エックスサーバーのWAF設定でサイトのセキュリティを対策しよう
![](https://shufukasegi.com/wp-content/uploads/2020/01/723ed567886c2331c63a6f76aafe80e6_m.jpg)
どうも~まさぽん(@masapon417)です。
みなさんセキュリティ対策してますか?
詳しくないからわかんないし、やってない。って人いませんか?
そんな人におすすめのセキュリティ対策があります。
難しい設定は不要!エックスサーバーを使っている人なら最初にちょこっとクリックするだけで設定完了します。
自分のサイトはそんな大規模じゃないし、しなくて平気なんじゃない?
シュフ子
攻撃対象にサイトの規模はまったく関係ないの。どのサイトも攻撃対象として悪い人は狙ってきてるんだよ。
まさぽん
サイトの規模に関係なく悪さをしようとしてる人はいるので、きちんとセキュリティ対策をしよう!
- WAFとは何か?
- WAFの設定方法
- 企業じゃなくてもセキュリティ対策が必要な理由
WAF設定とは??
ではでは、WAFってなんなんでしょ?
WAF(Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。
エックスサーバーのマニュアルより
不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を簡単な設定で向上することができます。
ここでいうWebアプリケーションとはブログやサイトのことを指します。
ブログ自体に悪さをしようとするのを防いでくれますよ~ということですね。
セキュリティ対策が重要な理由
エックスサーバーのマニュアルを見るとクロスサイトスクリプティングやSQLインジェクションとか攻撃方法が書いてあります。
攻撃してくる人は何種類かの攻撃を使って手当たり次第に、攻撃してきます。
よく、人が攻撃してるの?って聞かれますが、プログラムで自動化してるので、人はいません。
ぽちっとボタンをクリックするだけ。
まさぽん
総当たり的に攻撃して、偶然攻撃が成功したところにいろいろ悪さをしてきます。
なのでサイトの規模はまったく関係ないんです。とりあえず攻撃しまくって成功するところを探しています。
手当たり次第にってところが、迷惑メールとちょっと似てますね。
実際に、どのくらい攻撃されているのかをまとめている資料があります。
https://siteguard.jp-secure.com/resources#box3
JP-Secure のサイトで過去のものも閲覧できるようになります(要会員登録)
https://www.jp-secure.com/document/labs/JP-Secure_labs_Report_Vol.02.pdf
![](https://shufukasegi.com/wp-content/uploads/2020/01/caa5a5c0b01033cc635c01c1afad976d.jpg)
JP-Secureの不正アクセスの統計資料にも記載されている統計によると 、
2018年1月~2018年6月の6か月間の総攻撃件数は約1億1876万件 です。
![](https://shufukasegi.com/wp-content/uploads/2020/01/0ba55cbddcd198aac1c566562aabb2ea.jpg)
そのうちWordPressを対象にした攻撃も4000万件を超えているのです。
全体の攻撃の3分の1はWordPressを狙ってきています。
攻撃はサイト規模の大小に関係ありません。その為、対策をしっかりしておくことが重要なんです。
それでは早速対策しておきましょう!
エックスサーバーでのWAF設定方法
まずはエックスサーバーにログインします。
![](https://shufukasegi.com/wp-content/uploads/2020/01/18ac9d924ff9cc51664724a631e11d5c.jpg)
2019年12月16日からエックスサーバーのログイン画面の名称が変わりました。
インフォパネルからXserverアカウントになっています。
変更されたのは名称だけなので、IDやパスワードは昔のものがそのまま使えます。
![](https://shufukasegi.com/wp-content/uploads/2020/01/34c7acb745006f0337b6a8a2b854f1ff.jpg)
管理画面にログイン後、ご契約一覧から「サーバー管理」をクリックします。
![](https://shufukasegi.com/wp-content/uploads/2020/01/1c4df7ef6fe5e47ac02054812fe61d84.jpg)
メニューの一覧からセキュリティの項目にある、「WAF設定」をクリックします。
![](https://shufukasegi.com/wp-content/uploads/2020/01/cb9b11285e6b6a0580f8c9a8d05e05dc.jpg)
WAF設定をしたいドメインを選択します。
私は自分のサイトに設定したいので「shufukasegi.com」を選択しました。
![](https://shufukasegi.com/wp-content/uploads/2020/01/WAFsetting-2020-01-16-110959.jpg)
はじめはすべてOFFの設定になっているので、すべてONに変えます。
確認画面へ進むをクリックして変更後が「ON」になっていることを確認して『設定する』をクリックします。
これで設定終了です!
お疲れさまでした!
まさぽん
WAF設定後の注意点
無事設定は終わりました。
セキュリティの話にもどりますと、一点注意点があります。
それはWAF設定をしたからすべて大丈夫 というわけではない。ということなんです。
守れる範囲が決まっているので、WAF設定だけしておけば大丈夫とはならないのが難しいところです。
よくWordPressの更新やプラグインの更新をしていないという人が多いんです。
注意点などはこちらで説明しています。
バージョンアップは必要なものなので、不具合が怖いからやらない。
って結構危ないです。更新マークに通知が来ていたら更新してあげてください。
一つ一つの積み重ねで、自分のサイトを守っていってほしいです。
まとめ
今回はWAF設定について説明しました。
WAF設定をしていれば、あとは何もしなくても大丈夫!というわけでは残念ながらありません。
基本的なWordPressの更新やプラグインの更新は必要なのでやっておきましょう。
一つ一つの作業は、面倒に感じてしまうかもしれません。
しかし、サイトの信用を上げることは自分の信用を上げることにもつながってくると思えばやらなきゃな、と思えてきませんか?
是非WAFの設定をしてみてください。