30秒ほどでサイトの安全性をチェックできる無料診断サービスもあります。暗号化の設定やプラグインの脆弱性、情報漏れのリスクなど、気になるポイントを一通り確認できます。
実は、毎日100サイト以上がハッキングの被害に遭っているという現実があります。「まさか自分のサイトが狙われるなんて」と思っていても、被害は突然やってきます。
早めに問題を見つけて対処しておけば、大きなトラブルを未然に防げます。まずは自分のサイトの「健康診断」から始めてみませんか?