レンタルサーバーが普及し、多くの人が手軽にしかも低価格で利用できるようになったため、独自のブログサイトやホームページを開設している人も多いかと思います。
それと共に、最近はどこどこのサイトが改ざんされたとか、不正アクセスの踏み台として使われていたといったセキュリティー上の問題もクローズアップされるようになってきました。
無料のブログサイトやAmazon、楽天などのASPサービスを使ったネットショップでは意識することがないと思いますが、EC-CUBEやWelCart、WordPressといったCMSを使ってレンタルサーバー上に独自のサイトを構築した場合には、サイトのセキュリティー設定を自身で行う必要があります。
しかし恐れる必要はありません。
レンタルサーバーを提供する会社では、これらのセキュリティー設定をユーザーが簡単にできるようにいろいろな機能を準備してくれているからです。
今回は、エックスサーバーが提供するセキュリティー機能の中で是非設定しておきたい機能およびその設定方法を紹介します。
エックスサーバーが提供するセキュリティー機能
エックスサーバーでネットショップを運営するなら最低限設定しておきたいセキュリティー機能は以下の通りです。
・SSH設定
・FTP制限設定
・WAF設定
これらの設定方法について以下でご紹介してきます。
SSH設定
SSH設定とは何?という人はそもそもこの機能を使う必要はないはずです。
エックスサーバーの初期値では、このSSH設定は無効になっています。
つまりSSH接続は利用不可となっているわけです。
多くの人はSSH接続は使用することがないと思いますので、このまま無効としておくとよいでしょう。
FTP制限設定
ネットショップやブログサイトを運営する上でFTP接続は必須です。
画像をアップロードしたり、ファイルを編集したりする場合など利用頻度は多くはないものの必ず使う機能です。
従って、SSHのように機能自体を無効にするわけにはいきません。
そこでこのFTP制限設定の出番です。
FTP制限設定とは、FTP接続できるクライアント(場所)を制限することで不正アクセスを防ごうというものです。
具体的には、レンタルサーバーにFTP接続できるクライアントのIPアドレスを指定し、指定されたIPアドレス以外からの接続を拒否するという機能です。
※ここでいうクライアントとはサイト運営者のパソコンなりスマホなどの端末で、サーバーはレンタルサーバー上の自社サイトのことを指します。
個人宅あるいは事務所にインターネット回線を引いている場合、割り当てられるIPアドレスは大抵一つです。
そしてこのIPアドレスは、固定ではなくルーター(大抵固定電話などの近くに置かれているチカチカランプが光っている弁当箱くらいの箱です。)の電源OFF/ONで変わってしまう場合が多いです。
従って、IPアドレスが変わったら、この設定も変更しないといけないという煩わしさは伴うのですが、普段はルーターの電源を切ることはないと思いますので、それほど変更頻度は高くないのではないかと思います。
この設定をすることで不正アクセスのリスクを低減できることを考えれば、多少面倒でも設定しておくことをおススメしたい機能です。
設定方法
エックスサーバーの「サーバーパネル」にログインし、「FTP制限設定」を選択します。
FTP制限をかけたいドメインを選択します。
※今回はドメインレベルでなくサーバー全体で制限をかけるのでどれでもOK。
「FTP接続許可IPの追加」タブをクリックして、接続許可するIPアドレスを設定します。
※画面中央に現在接続しているパソコンなりスマホのIPアドレスが表示されていますので、同じ端末からFTP接続を行うのであれば、このIPアドレスを入力し、「許可IPの追加(確認)」ボタンをクリックしてください。
※接続する場所が複数ある場合(例えば自宅と事務所等)は、IPアドレスが異なりますのでそれぞれのIPアドレスをここで追加してください。
先ほど追加したIPが表示されます。
間違いがないことを確認したら「許可IPの追加(確定)」ボタンをクリックしてください。
「FTP接続許可IPの一覧」タブをクリックすると現在接続が許可されているIPアドレスの一覧が表示されます。
以上でFTP制限設定は完了です。
WAF設定
WAFという単語、多くの方は聞きなれない単語だと思います。
Web Application Firewallを略してWAF(ワフ)と呼びます。
ウェブサイトに対する悪意のある操作を防ぐことを目的とした機能です。
エックスサーバーでは2018年7月18日にリリースされたばかりの機能です。
WAFは初期値で無効になっています。
無償で使える機能なので設定しておきましょう。
※ウェブサイトの作りによっては必要な機能が動かなくなってしまったりする可能性がありますので本設定を行った後は、必ずサイトの動作確認を実施してください。
正常に動作しない場合には、本来であれば原因を特定して修正するのが正しいのですが、原因特定にはITスキルが必要になりますので、わからない場合は、WAFの機能を無効に戻しておきましょう。
設定方法
エックスサーバーの「サーバーパネル」にログインし、「FTP制限設定」を選択します。
WAF設定をする対象ドメインを選択します。
初期値では、すべての設定はOFFの状態です。
特別設定してはいけない項目として思い当たる節がないのであれば、基本的にはすべての設定をONにし、サイトの動作検証で不具合がでた場合にOFFにするといった設定でよいでしょう。
※本番環境で実施するとお客様が購入しようとしていたのに不具合で購入できなかったなどの事態が発生しますので、お客様のいない時間帯に実施するか、テスト環境などで事前に動作検証をすることをおススメ致します。 
機能をONにした後も設定が反映されるまでに時間が掛かるようなので動作検証は、時間をおいてから再度実施されることをおススメします。
以上でWAF設定は完了です。
まとめ
今回はエックスサーバーのセキュリティー設定について、最低限実施しておきたい機能の設定方法をご案内いたしました。
機会があればほかのレンタルサーバーのセキュリティー設定についても記載したいと思います。
コメント