こんにちはZIGです。
ここではエックスサーバーでワードプレスを運営する場合、最初にやっておいた方が良いセキュリティ設定についてまとめます。
プラグインを使ったセキュリティ対策も色々ありますが、サーバー側で行えるセキュリティ設定もしっかりやっておいた方が不正アクセス対策にも効果的。なので忘れず設定しておくことをおすすめします。
ワードプレスセキュリティ設定
エックスサーバーではワードプレスセキュリティ設定として以下の3点が設定できるようになっています。
- 国外IPアクセス制限設定
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
設定はエックスサーバーのコントロールパネルの「WordPress」⇒「WordPressセキュリティ設定」から可能です。
国外IPアクセス制限設定
国外IPアクセス制限設定では国外からの管理画面へのアクセスを制限する設定で、以下の3つが個別に設定可能。デフォルトで全て「ON」となっています。
- ダッシュボードアクセス制限
- XML-RPC APIアクセス制限
- REST APIアクセス制限
これらはざっくり説明すると「本来運営者しか使用しないページ・APIに海外IPからアクセスできないようにする設定」です。
なので基本ONのままが良いでしょう。
ただし自身が国外IPからアクセスする場合はこれらの設定をOFFにする必要があります。
ログイン試行回数制限設定
ログイン試行回数制限設定は名前の通りログインの試行回数を制限する設定。
デフォルトではOFFとなっています。
しかしブルートフォースアタックの様なパスワード総当たり攻撃に対する対策として一定の効果が期待できるので、やはりONにしておいた方が良いでしょう。
コメント・トラックバック制限設定
コメント・トラックバック制限設定では海外からのコメントやトラックバックを制限するかどうかの設定が可能。
「大量コメント・トラックバック制限」に関してはデフォルトでON、「国外IPアドレスからのコメント・トラックバック制限」に関してはOFFとなっています。
やはりスパムコメントは海外IPからが多いですし、「大量コメント・トラックバック制限」はONのままにしておいた方が良いでしょう。
しかし「国外IPからのコメント・トラックバック制限」に関してはONにしてしまうと海外在住の方があなたのブログに訪問した時、一切コメントできなくなってしまいます。
海外からのアクセス・コメントを一切考慮しないならONでも良いのですが、基本的にはOFFにしておく方が無難ですね。
【重要】WAF(Web Application Firewall)を有効にしておく
WAF(Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守る機能。簡単に言えば不正アクセスからサイトを守るのに役立つ機能です。
もちろんWAFを設定すれば必ず不正アクセスを防げるわけではないのですが、設定していた方が良いことは間違いありません。
WAFはレンタルサーバー各社で提供されており、エックスサーバーでも提供されているので設定しておくと良いでしょう。
実はこのWAF設定、レンタルサーバーの会社によってはデフォルトでONになっているのですが、エックスサーバーの場合はデフォルトではOFFになっています。
つまり自身で設定しない限りOFFのまま。不正アクセス対策が出来ていません。
なので忘れず設定しておくことをおすすめします。
エックスサーバーでWAF設定を行う方法
WAF設定はエックスサーバーのコントロールパネルにログインし、「セキュリティ」⇒「WAF設定」から行います。
「WAF設定」をクリックすると以下の設定画面が表示されます。
XSS設定やSQL設定など複数の設定項目が表示されますが、デフォルトでは全てOFFとなっているはずです。
なのでこれらを全てONに変更しましょう。
全てONに設定を変更したら「確認画面に進む」をクリック。
確認画面が表示されたら「設定する」をクリックしましょう。
すると「WAF設定の変更が完了しました」と表示されます。
・・・が、この時点ではまだWAF設定はサイトに反映されていません。
反映されるには1時間ほど時間がかかります。
設定直後はWAF設定画面にも以下の様に「反映待ち」の表示が表示されるはず。
この表示が出ている間は設定が有効にはなっていません。
以下のように「状態」がONに変わったらWAF設定の反映完了です。
WAF設定後に403エラーが出た場合の対処法
WAF設定をONにすると時としてワードプレスの正常な操作で403エラーが出るケースがあります。
例えばアクセス解析タグを設置しようとしたらエラーが出て設置できない・・・
みたいなケースですね。
他にも特定の操作をした場合のみエラーが出てしまう場合はWAF設定を疑ってください。
で、この場合はWAF設定を一度OFFに変更することで解決します。
OFFの状態であれば問題なくアクセス解析タグも設置できるし、他の操作も出来るはず。
そして設置が完了したら再度WAF設定をONに戻しておきましょう。
WAF設定後に501エラーが出た場合の対処法
WAF設定をONにした後、記事投稿に関連して501エラーが出ることがあります。
例えば特定の記事だけ公開できない、プレビューしようとしてもプレビューが表示されず501エラーになる・・・などのケースですね。
この場合は記事内に使用している特定の文字列がWAF設定に引っかかっている可能性があります。記事内で掲載しているURLが引っかかっている可能性もあるので確認し、修正を行いましょう。
[aside type=”normal”]kill、ftp、mail、ping、ls 等コマンドに関連する文字列が文章内、あるいはURLに含まれている場合にこのエラーが起きます。なので対象となっていると思われる文字列を修正してください。小文字から大文字へ変更したり、半角英数から全角英数に変更する、あるいは別の表記に変更することでエラーが起きなくなります。[/aside]
ちなみに該当ページの文章が長く、該当箇所がどこなのか判別がつかない・・・・
という場合はまず記事を前半と後半の半分に分割し、前半だけを掲載して公開・またはプレビューしてみてください。これで正常に公開されれば前半部分は問題なし。WAF設定に引っかかっている箇所は後半にあると分かります。
あとは後半部分も細かく分割して投稿し、どの箇所を公開・プレビューした際にエラーが出るのか?確認していけば該当箇所を見つけることが出来るはずです。
ちなみに501エラーの場合もWAF設定を一旦OFFにすれば投稿・プレビューは出来るはずですが、その記事を編集した際にまたエラーが出てしまう可能性が高いです。なのでその都度どんな文字列がWAF設定に引っかかったのか?確認して修正しておいた方が良いでしょう。
まとめ
というわけでエックスサーバーでワードプレスを運営する場合、やっておいた方が良いセキュリティ設定についてまとめました。
特にWAF設定については忘れずONにしておくことをおすすめします。
WAF設定をONにすることで正常な操作が誤認されてしまうのは少しメンドクサイですが(汗
それでも不正アクセス対策は必須ですし、対策手段としてWAF設定はかなり有効。なので多少のデメリットは目をつむり、使用する方が良いでしょう。
