「XserverのWAF設定ってONにした方がいいの?」「設定したら、サイトが表示されなくなるエラーが起きそうで怖い…」「専門用語が多くて、どの設定が正しいのか正直よく分からない」
こんな悩みを抱えていませんか?
ご安心ください。XserverのWAFは、あなたのサイトを不正アクセスや改ざんから守るために必ずONにすべき重要な機能です。
そして、WAF設定で最も大切なのは「正しい手順で設定し、万が一エラーが出た際の対処法を事前に知っておくこと」、この2つに尽きます。
この記事では、サーバーの専門知識がない方でも迷わず設定できるよう、WAFを有効化する全手順を豊富な画像付きで徹底解説します。さらに、よくあるエラーの原因と具体的な解決策、WAFと併せて行うべきおすすめのセキュリティ設定まで網羅的にご紹介。
この記事を最後まで読めば、セキュリティに対する漠然とした不安から解放され、自信を持ってサイト運営に集中できるようになります。
- サイト運営にWAF設定が必須な理由
- 5分で完了!初心者でも安心のWAF設定5ステップ
- 防御ルールは「すべてON」でOK
- エラーも怖くない!原因の特定方法とカンタンな解決策
- WAFとセットで効果UP!おすすめ追加セキュリティ設定
XserverのWAF設定は必須!設定しないと危険な3つの理由
「そもそもWAFって何?」
「設定しないと、そんなに危ないの?」
まずはじめに、なぜXserverのWAF設定があなたのWebサイトに絶対に欠かせないのか、その理由を分かりやすく解説します。
少し専門的な話も出てきますが、「サイトを守るための大切な盾」のようなものだとイメージしながら読み進めてみてください。
そもそもWAFとは?ファイアウォールとの違いを初心者向けに解説
WAF(ワフ)とは、「Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)」の略です。
一言でいうと、Webサイトの「アプリケーション層」を狙ったサイバー攻撃から守ってくれるセキュリティ対策の専門家です。
ここでよく似た言葉に「ファイアウォール」がありますが、役割が少し違います。
ファイアウォール
家の「門番」。不審な人が敷地に入ってこないかを見張る役割。
WAF
家の中まで入ってきた「訪問営業や空き巣」が、悪さをしないか見張る役割。
ファイアウォールは、Webサイト全体への不審なアクセス(=門番)を防ぎますが、許可された通信(=訪問者)の中に紛れ込んだ攻撃までは見抜けません。
一方、WAFはWebサイトの中身、特にWordPressのログイン画面やお問い合わせフォームといったプログラム(アプリケーション)のやり取りを監視し、不正な攻撃(=訪問営業や空き巣の悪さ)をブロックしてくれます。
つまり、WAFは従来のファイアウォールだけでは防ぎきれない、より巧妙な攻撃からサイトを守るために必要なのです。
なぜWAFが必要?設定しないと起こりうるWebサイトの脅威
もしWAFを設定していないと、あなたのWebサイトは常に以下のような危険にさらされていることになります。
- サイトの改ざん: トップページが全く関係のない画像に書き換えられたり、不適切な内容が表示されたりします。
- 個人情報の漏洩: お問い合わせフォームなどから得た読者の名前やメールアドレスが盗まれてしまう可能性があります。
- ウイルスの拡散: サイト訪問者がウイルスに感染するような、悪質なサイトに作り変えられてしまうこともあります。
- 金銭的な被害: クレジットカード情報を扱うサイトの場合、情報が盗まれ不正利用される危険性があります。
このような事態が一度でも起きてしまうと、今までコツコツ積み上げてきたサイトの信頼は一瞬で失われてしまいます。
XserverのWAFは無料で使える高機能なセキュリティ対策
「そんなに大事な機能なら、利用料が高いのでは?」と心配になるかもしれませんが、ご安心ください。
XserverのWAFは、Xserverを利用している方なら誰でも無料で利用できます。
てっちゃん追加料金は一切かかりません。
難しい専門知識がなくても、サーバーパネルからボタンを数回クリックするだけで、あなたのサイトを強力なサイバー攻撃から守ることができます。使わない手はない、非常にお得で重要な機能なのです。
【画像で解説】XserverのWAF設定 5つのステップ
ここからは、実際にXserverの管理画面を見ながら、WAFを設定する具体的な手順を5つのステップで解説していきます。
画像と同じように進めていけば、初心者の方でも5分ほどで完了できますので、一緒に作業していきましょう。
ステップ1:Xserverのサーバーパネルにログインする
まずは、お使いのXserverアカウントの「サーバーパネル」にログインします。
Xserverから契約時に送られてきているメールなどに記載のIDとパスワードを使ってログインしてください。
▼Xserver サーバーパネル ログイン画面
ステップ2:「WAF設定」へアクセスする
サーバーパネルにログインしたら、トップページにある「セキュリティ」という項目の中の「WAF設定」をクリックします。
▼サーバーパネル トップページ
てっちゃんエックスサーバーの画面は新デザインになっています!
ステップ3:設定をしたいドメインを選択する
WAFを設定したいサイトのドメイン名を選び、右側にある「選択する」ボタンをクリックします。
複数のサイトを運営している場合は、間違えないように注意しましょう。
▼ドメイン選択画面
てっちゃんドメイン選択しなくても下にスクロールすれば変更することができます!
ステップ4:WAFを「ON」にする
設定画面が開いたら、「WAF設定」という項目が「OFF」になっているはずです。これを「ON」に変更します。
▼WAF設定画面(ON/OFF切り替え)
てっちゃん「ONにする」を選択したら、下にある「設定する」ボタンをクリックするのを忘れないようにしてください。
ステップ5:各防御ルールを確認する(基本はすべてONでOK)
WAFには、「SQL対策」「XSS対策」といった専門用語が並んだ設定項目が表示されます。
難しく見えるかもしれませんが、基本的にはすべて「ON」のままで問題ありません。
これらはすべて、サイトを様々な攻撃から守るための大切なルールです。特別な理由がない限り、すべてONの状態で利用しましょう。
てっちゃん以上で、基本的なWAF設定は完了です。お疲れ様でした!
WAF設定後にエラー?よくある原因と誤検知の対処法
「WAFをONにしたけど、サイトがちゃんと動くか心配…」
「もしエラーが出たら、どうすればいいんだろう?」
WAFは非常に優秀なセキュリティ機能ですが、ごくまれに正常なアクセスまで「攻撃かもしれない」と間違えてブロックしてしまうことがあります。これを「誤検知(ごけんち)」と呼びます。
でも、大丈夫です。ここでは、そんな「もしも」の時に慌てず対処できるよう、原因の調べ方と解決策を分かりやすく解説します。
エラーが出た時に一番にチェック!
まずは確認!サイトは正常に表示されるか?
WAF設定をONにしたら、まず以下の3つの操作が問題なくできるかを確認しましょう。
- サイトのトップページや記事が正しく表示されるか?
- WordPressの管理画面にログイン・ログアウトできるか?
- 新しい記事を下書き保存できるか?
これらの基本的な動作に問題がなければ、WAF設定は正常に機能しています。ひとまず安心してください。
原因究明の鍵!WAFの「ログ」を確認する方法
もしサイトに何らかの問題が発生した場合、原因を特定するための最大のヒントが「ログ」に隠されています。
ログとは、WAFが「このアクセスは怪しい!」と判断してブロックした記録のこと。いわば、セキュリティの活動日誌のようなものです。
ログは、サーバーパネルの「アクセス解析」内にある「アクセスログ」や「エラーログ」タブから確認できます。
▼WAFログの確認画面
ログを見ることで、「いつ」「誰が(どのIPアドレスから)」「どんな理由で」ブロックされたのかが一目で分かります。これが原因究明の大きな手助けになります。
【パターン別】具体的なエラーの解決策
ここでは、WAF設定後によく報告されるエラーのパターンと、その解決策をご紹介します。
WordPressのプラグイン更新・記事保存ができない場合
特定のプラグインを更新しようとしたり、記事を保存しようとしたりした時にエラーが出ることがあります。
これは、プラグインやWordPress本体の通信内容が、WAFの防御ルールに偶然引っかかってしまったことが原因です。
一時的に、WAF設定画面でエラーの原因となっていそうな防御ルール(例えば「SQL対策」や「XSS対策」など)をOFFにし、作業が終わったら必ずONに戻してください。
自分のIPアドレスがブロックされてしまう場合
サイトの管理作業(プラグインの連続更新など)を短時間で集中的に行うと、WAFに攻撃とみなされてしまい、ご自身のパソコンからサイトにアクセスできなくなることがあります。
ブロックは一時的なものであることがほとんどです。まず30分〜1時間ほど時間をおいてから、再度アクセスしてみてください。
もし急いで作業をする必要がある場合は、「アクセス&エラーログ」を確認して原因となっている防御ルールを特定し、そのルールのみを一時的にOFFにしてください。
どうしても解決しない場合はWAFを一時的にOFFにする
上記の方法を試してもエラーが解決しない、原因が全く分からない、という場合の最終手段です。
一度WAF設定を「OFF」に戻して、サイトが正常に動くかを確認してみてください。OFFにして問題が解決する場合、原因はWAFにあることが確定します。
その際は、状況をXserverのサポートに問い合わせてみることをお勧めします。ただし、セキュリティが低下するため、WAFをOFFにしたまま放置することだけは絶対に避けてください。
【推奨】WAFと合わせて行いたいXserverのセキュリティ設定3選
WAFを設定しただけでも、あなたのサイトのセキュリティは格段に向上しました。
ここではさらに一歩進んで、WAFと組み合わせることで、よりサイトを鉄壁に守ることができるXserverの便利なセキュリティ機能を3つご紹介します。
これらも全てサーバーパネルから簡単に設定できますので、ぜひ合わせて設定しておくことをお勧めします。
セキュリティ設定画面
WordPressセキュリティ設定
これは、WordPressの管理画面への不正ログインを防ぐための非常に強力な機能です。
「ブルートフォース攻撃」という、パスワードを片っ端から試して強引にログインしようとする攻撃を聞いたことがありますか? この設定は、そうした攻撃への対策に特化しています。
具体的には、以下のような設定が可能です。
- ログイン試行回数を制限する
- 管理画面への海外からのアクセスを制限する
- ログインURLを変更して特定されにくくする
特に「ログイン試行回数の制限」は、不正ログイン対策として非常に効果が高いため、必ず設定しておきましょう。
設定項目
てっちゃん基本的には、全部「ON」で大丈夫です!
国外IPアクセス制限設定
Webサイトへの不正アクセスの多くは、海外のサーバーを経由して行われます。
この「国外IPアクセス制限」を設定しておけば、海外からのアクセスをまとめてシャットアウトできるため、多くの攻撃を未然に防ぐことが可能です。
日本の読者だけを対象にしているサイトであれば、設定しておいて損はありません。
コメント・トラックバック制限設定
WordPressのコメント欄は、残念ながら海外からのスパム(迷惑行為)の標的になりやすい場所です。
大量の宣伝コメントを書き込まれたり、悪質なサイトへのリンクを貼られたりすることがあります。
この設定では、海外IPアドレスからのコメントやトラックバックの投稿を制限することができます。これにより、コメントスパムの大半を防ぎ、サイトの健全性を保つことができます。
XserverのWAF設定に関するよくある質問(FAQ)
最後に、XserverのWAF設定に関して、多くの方が疑問に思う点をQ&A形式でまとめました。
Q. WAFの利用に料金はかかりますか?
A. いいえ、かかりません。
XserverのWAFは標準機能として提供されており、Xserverのサーバー契約をしている方なら誰でも無料で利用できます。追加料金は一切発生しませんのでご安心ください。
Q. WAFをONにするとサイトの表示速度は遅くなりますか?
A. いいえ、体感できるほどの速度低下はほとんどありません。
WAFはすべてのアクセスをチェックするため、理論上はごくわずかな負荷がかかります。しかし、Xserverの高性能なサーバー環境では、その影響は人間が感知できないレベルです。サイトの表示速度への心配は不要と考えて問題ありません。
Q. WAFをOFFにするのはどんな時ですか?
A. サイトでエラーが発生した際の、原因切り分けのために一時的にOFFにする場合に限定されます。
例えば、「プラグインを更新できない」といった問題が起きた際に、原因がWAFにあるのかどうかを確かめるために一度OFFにしてみる、といった使い方です。問題解決後は、必ずONに戻すことを忘れないでください。セキュリティ上の理由から、常時OFFにしておくことは絶対にお勧めできません。
まとめ
今回は、XserverのWAF設定の方法から、エラーが出た際の対処法、そして合わせて行いたいセキュリティ対策までを詳しく解説しました。
WAF設定は、専門知識がなくても簡単なステップで完了できる、非常に効果の高いセキュリティ対策です。
この記事の手順通りに進めれば、あなたのサイトは不正アクセスやサイト改ざんの脅威からしっかりと守られます。
セキュリティに対する漠然とした不安を解消し、これからは安心して、あなたが本当にやりたかった記事の執筆やサイト運営といった「攻め」の作業に集中していきましょう!
てっちゃんプラグインも併せてセキュリティ対策をするとさらに安心!
LINEで質問受付中
この記事が気に入ったら
フォローしてね!