【2024年最新版】エックスサーバーのWAF設定でセキュリティ強化

Webサイトのセキュリティ対策が必要な理由

不正アクセスによる被害

Webサイトに対する攻撃は、大企業や中小企業といった企業規模に関係なく起こっています。中小企業では大企業に比べてセキュリティ対策が強化されていないこともあり、そういった点を悪質なハッカーたちは狙っています。

実際にWebサイトに対して不正アクセスが行われ、Webサイトに表示しているコンテンツが改ざんされる場合や、サイトの内容とは全く関係ないコンテンツが大量に生成されてしまう場合もあります。

不正アクセスの被害が発生すると企業としての信用が失墜してしまう自体にもなりかねません。

もちろんセキュリティ対策を強化したからといって、完全に悪質なサイバー攻撃を防げるわけではありませんが、少しでもリスクを減らすための対策を行いましょう。

Googleのスパムに関するポリシー

Googleでは、Googleを利用するユーザーを保護し、高品質な検索結果をユーザーに提供するために「Google ウェブ検索のスパムに関するポリシー」を定めています。

不正アクセスによってハッキングされたWebサイトでは、情報の改ざんによって本来の目的とは異なるコンテンツが表示されたり、ユーザーに不利益を与える可能性があるコンテンツを大量に自動生成する場合があります。

そのような状態のWebサイトが検索結果に表示されないように、Google側で手動対策が行われ、最悪の場合はWebサイトが検索結果から除外されてしまう可能性があります。

一度検索結果から除外されてしまったり、ユーザーから悪質なサイトと認識されてしまってからでは、信頼を回復するまでに多くの時間を費やすことになってしまいます。

WAFとは

WAF（Web Application Firewall）とは、Webアプリケーションの脆弱性を狙った攻撃からWebサイトを守るためのセキュリティ対策です。

仕組みとしては、Webサーバー（レンタルサーバーなど）に設置され、通信を検知して解析を行い、悪質な攻撃と判断した場合にアクセスを遮断することによって、WebサーバーにアップされているWebサイトの保護を行います。

エックスサーバーのWAF設定について

それでは、エックスサーバーのWAF設定の手順を紹介していきます。

WAF設定方法

手順としては下記になります。

1. エックスサーバーのサーバーパネルにログイン
2. サーバーパネル内のWAF設定をクリック
3. 設定対象ドメインの選択
4. WAF設定項目の変更

サーバーパネルへのログイン

まずはエックスサーバーのサーバーパネルにログインをしましょう。※Xserverアカウントではありません。

サーバーIDとサーバーパネルパスワードを入力して「ログインする」をクリックしましょう。

サーバーパネルにログインしたら、「WAF設定」をクリックします。

対象ドメインの選択

ドメイン選択画面で、WAF設定を行う対象のドメインを選択します。※サーバーパネルのトップ画面で設定対象ドメインを選択していない場合

WAF設定項目の変更

初期設定では全てOFF（無効）になっているので、有効にしたい機能がある場合はONにします。※各設定項目については後述します。

ONを選択した状態で、「確認画面へ進む」をクリックします。

設定確認画面

設定した項目に問題なければ、「設定する」をクリックします。

WAF設定完了

問題なければ設定完了画面に移動します。以上でWAFの設定は完了です。

設定項目について

エックスサーバーが提供するWAFの各項目について紹介していきます。

XSS（クロスサイトスクリプティング）対策

JavaScriptなどのスクリプトタグが埋め込まれたアクセスを検知する設定項目です。

例としては、WordPressなどのブログシステムに設置されている検索窓（検索フォーム）やコメント欄に対して行われる攻撃を検知します。

SQL（SQLインジェクション）対策

SQL構文に該当する文字列が挿入されたアクセスを検知する設定項目です。

例としては、データベース登録（会員情報を登録）を行う会員サイトなどで、不正にデータベースを操作するための命令文を実行してデータベースの改ざんや削除、情報漏洩を狙った行う攻撃を検知します。

ファイル（ファイル不正アクセス）対策

「.htpasswd」「.htaccess」「httpd.conf」といったサーバーに関連する設定ファイルが含まれたアクセスを検知する設定項目です。

例としては、画像のアップロードといったファイル操作などが行われる掲示板などで、不正なファイルのアクセスを検知します。

メール（メールの不正送信）対策

「TO」「CC」「BCC」といったメールヘッダーに関連する文字列が含まれたアクセスを検知する設定項目です。

例としては、フォームなどのメール送信機能を備えたWebサイトに対する不正なアクセスを検知します。

コマンド対策

「kill」「ftp」「mail」「ping」「ls」といったコマンドに関連する文字列が含まれたアクセスを検知する設定項目です。

例としては、PHPやPerlなどで作成されたWebアプリケーションに対して、サーバーの重要な情報へのアクセスなどを検知します。

PHP対策

session（セッション）、ファイル操作に関連する関数、脆弱性の元になる可能性の高い関数が含まれたアクセスを検知する設定項目です。

例としては、WordPressやEC CUBEなど、PHPを用いたWebアプリケーション全般に対する管理者権限の乗っ取りやサーバーの乗っ取りに対する攻撃を検知します。

注意点

WAF設定を行う場合、反映までに1時間以上程度かかる場合があります。

WAF設定した直後では、上記のように「反映待ち」と表示されます。時間を置いて反映状況を確認しましょう。

反映が完了すると、上記のように「反映待ち」の表示が消えます。

まとめ

本記事では、エックスサーバーのWAF設定について紹介させていただきました。

インターネットの普及が拡大していく現代において、Webサイトを悪質なハッカーなどによる攻撃から守るためにはセキュリティ対策が不可欠です。エックスサーバーのWAF設定を活用して、安全にWebサイトを運営していきましょう。

ちなみに、エックスサーバーでは、本記事で紹介したWAF設定の他にWordPressに特化したセキュリティ強化機能も提供されています。使い方については別の記事で紹介しているのでぜひご覧ください。

エックスサーバーのWordPressセキュリティ設定の使い方を紹介

現在エックスサーバーでは、12ヶ月以上の新規契約で利用料金が最大30％オフになるキャンペーンを実施中です。

キャンペーン期間は2024年11月5日（火）17:00までとなっているので、この機会に安心と信頼の実績があるエックスサーバーをお得に契約しましょう！