エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

この記事は「ドメインの新規取得からサーバーへのWordPressインストールまでの一連の流れ」を紹介していくシリーズで、今日は4回目です。

前回までの記事でエックスサーバーの契約も終わり、お名前.comで取得したドメインが利用できるようになったら、あとはWordPressをインストールしてブログをスタートするだけ!・・・なんですが、その前にちょっとやっておきたいサーバー側の設定について今回記事にまとめました。

WordPressインストール前にエックスサーバーで何をやっておくのか?

何をやっておいた方がいいのかを先にリストアップします。

WordPressインストール前にエックスサーバーでやっておく設定
  1. メールアドレスの作成
  2. セキュリティ対策(WAF設定)

他にもまだあるかもですが、WordPressをインストール前に最低限やっておいた方が良いものだけに絞っています。それでは1個ずつ見ていきますね★

エックスサーバーでメールアドレスの作成

WordPressのインストール用にメールアドレスを作成しておきます。

WordPressのインストールにはメールドレスが必要です。この辺はGmailでやる人もいるかもなので必須の設定ではないですが、わたしの場合は複数ブログがあるので、ドメイン別にメールアドレスを作成してWordPressのユーザーに割り当てるようにしています。(その方が結果的に管理しやすかったため)

・・・

エックスサーバーのサーバーパネルへログインして、

サーバーパネルで「メールアカウント設定」をクリックします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

ドメインを選択して、
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

メールアカウント追加をクリックします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

「メールアカウント 」「パスワード」「パスワード(確認)」「容量」「コメント」をそれぞれ入力し、「確認画面へ進む」ボタンをクリックします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

入力内容を確認して「追加する」ボタンをクリックします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

メールアドレスの追加が完了しました。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

WEBメールを利用する

エックスサーバーにはWEBメール専用のログインフォームがあるのでそちらへ進み、

上記で作成したメールアドレスとパスワードでログインします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

メインパネルにアクセスできたらWEBメールリンクをクリックします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

これでウェブメールが確認することができます。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

以上でメールアドレスの設定は完了です。で、次はとても重要なセキュリティ対策のお話です。

エックスサーバーのWAF設定(セキュリティ対策)

エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

WordPressは外部からとても攻撃されやすい(狙われやすい)アプリケーションなんで、いろいろとセキュリティ対策をやっておく必要があります。その1つが、エックスサーバーでも標準装備されているWAF設定です。

WAFとは「ウェブ・アプリケーション・ファイアウォール」の略で、簡単にいうとブログに対する外部からのさまざまな攻撃を防御してくれるセキュリティツールのことです。

具体的にどんな攻撃をどうやって防ぐのか?については、ここで全部説明するのは難しいので・・・エックスサーバーで用意されているWAF設定項目を1つずつ見ながら、必要なところを解説していくようにします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

XSS対策
「クロスサイトスクリプティング対策」とも呼ばれます。クロスサイトスクリプティングとは、悪意のあるjavascriptなどのスクリプトタグを埋め込んで実行させようとする攻撃のことでです。個人ブログであっても普通に狙われる攻撃なので、必ず防いでおいた方がよいでしょう。

下でも紹介するSQL対策とも関係しますが、古いバージョンのWordPressファイルやプラグイン、テーマを使ったままだと、このXSS対策が不完全であるがために、その穴(セキュリティホール)を突かれて外部から攻撃される可能性もありあす。なので、WAF設定と合わせてWordPressの各種ファイルのバージョンアップは定期的に行っておく必要があります。
 

SQL対策
「SQLインジェクション対策」です。SQLインジェクションとは、悪意あるSQL文を実行させることでデータベースを操作するような攻撃のことです。

例えば、データベースに入っている個人情報が改ざんされたり、抜き出されてしまったり…なんて恐ろしい被害が出る可能性があるので、ここも必ずチェックしておくことをオススメします。
 

ファイル対策
.htpasswd .htaccess httpd.confなどサーバーの設定に影響するファイルがアップロードされるのを防ぐとか、上書きさせる攻撃を防ぐという対策です。

一般ユーザー向けに掲示板とかを解放しているサイトだと必須ですね。でも、この辺も危ないのでチェックは入れておくと良いです。
 

メール対策
これについてはよくわからなかったので、エックスサーバー管理画面のことばを借りると

to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。

ということのようです。要は、メール意図的にを操作して、スパムメールを大量に送りつけるとかの攻撃がされないように対策をしておくことなのだと思います。

コマンド対策
これもエックスサーバー管理画面に、具体的なコマンドがいくつか掲載されていますが、kill、ftp、mail、ping、lsなどこの辺のコマンドが実行されないようにする対策です。

PHP対策

session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。

WordPressでは記事本文やウィジェットとかでPHPを実行できるプラグインがあったりするんですが、あまりそのようなものは入れない方が、セキュリティ上よいかと思います。補足までに。

・・・

ここまで設定項目を見てきましたが、基本的に全部チェックを入れておけば良いので、ONにしてから「確認画面へ進む」ボタンをクリックします。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

確認画面で「設定する」ボタンをクリックして、
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

WAF設定が完了しました。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

一覧に戻ると「反映待ち」になっていると思います。反映完了するまで最大で1時間程度かかるみたいなので待ちます。
エックスサーバーを契約後にやっておく設定まとめ(メアド、セキュリティ設定など)

なお。ここでWAF対策に全部チェックしても、あらゆる攻撃を完全に防げる保証はないので、あくまで最低限の対策だと考えておいた方が良いでしょう。

繰り返しになるけど、基本はWordPressのバージョンアップは怠らないこと。またPHPを実行できるようなプラグインとは入れないこと。あと、定期的にパスワードは推測されにくいものとかに変えるのもセキュリティ対策上、有効でしょう。
関連記事

コメントを残す

ABOUTこの記事をかいた人

STORKのテーマやプラグインなど、WordPressを使ったアフィリエイトに関する記事を中心に紹介しています。そのほかにもMacやiPhone、HTML、CSS、Javascript、PHPなどの記事もちょこちょこ書いています★