レンタルサーバーのセキュリティ対策チェックリスト

レンタルサーバーを契約したあと、「セキュリティ対策はサーバー会社が全部やってくれる」と思っている方は少なくありません。しかし実際には、サーバー会社が守るのはサーバー本体の物理的・ネットワーク的な部分が中心で、運用上のセキュリティはユーザー側の設定次第です。

この記事では、中小企業がレンタルサーバーを安全に運用するために確認・設定しておきたい項目をまとめます。

サーバーのセキュリティはどこまで任せられるか

レンタルサーバー会社が提供するセキュリティと、利用者が設定するセキュリティの分担を理解しておきましょう。

サーバー会社が担当する範囲

主要なレンタルサーバーは、以下のような対策を基本的に提供しています。

• データセンターの物理セキュリティ（入退室管理・監視カメラ等）
• サーバーOSやソフトウェアのセキュリティアップデート
• DDoS攻撃（大量アクセスによるサーバー停止攻撃）への基本的な対策
• サーバー機器の障害対応・交換

利用者が設定する範囲

以下は、利用者側で設定が必要な項目です。放置すると不正アクセスや情報漏えいの原因になることがあります。

• SSL（HTTPS化）の有効化
• WordPressのアップデートとセキュリティ設定
• ファイルのアクセス権限（パーミッション）管理
• 管理画面への不正ログイン対策
• バックアップの取得と管理

SSL（HTTPS化）の設定

サイトのHTTPS化は、セキュリティ対策の出発点です。まだhttp://のままのサイトがあれば、最初に対応してください。

Let's Encryptなどの無料SSL証明書を使って、管理画面から数クリックで有効化できるサーバーが大半です。有効化後は、http://からhttps://へのリダイレクト設定も合わせて行いましょう。

SSLの設定手順については「SSLとは？サイトに必要な理由と設定の基礎知識」も参考にしてください。

WAF（Webアプリケーションファイアウォール）の有効化

WAFは、不正なリクエストやSQLインジェクション・クロスサイトスクリプティングなどのWebアプリケーション攻撃をフィルタリングする仕組みです。主要なレンタルサーバーは標準またはオプションでWAFを提供しています。

管理画面からワンクリックで有効化できるものが多いため、まず対応状況を確認しましょう。WordPressを運用している場合は、WAFの有効化が特に効果的です。

WAFを有効にした後、正常なフォーム送信が誤ってブロックされることがあります。問い合わせフォームや決済フォームが使えなくなった場合は、WAFの除外設定やルール調整が必要になることがあります。

WordPressのセキュリティ設定

WordPressは攻撃の標的になりやすいCMSです。以下の対策を確認してください。

バージョンの更新

WordPressのコア・テーマ・プラグインは定期的にセキュリティアップデートが提供されます。古いバージョンには既知の脆弱性が残っているため、定期的に更新することが重要です。

管理画面の「ダッシュボード → 更新」から確認できます。自動更新を有効にしておくと、マイナーアップデート（バグ修正・セキュリティパッチ）は自動で適用されます。

不要なプラグイン・テーマの削除

使っていないプラグインやテーマが有効化されたまま残っていると、脆弱性が発生した際のリスクになります。使っていないものは無効化するだけでなく、削除してください。

管理者ユーザー名とパスワード

デフォルトのユーザー名adminを使っていると、総当たり攻撃を受けやすくなります。管理者ユーザー名は固有のものに変更し、パスワードは英数字・記号を含む12文字以上のものを設定しましょう。

ログイン試行回数の制限

WordPressのデフォルトでは、ログイン試行回数に制限がありません。「Limit Login Attempts Reloaded」などのプラグインを使って、失敗回数を制限することをおすすめします。

バックアップの取得と管理

バックアップはセキュリティの最後の砦です。不正アクセスでサイトが改ざんされたり、誤操作でデータが消えたりしたときに、バックアップがあれば復元できます。

サーバー側の自動バックアップを確認する

契約しているサーバーの自動バックアップ機能を確認しましょう。確認すべき内容は次のとおりです。

• バックアップが標準で有効になっているか、設定が必要か
• 取得頻度（毎日・週次など）と保持期間（7日・14日など）
• 管理画面から自分で復元できるか、申請が必要かどうか

WordPress側でも個別にバックアップを取る

サーバーの自動バックアップに加え、WordPressのプラグイン（UpdraftPlusなど）を使ったバックアップも設定しておくと安心です。バックアップ先をDropboxやGoogleドライブなどの外部ストレージにすると、サーバーの障害時にも保全できます。

アクセス制限の設定

管理画面へのアクセスを制限することで、不正ログインのリスクを減らせます。

WordPressの管理画面にIP制限をかける

WordPressの/wp-admin/ディレクトリへのアクセスを特定のIPアドレスに限定できます。.htaccessファイルに次の記述を追加することで、指定IPアドレス以外のアクセスを拒否できます。

<Files wp-login.php>
  order deny,allow
  deny from all
  allow from 自社のIPアドレス
</Files>

固定IPアドレスを持っていない場合は、基本認証（BASIC認証）をWordPress管理画面に設定する方法もあります。多くのサーバーは管理画面からBASIC認証を設定できます。

FTPではなくSFTPを使う

FTP（File Transfer Protocol）は通信が暗号化されていないため、接続情報が盗まれるリスクがあります。SFTP（SSH File Transfer Protocol）を使うと、通信が暗号化されます。主要なレンタルサーバーはSFTPに対応しています。

ログイン情報の管理

サーバーやWordPressの管理画面ログイン情報を安全に管理することも、セキュリティ対策の一部です。

• サーバー・ドメイン・WordPressのパスワードをそれぞれ異なるものにする
• パスワードは1Password・BitwardenなどのパスワードマネージャーまたはIT管理ツールで保管する
• 制作会社に渡したアカウントは、担当者変更時に速やかにパスワードを変更する

チェックリスト

以下の項目を定期的に確認する習慣を持つと、セキュリティの状態を維持しやすくなります。

• [ ] サイトのSSLが有効で、HTTPSにリダイレクトされているか
• [ ] WAFが有効化されているか
• [ ] WordPressのコア・テーマ・プラグインが最新バージョンかどうか
• [ ] 使っていないプラグイン・テーマが削除されているか
• [ ] WordPressの管理者ユーザー名がadminでないか
• [ ] バックアップが定期的に取得されているか、復元テストを行ったことがあるか
• [ ] FTPではなくSFTPを使っているか

まとめ

レンタルサーバーのセキュリティ対策は、サーバー会社任せにできない部分が多くあります。SSL・WAF・WordPressの更新・バックアップ・アクセス制限の5つが基本の柱です。

IT担当者がいない場合でも、管理画面から設定できる項目がほとんどです。不明な点がある場合は、専門家に設定を確認してもらうことで、見落としを防げます。