ブログの始め方
2019.08.17

エックスサーバーの初期設定まとめ!WordPress運用に必要な6つのセキュリティ対策

こんにちは、webエンジニアのゾノ( @ozonosho )です。

今回はWordPress運用に必要となるエックスサーバーの初期設定まとめをご紹介いたします!

エックスサーバーには、セキュリティ対策や高速化のための機能が備わっています。本記事で紹介する6つの設定をおこなうことでそれらの機能を利用できるので、ぜひ参考にしてみてください。

尚、本記事ではWordpressのインストールが完了していることを前提にしています。インストールがまだの方はこちらの記事『Wordpressをエックスサーバーにインストールする方法』を先にご覧ください。

目次
1. 設定①SSL設定でサイトをhttps化しよう
2. 設定②Wordpressセキュリティ設定でアクセス制限をしよう
3. 設定③WAF設定で悪意のある通信をブロックしよう
4. 設定④PHP高速化設定(FastCGI化)でサイトを高速化しよう
5. 設定⑤Xアクセラレータでサイトを高速化しよう
6. 設定⑥mod_pagespeed設定でサイトを高速化しよう
7. おわりに

①SSL設定でサイトをhttps化しよう

まずはサイトのURLを「http://~」から「https://~」に変更するためのSSL設定をおこないます。

SSLとは「Secure Sockets Layer」の略で、インターネット上の通信を暗号化する技術のことを指します。SSLを利用したhttpsに変更することで、通信のセキュリティは大幅に向上し、情報を安全にやり取りできるようになります。

Googleもhttps化を推奨しており、2014年8月7日に公開されたガイドラインでは、https化することで検索順位に好影響を与えるという発表がありました。

https化は通常であれば手続きや費用が発生しますが、エックスサーバーはなんと無料で簡単にhttps化ができるのでエックスサーバーを利用しているなら絶対に設定すべきでしょう。

SSL(https化)の設定方法

エックスサーバー

まずはエックスサーバーの「サーバーパネル」にログインします。

すると下のようなページが表示されます。

エックスサーバー:サーバーパネル

サーバーパネルの画面右上に「SSL設定」リンクがあるのでクリックしましょう。

するとドメインの一覧が表示されます。

SSL設定をおこないたいドメインを選び「選択する」リンクをクリックしましょう。

※サイトのドメインをまだ取得していない方へ
ご自身のサイトのドメインをまだ取得していない方は、先に「ドメインの取得」「ドメインの紐づけ」の2つの作業が必要になります。どちらもリンク先の記事で詳しく解説しているので参照ください。

ドメインを選択すると、選択したドメインのSSL設定ページが表示されます。

上図のとおり「独自SSL設定追加」タブをクリックしてください。

すると下のようなページが表示されます。

表示されているドメインに間違いなければ画面右下にある「追加する」ボタンをクリックしましょう。指定したドメインにSSL設定が適用されます。

尚「CSR情報を入力する」項目はチェック不要です。こちらは申請者の情報を登録してサーバー証明書を発行してもらうための項目ですが、エックスサーバーの場合は申請者の情報ではなくドメインでの認証方法が利用されているため、入力しなくても問題ありません。

ここまでの手順でSSL設定は完了です!

注意書きにあるとおりサーバーに設定が反映されるまでは最大1時間ほどかかるため、しばらく待ってからhttpsのURLでサイトを表示してエラーが出ないか確認してみましょう。

②Wordpressセキュリティ設定でアクセス制限をしよう

続いてWordPressセキュリティ設定でアクセス制限をおこないます。

アクセス制限によって、国外からのアクセス(=基本的にスパム)を防いだり、ログインアタック(パスワードを総当たりで何度も入力してログインしようとする攻撃)を防いだりすることができるので必ず設定しましょう。

WordPressセキュリティ(アクセス制限)の設定方法

エックスサーバー:サーバーパネル

まずは一度「サーバーパネル」に戻ってください。

サーバーパネルの画面左下に「WordPressセキュリティ設定」リンクがあるのでクリックしましょう。

するとドメインの一覧が表示されます。

セキュリティ設定をおこないたいドメインを選び「選択する」リンクをクリックしましょう。

すると、選択したドメインのセキュリティ設定ページが表示されます。

こちらのページには「国外アクセス制限設定」「ログイン試行回数制限設定」「コメント・トラックバック制限設定」3つのタブがあります。

基本的にはすべてのセキュリティ項目をONにするのがベターなので、各タブを開いた画面にあるセキュリティ項目を1つ1つONにしていきましょう。

※国外アクセス制限についての注意
国外アクセス制限をかけてしまうと海外在住の日本人もサイトにアクセスできなくなります。海外からのアクセスは基本的にスパムではありますが、利用者に海外からアクセスされる可能性のあるサイトについては「国外アクセス制限設定」のセキュリティ項目はOFFに設定しましょう。

必要なセキュリティ項目をすべてONにしたらWordPressセキュリティ設定は完了です!

③WAF設定で悪意のある通信をブロックしよう

続いて、悪意のある通信をブロックするためのWAF設定をおこないます。

WAFとは「Web Application Firewall」の略で、webアプリケーションに特化したセキュリティツールです。WAFを利用することでWebアプリケーションの弱い部分を狙った悪意ある通信からサイトを守ることができます。

先に紹介したSSLが通信を暗号化するための機能なのにたいして、WAFは通信を解析して検査するための機能です。SSLでは通信の中身に問題があるかどうかを調べることはできないため組み合わせて利用することをおすすめします。

僕の運営するサイトもファイルを書き換えられるハッキング被害を受けたことがありますが、WAFを利用することで悪意ある通信をブロックしすぐに解決できました。絶対に利用すべきでしょう。

WAFの設定方法

エックスサーバー:サーバーパネル

まずは一度「サーバーパネル」に戻ってください。

サーバーパネルの画面右下に「WAF設定」リンクがあるのでクリックしましょう。

するとドメインの一覧が表示されます。

WAF設定をおこないたいドメインを選び「選択する」リンクをクリックしましょう。

すると、選択したドメインのWAF設定ページが表示されます。

WAFを利用できる項目として「XSS対策」「SQL対策」「ファイル対策」「メール対策」「コマンド対策」「PHP対策」の6つがあります。

基本的にはすべての項目でWAFを設定するのがベターなので、すべての項目を1つ1つONにしていきましょう。

※WAFによるエラーの注意
WAFはWordpress本体やプラグインの脆弱性から守ってくれる反面、脆弱性のある機能を利用しようとするとエラーにされてしまうことがあります。(プラグインの設定ページを保存しようとすると403エラーになる、など)
サイトを運用していて予期せぬエラーが起きた場合、WAFの利用を一時的に解除することで解決することがあるので覚えておいてください。

WAFを利用する項目をすべてONにしたらWAF設定は完了です!

④PHP高速化設定(FastCGI化)でサイトを高速化しよう

続いて、サイトを高速化するためのPHP高速化設定(FastCGI化)をおこないます。

WordPressはPHPというプログラムで動いており、PHPの処理速度が上がるほどサイトの表示速度も上がります。FastCGI化とは、通信毎におこなわれるプログラム処理を一定時間サーバー内に保持する仕組み(キャッシュと同じ原理!)のことで、この仕組みを利用することでPHPの処理が短縮されます。

利用してみると分かりますが大幅に表示速度が改善するので必ず設定しましょう。

PHP高速化設定(FastCGI化)の設定方法

エックスサーバー:サーバーパネル

まずは一度「サーバーパネル」に戻ってください。

サーバーパネルの画面中央下に「PHP高速化設定(FastCGI化)」リンクがあるのでクリックしましょう。

するとドメインの一覧が表示されます。

PHP高速化設定をおこないたいドメインを選び「選択する」リンクをクリックしましょう。

すると、選択したドメインのPHP高速化設定ページが表示されます。

上図ではすでにFastCGI項目が「有効」になっていますが、まだ有効になっていない場合には有効にしてください。

こちらを有効にしたらPHP高速化設定(FastCGI化)設定は完了です!

⑤Xアクセラレータでサイトを高速化しよう

続いて、エックスサーバー独自のサイト高速化機能Xアクセラレータを設定します。

エックスサーバー公式サイトによると「表示速度の向上だけでなく、同時アクセス可能数も拡張され、最大でこれまでの10倍以上のサイトパフォーマンスを実現する機能」とのことです。

エックスサーバーのユーザーなら誰でも無料で利用することができるので必ず設定しましょう。

Xアクセラレータの設定方法

エックスサーバー:サーバーパネル

まずは一度「サーバーパネル」に戻ってください。

サーバーパネルの画面右下に「Xアクセラレータ」リンクがあるのでクリックしましょう。

するとドメインの一覧が表示されます。

Xアクセラレータ設定をおこないたいドメインを選び「選択する」リンクをクリックしましょう。

すると、選択したドメインのXアクセラレータ設定ページが表示されます。

Xアクセラレータの設定は「ON[静的ファイル](推奨)」「ON[全ファイル]」「OFF」の3つから選択します。推奨とあるとおり「ON[静的ファイル]」を選択するのが良いでしょう。

なぜかというと、Xアクセラレータの機能はキャッシュも利用するため、動的ファイルも含む全ファイルを対象にしてしまうと閲覧者が最新のサイトを閲覧できない可能性が高くなってしまうからです。

設定を「ON[静的ファイル]」にして「変更」ボタンをクリックしたらXアクセラレータ設定は完了です!

⑥mod_pagespeed設定でサイトを高速化しよう

最後に、無駄な通信を減らしてサイトを高速化するmod_pagespeed設定をおこないます。

mod_pagespeedとは、Googleが開発したWebサイトの表示速度を向上させる拡張モジュールです。mod_pagespeedを有効にすると、サーバー上にあるファイルを自動的に圧縮し、さらに同じ種類のファイルをひとまとめにして通信してくれます。これにより無駄な通信がなくなりサイト表示速度が短縮されます。

利用することのデメリットは一切無いので必ず設定したほうが良いでしょう。

mod_pagespeedの設定方法

エックスサーバー:サーバーパネル

まずは一度「サーバーパネル」に戻ってください。

サーバーパネルの画面右下に「mod_pagespeed設定」リンクがあるのでクリックしましょう。

するとドメインの一覧が表示されます。

mod_pagespeed設定をおこないたいドメインを選び「選択する」リンクをクリックしましょう。

すると、選択したドメインのmod_pagespeed設定ページが表示されます。

こちらは「ONにする」ボタンをクリックするだけでmod_pagespeed設定は完了です!

おわりに

以上、今回はWordPress運用に必要となるエックスサーバーの初期設定まとめを紹介いたしました。

サーバーの設定まで完了したので次回からはいよいよWordpressの使い方について解説していきます。まずは「wordpressの初期設定まとめ」の記事を公開するので楽しみにお待ちください。

また、ただいま当サイトでは『ブログを始めるために必要な情報をすべてまとめたページ』を準備中です。まもなく公開されますので、そちらもあわせてご覧いただけると嬉しいです!

ゾノについて

興味ある方を探しています!