エックスサーバーのセキュリティ対策内容と初期設定、ONにすべき設定項目
人気のレンタルサーバー「エックスサーバー」。
セキュリティ対策も充実していて安心して使えるのですが、
実は、セキュリティ対策として利用できるけれども、最初は「OFF」になっているものもあります。
このページではエックスサーバーで利用できるセキュリティとその設定についてご紹介いたします。
初期設定でOFFになっており、利用するためにエックスサーバー側で有効にする必要がある項目は、目次の見出しに「《★要設定★》」と書いてありますのでご参考ください。
契約済みの方は、ぜひ、サーバーパネルにログインして、現在の設定と見比べながらご覧ください。
サーバー関連のセキュリティ対策
WAF(Webアプリケーションファイアウォール)《★要設定★》
※初期状態は「OFF」です。
エックスサーバーのWAFには以下の6項目があります。
・XSS対策
・SQL対策
・ファイル対策
・メール対策
・コマンド対策
・PHP対策
何もしないとこれら全て「OFF」になっていますので「ON」しましょう。
設定変更はエックスサーバーのサーバーパネルから行ないます。
サーバーパネルにログイン後、右下の「セキュリティ」欄にある「WAF設定」をクリックすると、設定ページが開きます。
最初は全てOFFになっているので、ONにチェックを入れて「確認画面へ進む」、「設定する」をクリックします。
設定変更後、反映されるのに1時間程度かかるようです。
エックスサーバー(Xserverアカウント)にログインしてWAF設定を確認する
Dos/DDos攻撃対策
エックスサーバー公式サイトの「サービスの特長」「機能一覧」ページには記載がないのですが、
Dos/DDos攻撃対策はきちんとなされています。
また、適宜、対策内容が強化されています。
サーバー番号の新しい設備(契約が新しい場合)は、常に最新の状態で用意されていますが、古い設備についてもこのように順次強化されています。
>エックスサーバー(公式)トップページ(News一覧)はこちらからご覧いただけます
国内データセンター
エックスサーバーの設備は国内大手のデータセンター内に設置されています。
電源・空調・防火システムを完備した国内のデータセンターで管理されており、サーバー稼働率が99.99%以上という安定したサーバー環境です。
無料独自SSL
SSLサーバー証明書は「Let’s Encrypt」を使用しています。
「Let’s Encrypt」は有効期間が3ヶ月なので3ヶ月ごとに証明書の更新が必要なのですが、その証明書更新作業はエックスサーバーで実施されています。
また、TLS1.3にも対応済みです。
《TLS1.3対応サービス》
・Webサイトに対する、SSL接続(https)でのアクセス
・ファイルマネージャ
・phpMyAdmin
FTP over SSL
「FTP over SSL」が利用できます。
FTPソフトで接続設定する際、「暗号化」欄で「明示的なFTP over TLS が必要」を選択します。(FileZillaの場合)
FTP制限設定(IPアドレス制限)《★要設定★》
FTP接続を許可するIPアドレスを指定できます。
もしパソコン側(FTP接続する側)が固定IPアドレスを利用しているのであれば、制限設定した方がよいでしょう。
また、IPアドレスの指定は範囲設定もできます。
(「192.0.2.1」~「192.0.2.254」を許可したい場合は「192.0.2.」を入力する)
ファイルマネージャを利用している場合は注意が必要です。
FTP制限設定をした場合、ファイルマネージャが利用できなくなります。
ファイルマネージャを使いたい場合は、許可するIPアドレスに「127.0.0.1」を追加する必要があります。
FTPでアクセス可能なディレクトリを限定する《★要設定★》
FTPアカウント毎でアクセス(ファイルアップロード・ダウンロード)できる範囲を限定することができます。
この制限を使いたい場合は「サブFTPアカウント」としてアカウントを作成する必要があります。
サブFTPアカウントを作成する時に「接続先ディレクトリ」欄で指定します。
WordPress関連のセキュリティ対策
ログイン試行回数制限
短時間に連続してログインに失敗した場合、ログインアクセスを一定時間制限(禁止)する機能です。
初期状態で「ON」になっています。
一旦制限がかかると、解除されるのは24時間後となります。
もし早急にログインロックを解除する必要がある場合、サーバーパネルから「ログイン試行回数制限」を「OFF」にするとログインできるようになります。
この機能がチェック対象とするアクセスは
・wp-admin
・wp-login.php
・xmlrpc.php
の3つのURLです。
国外IPアドレスからのアクセス制限
国外IPアドレス、および、一部の国内ホスティングサービス(国内IPアドレス)からアクセスを制限する機能です。
初期状態で「ON」になっています。
設定項目は3つです。
・ダッシュボード アクセス制限:制限対象はwp-admin/、wp-login.php
・XML-RPC API アクセス制限:制限対象はxmlrpc.php
・REST API アクセス制限:制限対象はwp-json/(プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外)
Xserverを使っていて、海外からWordPressの管理画面にアクセスしたい場合は、以下の2つの項目を「OFF」にする必要があります。
・ダッシュボード アクセス制限
・REST API アクセス制限
国内からの利用であっても、まれに海外IPアドレスと誤認されてWordPress管理画面にアクセスできない場合があります。
また、CloudFlare(クラウドフレア)等の外部サーバーを経由してアクセスするような場合も同様にアクセス制限されることがあります。
そういった時も上記2項目を「OFF」にします。
大量コメント・トラックバック制限
短時間に大量のコメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限する機能です。
初期状態で「ON」になっています。
この制限は、6時間後に自動的で解除されます。
国外IPアドレスからのコメント・トラックバック制限《★要設定★》
国外IPアドレスからのコメント投稿、トラックバックを制限する機能です。
初期状態で「OFF」になっています。
国内からの利用であっても、CloudFlare(クラウドフレア)等の外部サーバーを経由してアクセスするような場合、アクセス制限されることがあります。
メール関連のセキュリティ対策
SMTP-AUTH
SMTP-AUTHが利用できます。
SMTP-AUTHとは、パソコンからメール送信する際に、そのパソコンは不正な端末かどうかをメールサーバーが認証する仕組みです。
SMTP-AUTHはパソコン側のメール設定時に設定します。
具体的には「SMTPサーバー(送信サーバー)」の設定時にID・パスワードを入力欄として用意されていたり、「送信サーバー(SMTP)は認証が必要」等の項目で設定可能です。
国外IPアドレスからのSMTP認証(SMTP AUTH)を制限する
国外IPアドレスからのSMTP認証(SMTP-AUTH)を制限する機能です。
初期設定で「ON」になっています。
国外IPアドレスからの不正なメール送信を制限して、セキュリティを強化するための機能です。
国外からXserverの送信メールサーバーを使う(メール送信を行なう)場合は、「OFF」にする必要があります。
ただ、以下のドメインは対象外になっているため、本機能が「ON」のままでもSMTP認証を使ってメール送信できます。
google.com
outlook.com
hotmail.com
ap-northeast-1.amazonaws.com
ap-northeast-1.compute.amazonaws.com
ap-northeast-3.amazonaws.com
ap-northeast-3.compute.amazonaws.com
アンチウィルス
Xserver上で作成したメールアドレスは、メール受信時に全て自動的にウィルスチェックされます。
ウィルス駆除(アンチウィルス)ソフトは、F-Secure社のソフトを利用しています。
ウィルスが検知された場合、自動的にウィルスは削除されて送信者に対してウィルス検知した旨のメールを送信します。
スパムフィルター《★要設定★》
迷惑メールのチェック機能です。
SpamAssassin (スパムアサシン)を利用しています。
初期状態では「OFF」になっているので「ON」にする必要があります。
ON/OFF設定の他に以下の設定項目があります。
・迷惑メール判定基準:6段階で設定できます。初期状態は「普通」
・日本語を含まない件名に対して判定を厳しくする:初期状態は「OFF」
・HTMLメールに対して判定を厳しくする:初期状態は「OFF」
・ホワイトリスト
・ブラックリスト
POP over SSL、SMTP over SSL、IMAP over SSL
POP over SSL、SMTP over SSL、IMAP over SSLがそれぞれ利用可能です。
>エックスサーバー各プラン(X10/X20/X30)5つの違いとおすすめプラン
>エックスサーバーとエックスサーバービジネスの違い
コメント