ブログには、セキュリティを導入していきましょう。というのは、悪質な手段をつかってサーバーを攻撃するひとがいるからです。もし、サイトやブログのセキュリティを強化できるのであれば、利用しない手はありません。


エックスサーバーには、WAF設定のオプションがあります。もちろん、全プラン無料で使うことが出来ます。


今回は、エックスサーバーに新しく追加されたWAF設定について紹介します。


これはサーバー攻撃からブログを守る手段の一つです。


server-security





WAF設定とは

WAFとは、ウェブ・アプリケーション・ファイアウォールのことです。具体的には、Webアプリケーションの弱い部分を突いた悪意ある攻撃から、ブログやサイトを守るためのセキュリティ対策になります。


サーバーにWAFを設定すれば通信を解析して検査することができます。 ですので、こうした攻撃からブログを保護することになり、しいては不正ログインを防ぐことになります。


エックスサーバーのWAF設定では、それぞれの機能を組み合わせて設定することが可能です。


ただしこれは、不正アクセスへの最低限の予防策で、こうしたアクセスを100%駆除することが保障されているわけではありません。


脆弱性に対する不正アクセスを防ぐには、最新バージョンのアプリケーションの利用やセキュリティを強化していくことが必要になってきます。


設定できる項目

エックスサーバーで設定できる項目は次のとおりです。


  • XSS(クロスサイトスクリプティング)
  • SQL(SQLインジェクション)
  • ファイル(ファイルへの不正アクセス)
  • メール(メールの不正送信)
  • コマンド(コマンドアクセス/実行)
  • PHP(PHP関数の脆弱性)

ここはすべての項目を「ON」の状態にしても良いのではないかと思いましたが、不正アクセスを防ぐ設定を行う過程で、クローラーのIPアドレスまでブロックしてしまうというケースがあります。


サーバー会社側でクローラーを阻止した場合、インデックスすることは不可能です。なので、検索エンジンから削除されれるといったことが起きます。また、サーバー設備の機器とクローラーの相性が悪く、クローラーはとりあえずアクセスができるけれど肝心の情報を上手く取得できないということもあるようです。


現在こういったことが起こらないか確認しています。数日中には、問題がないか分かると思いますので、少し待って下さい。


エックスサーバーからこの質問に対する返信のメールが来ました。下のメールを見るかぎり、クローラー次第ということですが、取り敢えずは大丈夫のようです。

xserver-support-mail

エックスサーバーのサポートチームはとても丁寧です。問題が発生したり、質問等がある場合でも対応が早いので便利かつおすすめのサービスです。


それでは、各項目で防御できるアクセスを見ていきましょう。


エックスサーバのサイトには、各設定について解説があるのですが、少し専門的になっているので、分かりやすく説明します。

XSS(クロスサイトスクリプティング)

クロスサイトスクリプティングは、代表的な攻撃です。どんな手段かと言えば、Javascriptなどを他のサイトに埋め込むという手段です。


標的にしたサイトにスクリプトを埋め込んで、そこにアクセスしたユーザーのCookie情報を盗んだり、URLを偽造してフィッシングサイトへ誘導したりします。


以前Youtubeでは、この攻撃によって不正ポップアップなどの被害が広まり問題になったことがありました。

SQL(SQLインジェクション)

SQLインジェクションとは、アプリケーションが想定しないSQL文を実行させることによって、データベースシステムを不正に書き換えたり、破壊したりする攻撃のことです。


ターゲットになる可能性があるのは、データベース登録を行う会員制サイトやデータベースを利用したアプリケーション全般です。

ファイル(ファイルへの不正アクセス)

サーバーには、.htpasswd .htaccess .httpd .confといったファイルが置かれています。これらのファイルが書き換えられたり、意図しないファイルがサーバーに設置されたりした場合は、WordPressにログインが出来なくなります。


また、サーバーの設定を変更したりして、ブログを乗っ取ることも可能です。

メール(メールの不正送信)

メールサーバーを乗っ取られたり、メールアドレスを盗まれた場合は、迷惑メールを送る踏み台にされる可能性が高いです。


攻撃者は盗んだメールアカウントを使って、数十万通のスパムメールを勝手に送信したりすることができますから、Webサーバーを過負荷の状態にして停止・ダウンに追い込むことも可能です。

コマンド(コマンドアクセス/実行)

コマンドを攻撃された場合、サーバー内にある重要な情報を盗み見ることが出来ます。

PHP(PHP関数の脆弱性)

PHPを攻撃されると、サーバーやWordPressを乗っ取られたりするだけでなく、不正ファイルをアップロードするための踏み台に利用される可能性が高くなります。


簡単な説明になりましたが、こういったことをする人は、後を絶ちません。また、無差別に攻撃をしている人の方が多いのではないかと思います。


ですので、規模の小さなブログやサイトでもセキュリティ対策はしっかりしていきましょう。


WAFを設定する手順

WAFを設定する手順はこのとおりです。


  • サーバーパネルにログインする
  • 管理画面の「セキュリティ」から「WAF設定」を選ぶ
  • 各項目をオンにする

まずはエックスサーバーのサーバーパネルにログインします。


ただ、インフォパネルやサーバーパネル、それからWebメールにログインするときには、それぞれ異なるIDとパスワードを使わなければなりません。


でもこれは少し面倒です。そこでインフォパネルからログインしてみて下さい。これならサーバーパネルにもアクセスできます。それに、パネルの切り替えが簡単です。


infopanel

サーバーパネルにログインしたら、画面右下のセキュリティにある「WAF設定」をクリックします。

WAF-setting

「WAF設定」をしていくドメインを選択します。

domain-select

変更をクリックして「状態」を「ON」にします。

WAF-setting-change

「状態」が「ON」になっていることを確認したらWAFの設定は完了です。

WAF-on

この設定は変更が反映されるまで、半日程度かかることがあります。また、賢威テンプレートを使用しているならば、全部のオプションを「ON」にすると501のエラーが表示されるかもしれません。


全部の設定を「ON」にして、更新ボタンを押したらこの表示になりました。ですので、賢威テンプレートを使用している方は、設定を保留にして下さい。ただいま解決策を賢威サポートチームに問い合わせています。


通常、賢威サポートの返信はとても早いですから、一週間以内にはどうすればいいのか説明できるかと思います。


賢威サポートからの返信はすぐにきました。でも、「この問題はサーバー会社に問い合わせてください。」とのことで、現在エックスサーバーに問い合わせをしています。


エックスサーバーに問い合わせをしたところ下のような返信メールを頂きました。

xserver-reply

ということで、稀なケースのようです。このメールには続きがあり、問題を解決するために次の提案がありました。

xserver-reply2

そこで、使用していないドメインに同じテンプレートとプラグインを設置してテストしてみたのですが、501のエラーは発生しませんでした。返信文の中にもあるように、テンプレートやプラグインの設定に問題があるのかもしれません。


いくつかのテストを繰り返した結果、私のケースではファイル(ファイルへの不正アクセス)をONにすると501のエラーになることがわかりました。そこで、取り敢えずここをOFFにして対処しています。


さいごに

サーバーのレンタルや引っ越しを検討している方は、サポートも充実しているエックスサーバーがおすすめです。


エックスサーバーは高速、高機能、高安定性のサーバーです。特にサーバーの速度は、レンタルサーバー会社によってかなり開きがあります。


表示速度が遅いブログは使いにくいですから、もしそうであれば、アクセスを伸ばす上で致命的な欠陥です。


Googleはユーザーの利便性を重視していますし、速度が著しく遅いサイトは高い評価を受けることができません。とくにスマホでの表示速度が遅いと、検索されたとしても表示されないということにもなりかねません。


エックスサーバーなら、速度で悪い評価を受けることはないと思います。10日間の無料お試し期間がついているだけでなく、無料のssl証明書も付いているので、お得なサーバーです。


ぜひ使ってみて下さい。