【第4回】サーバーパネルで設定しておくべきセキュリティ項目「ワードプレス作成講座」

この記事では、サーバーパネルで設定しておくべきセキュリティ項目についてご説明致します。動画で見る方は下記をご覧ください。

エックスサーバーの申し込み後

エックスサーバーのサーバーパネルで、主に「設定しておくべきセキュリティの項目」についてお伝えしていきます。

先ほどの画面でエックスサーバーに申し込んだ後、こんなタイトルのメールが届きます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【Xserver】■重要■ サーバーアカウント設定完了のお知らせ[試用期間]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

---

▼サーバーアカウント情報

サーバーID　： 申し込んだ時にご自分で決めた文字列
サーバーパスワード　： ランダムに付与
サーバー番号　： sv○○○○サーバー
初期ドメイン　　： サーバーID.xsrv.jp
サーバーパネル： https://www.xserver.ne.jp/login_server.php

※試用期間中は、下記機能が制限されます。
・メールアカウントの作成
・その他プログラムを用いたメール送信全般
・追加FTPアカウントの作成

↑これです↑

メール文面の一部を抽出して説明します。この内容がコントロールパネルの情報です。

そこにはサーバーID（申し込んだ時にご自分で決めた文字列）、サーバーパスワード（エックスサーバーがランダムに与えてくれます）があります。

エックスサーバーがすべて「sv〇〇〇〇.xserver.jp 」（◯には数字が入ります）というように、順番にサーバーを割り当ててくれるんですね。

---

初期ドメインがサーバーIDです。
申し込んだ時にご自分で決めた文字列がサーバーIDのことです。
これが初期ドメインということになります。

もちろんの初期ドメインというだけで、これがホームページアドレスになるということではありません。

ホームページアドレスは別でドメインの申し込み契約をしますと、ドメインはこのサーバの中にいくつでも入れることができます。

例えば弊社でしたら、「webroad.co.jp」のドメインをエックスサーバーに設置しているのですが、他にも、例えばサッカークラブのサイトも同じサーバーで運用したいとなったときには、そのサッカークラブのドメインを追加で同じサーバーの中に入れることも可能です。

次に、サーバーパネルへのログイン ID とパスワードです。
これを入力してログインボタンを押せば、申込契約をしたサーバーの管理画面に入ることができます。

メールにも明記されていますが、試用期間中は入金するまでは下記の機能が制限されます。

メールアカウントの作成
その他プログラムを用いたメール送信全般
サブFTPアカウントの追加

ここで、「FTPアカウント」が難しい用語として出てきます。
「FTPアカウント」があれば、誰でも直接ホームページを触ることができますが、
試用期間中は管理者以外の方には「FTPアカウント」の追加ができないということです。

エックスサーバーからログインの情報が来れば、実際にログインしたらどんな感じの管理画面になっているか、YouTube の画像から少し私のサーバーパネル画面をお見せしたいと思います。

サーバーパネルを見てみよう

こちらがエックスサーバーの「サーバーパネル」と呼ばれる画面です。

現在の設定対象ドメイン「webroad.co.jp」で弊社のドメインになっています。

このサーバーパネルというのは契約してホームページを作る時にちょっとだけ触って、後は触らないっていう場合も結構多いのですが、実際いろんな機能が追加されて新しいセキュリティを導入されたりしています。

エックスサーバーでは、そういう情報が結構充実して日々アップグレードされていますので、ぜひ色々見て欲しいと思います。

こういう感じにサーバーパネルの中は分かれているんです。

アカウント項目で、ホームページに関連する項目でWordPressは独立した項目としてあります。

他にはちょっと難しいんですが、PHP、データベース、FTPなどもあります。

メール関係の設定やドメイン関係の設定項目もありますし、アクセス解析もサーバー機能に付いています。

あと高速化とかセキュリティなどありますが、全部が全部触らないといけないということはありませんので安心してください。

触るのは半分もないぐらいです。
2割～3割くらいしか僕も触っていませんので、ほとんどが気にしなくてかまいません。

ただ、最初に設定しておいた方が良い部分があります。
特にセキュリティに関係するところなのですが、以下セキュリティの設定項目ということで説明していきます。

セキュリティの設定項目

・二段階認証設定をONにする

まず、行っていただきたいのはアカウントの2段階認証設定です。

IDとパスワードでログインするだけでは、1段階のログインなのです。
それにもう一重に鍵をかけようというのが2段階認証です。

最近GoogleのGmailでも2段階認証を推奨していますので、ご存知の方も増えてきていると思うのですが、これを「利用する」に変更しておいて欲しいのです。

そうすると、侵入者に第一段階目のログインを突破されても、さらに追加の認証をしなければ実際の管理画面にはログインできない状態になるのです。

例えば、うっかり僕がこの動画講座の中でIDとパスワードを画面に映してしまって誰かがログインしようと試みたとしても、2段階認証設定をしておけばそのログインに対して僕のスマホでさらに認証しないとログインできない状態になるんです。

これはすごく安心な機能なので、ぜひ利用しておいて欲しいと思います。

この2段階認証の設定方法ですが、エックスサーバーのマニュアルページに2段階認証の方法が書いています。

https://www.xserver.ne.jp/manual/man_order_twostepauth.php

この手順に沿ってやっていくっていうことなのですが、これはこのページに説明を委ねます。

・WordPressセキュリティ設定をONにする

続いて、初期状態で設定しておいた方がいいセキュリティ項目なのですが、サーバーパネルの左側メニュー項目の下の方にWordPressセキュリティ設定という項目があります。

この設定を開けてみますと、国外IPアクセス制限設定とありまして、今選択しているドメインに対してセキュリティをオンの状態にできるのです。

初期状態が「オフ」になっていますので、この画面を開けて「オン」にして、設定するにしておいてもらえればと思います。

これだけでも少しWordPressのセキュリティが上がりますので、この設定も忘れずにやっておいてください。

・FTP接続許可IPアドレスを設定する

3番目のセキュリティの設定の項目としまして、FTP接続制限があります。

これは、このサーバーのFTPですね。
WordPressの修正などができるサーバーの場所にアクセスしようと思えば、このIPアドレス以外のIPアドレスからは接続できないということにしておきます。

これだけでもかなり安心できますよね。

契約したサーバーにアクセスするのも、主にパソコンからアクセスしませんか？
ご自身のお持ちのパソコンからご契約されているインターネットプロバイダーのパソコンを経由してこのサーバにアクセスして来ることになりますが、そのインターネットプロバイダーで付与され、自分のパソコンに付けられたアドレスがIPアドレスと思っておいてください。

その自分のIPアドレスの確認方法をここで次にやっていきます。

自分のIPアドレスを調べるのは簡単です。
Google検索で「IPアドレス」と検索するとこんなサイトが出て来ます。

このサイトをクリックしますと、ここにドーンと的確表示されているのが今まさにあなたが接続しているプロバイダーのIPアドレスなのです。

つまり、あなたが使っているIPアドレスということです。

ここではサンプルの数字を書いていますが、ここのサイトにアクセスした人ごとに全く異なっていますので、この数字をコピーして、接続許可IPアドレス追加のところに貼り付けて登録します。

そうすると、ここで設定したIPアドレス以外のアクセスは、すべてブロックしてくれることになるのです。

これも一つセキュリティ強化の重要な部分なんで、IPアドレスの接続制限はやっておかないといけないということです。

・WAF設定をONにする

4番目としまして、このWAF設定ですね。これも見ていきたいと思います。

サーバーで僕が確認したところ、初期状態が全部オフになっています。

ですから6項目全部をオンに変えて、確認画面に進んでこれを登録しておきます。

WAFというのがWeb　Application　Firewallというもので、これを設定しておけばある程度インターネットからの攻撃を防いでくれ、検知してくれる設定ができるようです。

エックスサーバーのマニュアルにWAF設定の詳しい説明がありますので、もしご興味のある方はこの辺り読んで参考にして頂いたらいいと思います。

まずはこの4つくらいをしておくとだいぶセキュリティ固くなると思いますので、これだけ早めに対応しておいてください。

SSL（https://～）のサーバー側設定

・ホームページアドレスがhttpsになる
・WordPress側の変更も必要
・設定後、数時間で完了する。
・ドメイン全体に適用される

httpsはサーバー側の設定です。

サーバ側の設定と書いているのですが、WordPressの管理画面でも設定しなければなりません。

サーバー側の設定は、エックスサーバーのコントロールパネルで設定するのですね。

ホームページのアドレスが設定によってhttpsで始まるホームページになると、訪問者が見たときに「きちんと保護されているサイト」になります。

アドレスバーをクリックしたときに「保護されているサイト」というのが分かるようになりますので、ご自身も安心ですし、実際にサイトを使って情報送信したり、ページを閲覧するお客様にとっても、保護されている状態での閲覧・操作は安心できるものになります。

すでに、ホームページの運営管理では https つまり SSL の設定はもはや当たり前のものになっていますので、この設定は必ず必要です。

ホームページを事業者が運営していくためには必ず知っておいて欲しいと思います。

この設定は数時間で完了すると書かれていたりしますが、僕は何回かこの設定をやっていますが、早ければ1時間ぐらいで完了するようです。

この設定を1回しておくとドメイン全体に適用されますので、どのページも「https」で始まることになります。

これはトップページだけしかSSL に変わらないということではなく、新しくページ追加したり、もちろん追加したページに対してもhttpsで始まるアドレスになります。
過去のページもすべてhttpsになります。

これもさっきのエックスサーバーのコントロールパネルから見てみましょう。

エックスサーバーのコントロールパネルのhttpsの設定は下記です。

ドメインのSSL設定というのがあり、SSL用アドレス欄を見ると「https://～」で始まっていることが確認できます。

設定していない人はやりましょう！といういうことなのですが、1つだけ注意があります
個別に投稿ページなどで入力してhttp～で書いている情報は、すべてhttpsに手書きで書きなおさないといけません。

ここがこのhttpからhttpsにする時の一つ面倒なところです。

多くのサーバで無料になっていますけれども、前回の動画でお話ししたみたいに大手のサーバですとこれが有料のところが結構ありますので、そのあたりはよくサーバーのそのサービス内容とかをチェックして申し込んでほしいと思います。

次に、ドメイン設定というところを見ていこうと思います。

エックスサーバーでドメインを追加するときこれはサーバー契約なんで、ドメインは別で契約しないとできません。

そのドメインを、例えばここに書いているように「example.com」というのが自分のドメインとして契約した時に、この「example.com」をここに入れて確認画面へ進む形で、サーバーの中にドメインを登録するという作業が必要なのです。

その時、下にチェックマーク2つ入ってますよね？

初期状態ではチェックマーク入ってるので、上記で説明していたSSLの設定画面からわざわざ設定する手間が省けます。

最初にエックスサーバーと契約してドメインを決めて登録するときは、いきなりもSSLのホームページアドレスになっています。
この辺りはだんだんサーバーの使い勝手がよくなって楽になってきているところだと感じています。

セキュリティに関しましてはこれで完璧ということではないのですが、上記のような内容を設定しておきますと多くの場合であなたのサイトを外敵から守ってくれることになります。

エックスサーバーのサービスを確認する方はこちら

こちらが最新情報です