エックスサーバーのセキュリティ設定まとめ【WordPress】



当サイトではエックスサーバーを使っています。
多くのセキュリティ設定が備わっており、おすすめのサーバーです。
海外からアクセスしない人は、全て設定しておくと安心です。

xserver202208

二段階認証とSMS認証

長くなりましたので分けました。

エックスサーバーの二段階認証とSMS認証でセキュリティ強化

WordPressセキュリティ設定

WordPress の国外からのアクセスや、ブルートフォースアタック攻撃(パスワード総当り)を防止することができます。

「国外IPアクセス制限設定」から国外からのアクセスを防止します。
2022年からは、攻撃されやすい wlwmanifest.xml ファイルも設定することができ、より安全になりました。

たとえば、設定した状態で海外からダッシュボードを開こうとすると「管理画面へのアクセスが拒否されました」と表示されます。

「ログイン試行回数制限設定」

「コメント・トラックバック制限設定」

WordPressセキュリティ設定【エックスサーバー】

SMTP認証の国外アクセス制限設定

海外からのメールを制限することができます。

設定するドメインを選択します。

「ONにする」にチェックを入れて「設定」ボタンをクリックして設定完了。

SMTP認証の国外アクセス制限【エックスサーバー】

FTP制限

FTP に接続する IP アドレスを設定して、不正アクセスを防ぎます。

【FTPソフト】FileZillaのインストール&接続方法

「FTP 接続許可 IP アドレス追加」から設定対象ドメインを選択します。

「現在の IP アドレス***を追加する」にチェックを入れて「確認画面へ進む」ボタンをクリックします。

「追加する」をクリック。

設定完了。

「FTP 接続許可 IP アドレス一覧」を開き、こんな風になっていたらOKです。

プロバイダによっては自動的に IP アドレスが変わることにより FTP を開くと「530 Login incorrect」エラーになる時があります。
その場合は、サーバーパネルの「FTP 接続許可 IP アドレス一覧」から IP アドレスを削除し、再度登録すると開けるようになります。

FTP制限設定【エックスサーバー】

WAF 設定

Web アプリケーションの脆弱性を悪用した攻撃からサイトを守ることができます。

ただし「コマンド対策」を ON にしていると、記事を更新した時に「501エラー」が発生する場合があります。
この場合は OFF にすると更新することができますが、反映されるまで30分くらいかかります。

もし記事を書いている途中で「501エラー:対応していないメソッド(MOVE/COPYなど)を使用した」になった場合は、すぐにコピペしてテキストファイルなどで一時保管した方が良いです。全部消えます!

kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。

WAF設定【エックスサーバー】

なぜか Amazon アソシエイトでもコマンドエラーになる時があるのですが、めんどくさいので止めてほしいです…