エックスサーバーでWAFを設定したいんだけど、どうしたらいいの?
今回はこのようなお悩みにお答えします。
そのためWordPressをインストールしたら、必ずONに設定しましょう。
今回はエックスサーバーでのWAF設定について解説します。
- WAFとは?
- エックスサーバーでWAFを設定する方法
- WAFにプラスしてセキュリティを強化する方法
画像たっぷりで解説するので、ぜひ参考にしてください。
追記です。
まだサーバー未契約の方にはエックスサーバーの評判とメリット・デメリットの記事もおすすめです。
WAFとは
WAFは、Webアプリケーションの保護に特化したセキュリティ対策です。
- WordPress本体
- WordPressテーマ
- WordPressプラグイン
ユーザーとWordPressのHTTP/HTTPS通信内容をチェックし、攻撃と判断した通信を遮断することでWordPressを保護します。
WAFとファイアウォール、IPSの違い
- ファイアウォールは、IPアドレスやポート番号などのツールをもとに、アクセスを制御
- IPSは、OSの脆弱性やワームなど特徴的な通信を検出し、システムを防御
- WAFは、HTTP/HTTPS通信内容を検査し、Webサイトに対する不正アクセスを防御
ファイアウォールやIPSとの違いは、機能の優劣ではなくそれぞれが担う役割です。
何となくわかればOKです。
- ポート番号:TCP/IP通信において、コンピュータが通信に使用するプログラムを識別するための番号
- 脆弱性: プログラムの不具合や設計上のミスが原因によるセキュリティ上の欠陥
- ワーム:コンピューターに侵入して不正行為を行うマルウェア
- HTTP/HTTPS通信:ブラウザとWordPress間でデータを送信するために使用されるプロトコル
エックスサーバーでWordPressにWAFを設定する方法
この項目では、エックスサーバーのサーバーパネルでWAFを設定する方法を解説します。
まずはサーバーパネルにログインしましょう。
ログイン方法は以下の記事で解説しています。
サーバーパネルからWAFを設定する
サーバーパネルに移動したら【セキュリティ】⇒【WAF設定】をクリックします。
WAFを設定するドメインを選択しましょう。
WAFの設定項目
WAF設定では、以下の項目を全てONにしましょう。
WAFの設定項目 | WAFの対策内容 |
---|---|
XSS対策 | javascriptなど、スクリプトタグが埋め込まれたアクセスを検知 |
SQL対策 | SQL構文に該当する文字列が挿入されたアクセスを検知 |
ファイル対策 | 「.htaccess」など、サーバーファイルに対する不正アクセスを検知 |
メール対策 | to、ccなど、メールヘッダーに関係する文字列を含んだアクセスを検知 |
コマンド対策 | ftp、mail、pingなど、コマンドに関連する文字列を含んだアクセスを検知 |
PHP対策 | 脆弱性の元になる関数が含まれたアクセスを検知 |
設定が完了したら【確認画面へ進む】をクリックしましょう。
【設定する】をクリックします。
「WAF設定の変更が完了しました。」と表示されたら、作業は完了です。
WAF設定が反映されるまでは、状態の項目に「反映待ち」と表示されます。
WAF設定が反映されるまでの時間は?
1時間かかります。
WAF設定が反映されると、状態の項目に「ON」が表示されます。
エックスサーバーのWAF設定とプラグインを併用する
WordPressを運用するにあたり、WAFでは対処しきれない問題もあります。
- WordPress管理画面への不正アクセス
- コメント欄へのスパム攻撃
これらの問題には、セキュリティプラグインの活用が有効です。
WAFにより、WordPress本体やテーマ・プラグインで発見されるウェブアプリケーションの脆弱性を悪用する攻撃を効率よく防御することができます。しかしながら、WordPressの運用ではコメントスパムなど、WAFでは対処しきれない問題もあります。このような問題には、セキュリティプラグインの活用が有効です。
引用:SITEGUARD-WAFとセキュリティプラグインでWordPressの安全性を高めよう
Wordfence Security
以下の機能で、WordPress管理画面への不正アクセスを防ぎます。
- ブルーフォースアタック対策
- reCAPTCHAを設置
- 2段階認証機能
WordPressをインストールしたら、すぐに導入しましょう。
Wordfence Securityの設定方法は、以下の記事で解説しています。
Throws SPAM Away
Throws SPAM Awayは、スパムコメント対策のプラグインです。
コメント欄を設置している方は、必ず導入しましょう。
Throws SPAM Awayの設定方法は、以下の記事で解説しています。
エックスサーバーのWAF設定のまとめ
今回は、エックスサーバーでWAFを設定する方法を解説しました。
さくっと内容を振り返ります。
- WAFは、Webアプリケーションの保護に特化したセキュリティ対策
- サーバーパネルからWAFを設定できる
- WordPress運営を継続するにあたり、プラグインとの併用が必須
今回の内容は以上です。
コメント
コメント一覧 (2件)
WAFサーバーって知りませんでしたけど、この記事読んでよくわかりました。図解されていてわかりやすかったです。
yoshi様
いつもコメントありがとうございます。
励みになります。
読んで頂きありがとうございました。