初心者でも安心!ConoHa WINGのセキュリティ設定を丁寧に解説

ConoHa WINGは比較的新しいレンタルサーバーですが、その操作性は洗練されており、初心者にとってもかなり使いやすい管理画面となっています。

WordPressでWebサイトを運用しているとどうしても気になる、セキュリティ対策も簡単な操作で設定可能です。

そこで、今回はConoHa WINGが提供しているWordPressを含めたWebサイトセキュリティの設定方法をご紹介します。

Ads

WordPressサイトに必要なセキュリティ設定とは?

まず、WordPressサイトに必要なセキュリティ対策を解説しておきます。

ConoHa WINGのセキュリティ設定自体はWebサイトセキュリティの詳しい知識がなくても問題なく行えますので、設定だけをぱぱっと終わらせたいという方は、「ConoHa WINGのセキュリティ設定手順」まで飛ばしてもらって結構です。

WordPressの脆弱性・脅威

WordPressは世界的にも広く利用されているCMS(コンテンツ・マネジメント・システム)で、CMSの中で約64%のシェアを誇っています。

それだけ、人気のCMSであるが故、サイバー攻撃の標的になることも多いのが事実です。WordPressが狙われやすい理由には、

  • 世界的に広く普及しているCMSであるため
  • ファイル構造が決まっている
  • オープンソースであるため、脆弱性が発見されやすい

といった点があります。

とはいえ、WordPressが広く普及しており、多くの人に愛されているおかげで、たくさんの有志によるプログラマーがその攻撃に対抗するため、WordPressのバージョンアップに尽力してくれています。

彼らのおかげで、私たちは安心してWordPressを利用することができます。

WordPressやプラグインのバージョンを最新のものにしたり、後述するレンタルサーバーのセキュリティ設定を適切に行い、より安全なWebサイト運用をしていきましょう。

Webサイトセキュリティの仕組み

Webサイトセキュリティには、WAFやSSL、WordPressなどのアプリケーションのセキュリティ設定のほか、IDS/IPSなどOSレベルのセキュリティ、FireWallなどネットワークレベルのセキュリティなどたくさんありますが、こちらで最低限設定しておきたいのは、WAF、SSL、WordPressなどのアプリケーションのセキュリティ設定です。

webサイトセキュリティの概念図
引用:https://www.idcf.jp/cloud/column/security.html

下記でそのWAF、SSL、WordPressなどのアプリケーションのセキュリティ設定をConoHa WINGで設定する方法を紹介していきます。

ConoHa WINGのセキュリティ設定手順

ConoHa WINGで行えるセキュリティ設定の方法を解説します。「推奨」と書いているものは、ほとんど方にとって設定しておいた方が良いセキュリティ対策です。

それ以外のものは必要に応じてというものなので、初心者の方やまだそこまでアクセスのない状態の方は未設定でも問題ないと思います。

独自SSL(無料)の設定[推奨]

コントロールパネル上部メニューにある「WING」をクリックします。

コントロールパネル

左のサイドメニューにある「サイト管理」→「サイトセキュリティ」→「独自SSL」→「無料独自SSL」をクリックします。

「ON/OFF」の切り替えボタンがあるので、「ON」にしましょう

無料独自SSL設定画面

 

これで無料の独自SSLの設定は完了です。反映まで少しかかりますので、しばらく待ってから確認してみてください。

WAFの設定[推奨]

続いて、WAFの設定をします。SSLと同様「サイトセキュリティ」のページを開きます。

上部タブの「WAF」をクリックしてください。「利用設定」を「ON」にします。

wafの設定

これでWAFの設定は完了です。

ディレクトリアクセス制限の設定

ディレクトリアクセス制限は、設定したディレクトリに含まれるページに対して、アクセス可能なユーザーを制限することができます。

まだ開発中のテストサイトや内部の人に向けた機密情報などを保護し、外部から閲覧できないようにしたい際に有効です。

こちらも「サイトセキュリティ」ページを開きます。上部タブの「ディレクトリアクセス制限」をクリックしてください。

ディレクトリアクセス制限設定画面

「+ディレクトリ」をクリックして、保護したいディレクトリを入力します。「保存」をクリックすると、ディレクトリの設定は完了です。

ディレクトリ入力画面

保護したディレクトリへのアクセス可能なユーザーを設定します。

ディレクトリをクリックし、「編集ボタン(ペンのアイコン)」をクリックしてください。「+」ボタンで「ユーザー名」と「パスワード」を入力します。

アクセスユーザー設定画面

これでディレクトリアクセス制限の設定は完了です。実際に設定したディレクトリにアクセスすると、ユーザー名とパスワードを求めるダイアログが表示されるようになります。

ユーザー認証画面

設定を削除したい場合はゴミ箱のアイコンをクリックしてください。

制限設定削除

IPアクセス制限の設定

IPアクセス制限は、特定のIPアドレスから攻撃を受けていたり、異常なアクセスを検知した際にブラックリストとしてアクセスを制限することができます。

「サイトセキュリティ」ページを開きます。上部タブの「IPアクセス制限」をクリックし、「ブラックリスト」を開きます。

IPアクセス制限設定画面

「編集ボタン(ペンのアイコン)」をクリックし、入力欄にIPアドレスを入力してください。複数のIPアドレスを入力する際は改行して入力していきます。

IPアドレスを入力

「保存」をクリックし、IPアクセス制限の設定は完了です。

WordPressセキュリティの設定[推奨]

WordPressを利用している方はこちらのセキュリティ設定を確認しておきましょう。ConoHa WINGでは、デフォルトで必要なセキュリティ設定はされてますが、念の為確認しておくと良いと思います。

「サイトセキュリティ」ページの上部タブにある「WordPressセキュリティ」をクリックしてください。

ログイン制限の設定

短時間に複数回ログイン試行があった際に一定期間ログインを制限する機能です。悪意のあるbotによる総渡攻撃対策に有効です。

「ON」になっているか確認しましょう。

ログイン制限画面

コメント制限の設定

コメント投稿機能はスパム攻撃の対象になりやすい部分です。短時間に大量のコメントやトラックバックが検知された際に、コメントの制限を行います。

「海外コメント/トラックバック」は海外からのすべてのコメント、トラックバックを制限します。こちらは全て制限してしまうものなので、海外向けコンテンツの場合は「OFF」のままで良いと思います。必要に応じて設定しましょう。

コメント制限画面

海外アクセス制限の設定

サイバー攻撃のほとんどは海外からの攻撃です。「ダッシュボード」や「XML-RPC API」、「REST-API」など攻撃の対象となりやすい部分に海外からのアクセスを制限します。

「ON」になっているか確認しましょう。

海外アクセス制限画面

ConoHa WINGのセキュリティ設定のまとめ

ConoHa WINGのセキュリティ設定は複雑な手続きは必要なく、とてもシンプルな手順で設定が完了できたと思います。

既にデフォルトで設定してくれている項目も多いので、初心者の方でも安心して対応できたのではないでしょうか。

WordPressはとても優れたCMSですが、サイバー攻撃の標的になりやすいのも事実です。しっかりと対策して、安心してWebサイト運用を行いましょう。

Ads