こちらのページでは、エックスサーバーでWAFを設定する方法を説明します。
WAFとは、WEBアプリケーションファイアウォールの略で、WEBアプリケーション向けのセキュリティ対策ソフトになります。
WordPressもWEBアプリケーションになるので、WAFを設定しておくことでセキュリティ対策になります。
WordPressは不正アクセスの対象になりやすいツール!
WordPressは世界中に非常に多く利用者がいて、悪意のあるユーザーから狙われやすいWEBアプリケーションです。
WEBサイトの規模にかかわらず、常に不正アクセスの危険性があるのがデメリットです。
その為のセキュリティ対策は必須で、WAFも強力な対策になるので、ぜひ設定しておきましょう!
WAFについて
WAFとはWEBアプリケーションファイアウォール(Web Application Firewall)の略で、そのままですが、WEBアプリケーション用のセキュリティ対策ソフトになります。
名前にファイアウォールと付いていますが、昔からあるPCなどに入っているファイアウォールとは別物になります。
WAFでは、「シグネチャ」という攻撃パターンを記録したルール集のようなモノ利用しており、シグネチャに記録された情報を元に不正アクセスを検知しています。
その為、非常に強力なセキュリティ対策となります。
WEBアプリケーションには多くの脆弱性が存在していて、その脆弱性をついた攻撃から守ってくれるソフトウェアになります。
その為、WAFは自身のWEBサイトを不正な攻撃から守ってくれるありがたい存在です。
さらに、最近では、多くのレンタルサーバーで標準で搭載されているソフトです。
レンタルサーバー側でWAFが用意されている場合には、必ず設定するようにしましょう。
WAFの設定は、非常に強力な脆弱性対策になります。
ただし、WAFだけで不正アクセスを100%防げる訳ではないので、その点は注意しておきましょう。
WordPressのプラグインなども利用して、しっかりと対策を行うようにしましょう。
エックスサーバーでWAFを設定する方法
WAFの設定はサーバーパネルから行います。
サーバーパネル:https://secure.xserver.ne.jp/xapanel/login/xserver/server/
↓
ログインすると、このようなサーバーパネルの画面が開きます。
この画面の右下に「セキュリティ」の項目があり、その中に「WAF設定」メニューがあるのでクリックしてください。
↓
次の画面では、WAFを設定するドメインを選択してください。
※WAFはドメイン単位で設定することができます。
↓
ドメインを選択すると、WAFの設定画面が開きます。
画面を下へスクロールしてみてください。
6つのチェック項目がありますが、デフォルトでは全てOFFになっています。
6項目あるので各自の環境に合わせて設定して貰えばいいのですが、特に理由が無ければ全てONへ変更してしまいましょう。
今回も、全てONへ変更してしまいます。
変更したら、「確認画面へ進む」をクリックしてください。
↓
確認画面へ遷移するので、内容をチェックしてください。
内容に問題が無ければ、「設定する」をクリックしてください。
↓
これで、WAFの設定が完了しました。
簡単に設定できましたね!
皆さんも、ぜひ利用してください。
WAFの誤検知について【注意点!】
WAFの利用で気を付けべきなのが、"WAFによる誤検知"です。
本来は正常な更新作業にもかかわらず、WAFが不正アクセスと誤った判断をして「更新エラー」が発生することもあります。
例えば、WordPressの記事更新時やウィジェットの設定時など、様々な場面で出ることがあります。
もちろん、他のCMSやオリジナルのWEBアプリでも、WAFによる誤検知が発生することはあります。
その場合には、全てをOFFにしないで、関連する項目のみをOFFにしましょう。
もしくは、WordPressの更新時にのみWAFをOFFに切り替えて、更新完了後にONに戻すのもおすすめです。
面倒ですが、やはりセキュリティ対策は行っておいて損はないので、完全にOFFにするのは避けた方がいいです。
まとめ
こちらのページでは、エックスサーバーでWAFを設定する方法を説明しました。
エックスサーバーでは、デフォルトではWAFが無効に設定されています。
その為、WAFを利用する場合には、サーバーパネルから有効化しておく必要があります。
WAFを設定すると、誤検知で正常な更新作業でエラーが発生することもあります。
ですが、そこはセキュリティ優先で完全にOFFにするのは避けた方がいいです。
WAFは非常に強力なセキュリティ対策になるので、ぜひ設定しておきましょう。
