エックスサーバーを契約後にやっておく設定まとめ（メアド、セキュリティ設定など）

この記事は「ドメインの新規取得からサーバーへのWordPressインストールまでの一連の流れ」を紹介していくシリーズで、今日は4回目です。

前回までの記事でエックスサーバーの契約も終わり、お名前.comで取得したドメインが利用できるようになったら、あとはWordPressをインストールしてブログをスタートするだけ!・・・なんですが、その前にちょっとやっておきたいサーバー側の設定について今回記事にまとめました。

WordPressインストール前にエックスサーバーで何をやっておくのか？

何をやっておいた方がいいのかを先にリストアップします。

他にもまだあるかもですが、WordPressをインストール前に最低限やっておいた方が良いものだけに絞っています。それでは1個ずつ見ていきますね★

エックスサーバーでメールアドレスの作成

WordPressのインストール用にメールアドレスを作成しておきます。

WordPressのインストールにはメールドレスが必要です。この辺はGmailでやる人もいるかもなので必須の設定ではないですが、わたしの場合は複数ブログがあるので、ドメイン別にメールアドレスを作成してWordPressのユーザーに割り当てるようにしています。（その方が結果的に管理しやすかったため）

・・・

エックスサーバーのサーバーパネルへログインして、

www.xserver.ne.jp

 

19 Users

54 Pockets

サーバーパネル - ログイン | レンタルサーバー【エックスサーバー】

https://www.xserver.ne.jp/login_server.php

メールアドレスの作成などサーバーの設定を行う管理ツールです。

サーバーパネルで「メールアカウント設定」をクリックします。

ドメインを選択して、

メールアカウント追加をクリックします。

「メールアカウント 」「パスワード」「パスワード（確認）」「容量」「コメント」をそれぞれ入力し、「確認画面へ進む」ボタンをクリックします。

入力内容を確認して「追加する」ボタンをクリックします。

メールアドレスの追加が完了しました。

WEBメールを利用する

エックスサーバーにはWEBメール専用のログインフォームがあるのでそちらへ進み、

www.xserver.ne.jp

 

14 Users

23 Pockets

WEBメール - ログイン | レンタルサーバー【エックスサーバー】

https://www.xserver.ne.jp/login_mail.php

ブラウザからメールを送受信するための管理ツールです。

上記で作成したメールアドレスとパスワードでログインします。

メインパネルにアクセスできたらWEBメールリンクをクリックします。

これでウェブメールが確認することができます。

以上でメールアドレスの設定は完了です。で、次はとても重要なセキュリティ対策のお話です。

エックスサーバーのWAF設定（セキュリティ対策）

WordPressは外部からとても攻撃されやすい（狙われやすい）アプリケーションなんで、いろいろとセキュリティ対策をやっておく必要があります。その1つが、エックスサーバーでも標準装備されているWAF設定です。

WAFとは「ウェブ・アプリケーション・ファイアウォール」の略で、簡単にいうとブログに対する外部からのさまざまな攻撃を防御してくれるセキュリティツールのことです。

具体的にどんな攻撃をどうやって防ぐのか？については、ここで全部説明するのは難しいので・・・エックスサーバーで用意されているWAF設定項目を1つずつ見ながら、必要なところを解説していくようにします。

①XSS対策
「クロスサイトスクリプティング対策」とも呼ばれます。クロスサイトスクリプティングとは、悪意のあるjavascriptなどのスクリプトタグを埋め込んで実行させようとする攻撃のことでです。個人ブログであっても普通に狙われる攻撃なので、必ず防いでおいた方がよいでしょう。

下でも紹介するSQL対策とも関係しますが、古いバージョンのWordPressファイルやプラグイン、テーマを使ったままだと、このXSS対策が不完全であるがために、その穴（セキュリティホール）を突かれて外部から攻撃される可能性もありあす。なので、WAF設定と合わせてWordPressの各種ファイルのバージョンアップは定期的に行っておく必要があります。

②SQL対策
「SQLインジェクション対策」です。SQLインジェクションとは、悪意あるSQL文を実行させることでデータベースを操作するような攻撃のことです。

例えば、データベースに入っている個人情報が改ざんされたり、抜き出されてしまったり…なんて恐ろしい被害が出る可能性があるので、ここも必ずチェックしておくことをオススメします。

③ファイル対策
.htpasswd .htaccess httpd.confなどサーバーの設定に影響するファイルがアップロードされるのを防ぐとか、上書きさせる攻撃を防ぐという対策です。

一般ユーザー向けに掲示板とかを解放しているサイトだと必須ですね。でも、この辺も危ないのでチェックは入れておくと良いです。

④メール対策
これについてはよくわからなかったので、エックスサーバー管理画面のことばを借りると

to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。

ということのようです。要は、メール意図的にを操作して、スパムメールを大量に送りつけるとかの攻撃がされないように対策をしておくことなのだと思います。

⑤コマンド対策
これもエックスサーバー管理画面に、具体的なコマンドがいくつか掲載されていますが、kill、ftp、mail、ping、lsなどこの辺のコマンドが実行されないようにする対策です。

⑥PHP対策

session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。

WordPressでは記事本文やウィジェットとかでPHPを実行できるプラグインがあったりするんですが、あまりそのようなものは入れない方が、セキュリティ上よいかと思います。補足までに。

・・・

ここまで設定項目を見てきましたが、基本的に全部チェックを入れておけば良いので、ONにしてから「確認画面へ進む」ボタンをクリックします。

確認画面で「設定する」ボタンをクリックして、

WAF設定が完了しました。

一覧に戻ると「反映待ち」になっていると思います。反映完了するまで最大で1時間程度かかるみたいなので待ちます。

なお。ここでWAF対策に全部チェックしても、あらゆる攻撃を完全に防げる保証はないので、あくまで最低限の対策だと考えておいた方が良いでしょう。

繰り返しになるけど、基本はWordPressのバージョンアップは怠らないこと。またPHPを実行できるようなプラグインとは入れないこと。あと、定期的にパスワードは推測されにくいものとかに変えるのもセキュリティ対策上、有効でしょう。