【必須】WordPressセキュリティ対策・エックスサーバーはプラグインが原則不要

2021 10/31

2021年2月17日 2021年10月31日

WordPressのセキュリティ対策は、セキュリティ系のプラグインを導入して対策をするのが一般的ですが、SEO対策プラグインや高速化プラグインなどと同様に、本当に色々なプラグインが存在していて初心者・素人にはどれを選べばいいのか全くわかりません！

そして、ひと口にセキュリティ対策と言っても、内部のシステム別に対策をしなければならないので１つのプラグインでは絶対に収まらず複数のプラグインを導入する事になるのですが、選び方が悪いと設定の重複などの問題を起こして中で喧嘩するので、かえって不具合の原因となる場合もあります。

シンゴ

まさに初心者泣かせですが、ご安心ください！エックスサーバー（Xserver）を利用していれば、ここに悩まなくて済みます。

エックスサーバー（Xserver）を使用していれば、WordPressにセキュリティ系プラグインを導入しなくても、考えうる必要な対策はほぼ出来てしまいます！

最近はプラグインの数が多いとそれだけセキュリティに不安が出るとも言われていますので、単純にプラグインの数を減らせる事も、エックスサーバー（Xserver）を使用する大きなメリットだと私は思います。

このページでは、エックスサーバー（Xserver）で設定できるセキュリティ対策の説明と、その設定手順について解説してまいります。

当ブログもエックスサーバー（Xserver）を使用して運営しています！

WordPressセキュリティ設定（エックスサーバー）

まずは開設したWordPressに直接的に施すセキュリティ対策からやっていきます。

エックスサーバー（Xserver）のサーバーパネルから「WordPressセキュリティ設定」を選択してください。

ドメイン選択画面になりますので、セキュリティを設定するドメインを選択してください。

WordPressセキュリティ設定画面に移行しますので、「国外IPアクセス制限設定」「ログイン試行回数制限設定」「コメント・トラックバック制限設定」の３つの項目を設定していきます。

国外IPアクセス制限設定

国外IPアクセス制限設定は、ONにしておけば国外からのアクセスをブロックしてくれています。海外向けに情報を発信するのでなければ全て「ON（推奨）」にしておきましょう。

ダッシュボードアクセス制限

ONにすると、国外からWordPressのダッシュボードにアクセスすることを禁止します。

アクセスが制限される場所
・/wp-admin … ダッシュボードのフォルダ
・/wp-login.php … ダッシュボードログイン時にアクセスするファイル

XML-RPC APIアクセス制限

XML-RPCとは、スマートフォンアプリや外部のシステムから記事を投稿したり画像をアップしたりする際に使われる通信プロトコルの事です。WordPressのPingback機能など、様々な部分に使われているプロトコルで、WordPressの初期設定ではこの機能が有効になっています。XML-RPC自体はWordPressに必要な機能なのですが、海外から利用する事を許可しておく必要はなと思いますので、ONにしておきましょう。

この機能を悪用して、ユーザ名やパスワードのリストを作成してログイン攻撃をしてくる不正アクセスが多発しています。そのほとんどが海外からです。

REST APIアクセス制限

REST APIもXML-RPC同様、スマートフォンアプリや外部のシステムからWordPressを使うために利用するAPIになります。海外からアクセスする理由が無いのであれば、こちらもONにしておきましょう。

ログイン試行回数制限設定

ログインを間違えるとロックがかかって一定期間ログインできなくなる機能です。

国内からログイン攻撃などの不正アクセスを受けた時に有効な対策ですので、こちらも「ON（推奨）」にしておきましょう。ロックは24時間で、解除されれば再度ログインできるようになります。

もし「パスワード等を忘れたりして誤ってロックをかけてしまった」などロックを解除したい場合には、こちらの設定を「OFF」に切り替えればログインロックは解除できます。

コメント・トラックバック制限設定

大量のコメントやトラックバックが行われた場合（いわゆるスパム攻撃）に制限をかけます。

ブログ運営でコメントやトラックバック機能を使わない方、国外からのコメントやトラックバックが不要な方は「ON（推奨）」に変更をしましょう。

なお、制限時間は6時間です。

国外IPからのコメントやトラックバックの制限だけは初期設定で推奨設定になっていませんので、必要な方は必ず手動で変更してください。

シンゴ

以上で「WordPressセキュリティ設定」は完了です。引き続き「WAF設定」をしましょう。

WAF設定（エックスサーバー）

WAF（Web Application Firewall）とは、Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策の事です。不正ログインやハッキングなどに有効なセキュリティ対策です。

エックスサーバー（Xserver）のサーバーパネルから「WAF設定」を選択してください。

ドメイン選択画面になりますので、WAF設定をするドメインを選択してください。

WAF設定の画面に移行します。

初期設定では各種項目は全てOFFになっていますが、特に理由が無ければ全てONにした方が良いと思います。

設定を変更したら確認画面へ進むをクリックして下さい。

確認して問題が無ければ、設定するをクリックしてください。

これでWFA設定は完了です。反映されるまで少し時間がかかります。

シンゴ

以上で、エックスサーバー（Xserver）のセキュリティ設定は完了です。お疲れ様でした。

【補足】導入をお勧めするセキュリティ対策プラグインがあります！

原則的にエックスサーバー（Xserver）のセキュリティ対策で事は足りると思いますが、１つだけ導入をお勧めしたいセキュリティ対策プラグインがあります。

スパム対策プラグイン「Invisible reCaptcha for WordPress」です。

上記の設定でスパムも十分な対策が施せていますが、「Invisible reCaptcha for WordPress」はGoogleが導入を推奨している「reCaptcha」と言うスパム対策をWordPressに実装するプラグインで、これを入れておいた方がGoogleに対してサイト（ブログ）のセキュリティ対策をPR出来ると思われるからです。サイト評価に直接繋がるかどうかは不明ですが、Googleが推奨するモノは基本的に全て入れておいた方が間違いありません。

もちろん「reCaptcha」自体がとても高度なスパム対策ですので、入れておいて損はありません。

導入の仕方と設定方法については各々のページで解説していますので、詳細はそちらでご確認ください。

スパム対策プラグイン「Invisible reCaptcha for WordPress」