人気レンタルサーバーのセキュリティ対策を徹底比較!おすすめのレンタルサーバーも紹介

なぜ、セキュリティが高いレンタルサーバーを選んだほうが良いのか?

こんにちは、スイッチです。
レンタルサーバーを選ぶとき、価格や安定性、表示速度、サポートなどの基準で選ぶことが多いと思います。
そこで、案外抜けがちなのが、セキュリティ対策です。

「え?どこもセキュリティ対策って万全じゃないの?」と思われるかもしれませんが、そんなことはないのです。
例えば価格が安いという理由だけで選んでしまうと、全くセキュリティ対策ができてなく、外部からの攻撃受けまくりということもあります。
また、大手のレンタルサーバー会社でも、セキュリティ対策はマチマチで、ちょっと甘いなと思うこともあります。

WordPressは脆弱性が多い?

最近は、ブログやサイトをWordpressで作成する人が多いと思います。
セキュリティが高いレンタルサーバーを選んだ方が良い最も大きな理由は、実はここにあるんです。
Wordpressで作られているサイトというのは脆弱性が多く、一般的なWEBサイトよりも外部から狙われやすいと言われています。
検出されるWordpressの脆弱性は、年々増えています。

検出・報告されたWordpressの脆弱性数

その理由の一つがまず多くのユーザーが利用しているというのがあります。今や全世界で公開されているサイトの27%がWordpressで作成されています。
また、Wordpressのプログラム自体が一般に公開されているオープンソースであるため、脆弱性を見つけやすいのです。

ちょっと悪さをしようという者たちからは、絶好のターゲットということですね。

外部から攻撃されるとどんなことが起こるの?

それで、実際外部から攻撃されるとどうなるかというと、

  • WordPressが乗っ取られる
  • ブログやサイトを改ざんされる
  • データを盗まれる

めちゃくちゃ怖いですね。
Wordpressがもし乗っ取られると、ユーザーの管理者権限まで変更された挙句、乗っ取られた人に好き勝手にされてしまいます。
一番多い被害がブログやサイトを改ざんされるというケースですね。

サイトを書き換えられたり、広告やリンクを埋め込まれるというケースもありますが、見た目ではわからない不正なプログラムをサイトに埋め込み、サイト閲覧者のPCにマルウェアを感染させるケースもあります。
気づかずに放置してしまうと被害が拡大し、いつの間にかあなたが加害者となりかねません。

Webサイトの改ざんは現在も月間で300件ほど発生しています。
なかでも過去には外部からの攻撃によりWebサイトが大きな被害を受けています。
2017年には、WordPressのREST APIの脆弱性をついて、バージョンアップされていなかった150万を超えるWebサイトが改ざんされる事件が発生しました。

それだけ、Wordpressには狙われやすい危険性が潜んでいるということですね。

その危険性からブログやサイトを守るのがレンタルサーバーの一つの役割と言えます。
レンタルサーバーが全てを防いでくれるわけではありませんが、セキュリティ対策が万全なサーバーほど攻撃される可能性が低くなることは間違いありません。

レンタルサーバーができるセキュリティ対策とは?

それでは、レンタルサーバーに必要なセキュリティ対策とはどんなものでしょうか。
ちょっとだけ難しい話にはなりますが、お付き合いくださいませ。

①SSL

まずはSSL。SSLはインターネット上のデータのやりとりを暗号化し、第三者に情報の覗き見や盗まれることを防いでくれます。

ChromeがSSLに対応していないページに警告文を表示したり、GoogleがSEOへの影響について言及したことにより、SSLは一般的になりました。
独自SSLを無料で提供するレンタルサーバーも増えてきて、今ではSSL化しているサイトの方が多い気がします。

②WAF

WAF(ウェブアプリケーションファイアウォール)とは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。
Webサイトのセキュリティとしては、ファイアウォールが一般的ですが、そちらはあくまで通信制御を行うもので、通信の中身までは読み取ることができません。
その点、WAFは、通信の中身まで読み取り制御することができ、「SQLインジェクション」や「クロスサイトスクリプティング」、「パラメータ改ざん」等、ファイアウォールでは弾けなかった攻撃まで防ぐことができます。

③IDS/IPS

IDSは不正侵入検知システムで、レンタルサーバーへの通信を監視して、もし異常があれば管理者へ通知してくれます。
IPSは異常な通信があれば、IDSのように管理者へ通知するだけでなく、その通信をブロックするところまでやってくれます。

IDS/IPSが防いでくれる代表的な攻撃が「DoS攻撃」。昔から問題になっているサイバー攻撃ですね。
DoS攻撃とは、ネットワークを通じて攻撃目標であるサイトやサーバに対して大量のデータを送りつけて、正常に動作できない状態に追い込む攻撃のことです。

④Web改ざん検知

Web改ざん検知は、レンタルサーバーにあるコンテンツが改ざんされてないか常時監視するサービスのことです。
もし改ざんなどの異常を検知したら、管理者に通知してくれます。

こちらのサービスを導入しているレンタルサーバーはまだ少なく、導入しているところでも有料オプションのところが多いですね。

⑤国外IPアクセス制限

国外IPアクセス制限は、国外のIPアドレスからのアクセスを制限する機能です。
WordPressの管理画面やシステムへのアクセスを制限することができます。

不正アクセスの多くが海外からのアクセスなので、非常に有効なセキュリティ対策です。

レンタルサーバーのセキュリティ対策を徹底比較

それでは、レンタルサーバー各社がどれくらいセキュリティ対策に力を入れているか見ていきましょう。
今回は、人気のレンタルサーバー10社を比較してみます。

SSL WAF IDS/IPS Web改ざん検知 国外IPアクセス制限
エックスサーバー IDSのみ
mixhost
カラフルボックス
カゴヤ・ジャパン IPSのみ ×
さくらサーバー IPSのみ ×
ヘテムル ×
ConoHa WING × ×
ロリポップ × ×
スターサーバー × × ×
コアサーバー × × ×

いかがでしょうか。
独自SSLについては、ほぼすべてのレンタルサーバーで導入しています。
WAFも導入しているところが増えてきましたが、まだ未導入のところもあります。

以前に比べ、どちらもセキュリティに対する意識がかなり高まってますね。

参考リンク

各レンタルサーバーのスペックや価格については、下記ページにて紹介していますので、ぜひ参考にしてみてください。

WordPressにおすすめのレンタルサーバー徹底比較!2020年最新版

おすすめのセキュリティが高いレンタルサーバーランキングTOP3

それでは、セキュリティ対策やスペックを踏まえて、おすすめのレンタルサーバーをランキング形式で紹介していきます。

【1位】エックスサーバー

やはり第1位は、エックスサーバー。
セキュリティ対策については、ほぼフルスペックで対応しています。
WAFや国外IPアクセス制限も管理画面から簡単で細かく設定できるのもポイントが高いですね。
スペックもそうですが、長い運用実績のなかで大きな事故がないというのが何よりもセキュリティ対策ができている証拠と言えます。
エックスサーバーは他にもメールのセキュリティ対策にも力を入れているので、安心して利用できます。

僕自身も長い間、エックスサーバーを使ってますが、ほぼそういった事故に巻き込まれたことがありません。

【2位】mixhostカラフルボックス

mixhostカラフルボックスは、「imunify360」を導入してるところから2位選びました。
imunify360は、AIを使用した次世代型セキュリティツールです。
過去に検知されたマルウェアだけではなく、まだ知られていない未知のマルウェアにも対応することができます。

Imunify360には、WAFやIDS・IPSなどの様々なセキュリティ機能が含まれていて、それらを「cPanel」という管理画面で一元的に管理できるのも特徴です。
近年の外部からの攻撃は、増えているだけでなく、高度化しているので、このようなAIを搭載したセキュリティツールは非常に頼もしいですね。
mixhostについて詳しくは下記ページをどうぞ。

mixhost(ミックスホスト)の8つのメリットと4つのデメリットを徹底解説!

カラフルボックスについては、下記ページにて詳しく解説してますので、参考にどうぞ。

カラフルボックスの11のメリットと2つのデメリットを徹底解説!

その他のスペック面では、エックスサーバーに劣ってしまうので、残念ながら2位どまりという感じです。

【3位】カゴヤ・ジャパン

案外知られていないのがカゴヤ・ジャパンのセキュリティ対策の充実度。
IPSをいち早く導入したのがカゴヤ・ジャパンで、セキュリティに対する意識が非常に高いですね。
上節でも書いたように、IPSは不正アクセスを検知するだけでなく、ブロックまでしてくれるセキュリティシステム。
また、カゴヤ・ジャパンでは有料にはなりますが、WordPressの脆弱性診断を行ってくれます。スポットまたは定期、自分のスタイルに合わせて選べます。
また、データセンターのサポートも充実していて、土日祝日関係なく連絡して対応してもらうことができます。

個人のブロガーさんだけでなく、企業としてビジネスレベルで運用を考えている方にも安心して利用できるサーバーですね。

どちらのレンタルサーバーもセキュリティ対策は充実していますね。
もちろんレンタルサーバーはセキュリティだけではないので、自分の運営スタイルやサイトの規模に合わせて、総合的に判断して選びましょう。

管理画面から各セキュリティを設定してみましょう

それでは、実際にレンタルサーバーの管理画面からセキュリティの設定をしてみましょう。
今回は、エックスサーバーを使ってやってみます。

SSLを設定してみましょう

まずはSSLの設定をやってみます。
サーバーパネルの「SSL設定」をクリックします。

ドメイン選択画面で対象のドメインの「選択する」をクリック。

内容に問題がなければ、「確認画面へ進む」をクリック。

(個人ブログの場合は、「CSR情報(SSL証明書申請情報)を入力する」は必要ないのでチェックしなくて良いです。)
最後に「追加する」をクリックして完了です。

WAFを設定してみましょう

次にWAFの設定をやってみます。
サーバーパネルの「WAF設定」をクリックします。

ドメイン選択画面で対象のドメインの「選択する」をクリック。

エックスサーバーのWAFには、いくつか設定項目があります。
「ON」をチェックを入れて、「確認画面へ進む」をクリック。

XSS対策 javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
SQL対策 SQL構文に該当する文字列が挿入されたアクセスについて検知します。
ファイル対策 .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
メール対策 to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
コマンド対策 kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
PHP対策 session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。

内容に問題がなければ、「設定する」をクリック。これで設定は完了です。

WordPressによるエラーが出てしまうことも
ただ、注意してほしいのは、WAFの設定をすることで、WEBアプリケーションに影響を及ぼす場合があります。
例えばWordpressのプラグインによっては、403エラーが出てしまうこともあるようです。
そのようなエラーが出た場合は、一旦WAF設定を解除して、どのプラグインが影響があるのかまずはチェックしてみましょう。

国外IPアクセス制限をしてみましょう

次に国外IPアクセス制限をやってみます。
サーバーパネルの「WordPressセキュリティ設定」をクリックします。

ドメイン選択画面で対象のドメインの「選択する」をクリック。

エックスサーバーの国外IPアクセス制限には、いくつか設定項目があります。

ダッシュボード アクセス制限 ダッシュボードに対する国外IPアドレスからの接続を制限します。
XML-RPC API アクセス制限 スマートフォンアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC WordPress API」に対する国外IPアドレスからの接続を制限します。
REST API アクセス制限 「REST API」に対する国外IPアドレスからの接続を制限します。プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外です。

こちらの各項目は、通常はデフォルトで「ON(有効)」になっているので、そのままでOKです。
もしON・OFFの切り替えをする場合は、各項目のON・OFFにチェックを入れ、「設定する」をクリック。
これで設定は完了です。

セキュリティの設定はとても簡単なので、ぜひやっておきましょう。

WordPressが改ざんされてしまった時の対処法

どんなにレンタルサーバー側でセキュリティ対策をやっていても、外部から攻撃を受けて被害を受けることがあります。
実際、あなたのWordpressが改ざんされるなどの被害を受けた場合は、ご自身で気づくこともありますし、レンタルサーバーからメールでお知らせが来る場合もあります。
または、Google Search Consoleから通知メールが届く場合もありますので、まずは状況をしっかり確認しましょう。

被害の状況が確認できたら、Wordpressの復旧をやっていきます。

WordPressの改ざん後の復旧の流れ

①Webデータ&データベースのデータをバックアップ

まずはWebデータとデータベースのデータをバックアップします。
エックスサーバーの場合は、サーバーパネルから手動で簡単にバックアップできます。

Webデータのバックアップ
データベースのバックアップ

もし、復旧作業をやっていく中で、不具合が起きたり、間違えてファイルを消してしまった場合に必要になります。

②ログイン情報を変更

Webサイトに関するログイン情報(ワードプレスの管理画面、サーバーコントロールパネル、FTP情報)などのパスワードを変更。
これらを変更しておかないと、また乗っ取られたり、改ざんされたりしてしまいます。

③国外からのアクセス制限

もし、国外からのアクセス制限ができていなかったら、早急に設定しましょう。
エックスサーバーの場合は、サーバーパネルの「WordPressセキュリティ設定」から設定できます。
設定方法はこちらをご覧ください。

④不正なファイルの修正・削除

不正なファイルを見つけ出すために、「Anti-Malware Security and Brute-Force Firewall」というWordpressのプラグインをインストールします。
スキャンを実行すると、不正なファイルが検出されます。
(不正ファイルが検出されると、ビックリマークの付いたファイルのリストが表示されます)

不正なファイルにチェックを入れ、ファイル修正ボタンをクリックすると、不正なファイルは削除されます。
重要なファイルの場合は、正常なファイルへ修正してくれます。

このような流れで復旧作業を行っても、正常に戻らない場合は専門の業者に依頼しましょう。

レンタルサーバーだけのセキュリティ対策では不十分!Wordpress側もしっかりセキュリティ対策をしよう

レンタルサーバーによるセキュリティ対策について紹介してきましたが、やはりそれだけでは不十分です。
Wordpress側でもしっかり対策をしておきましょう。

WordPressは、常に最新のバージョンへアップデートしておきましょう

WordPressは、バージョンによって脆弱性が含まれていることがあるので、常に最新のバージョンへアップデートしておく必要があります。
5.0からエディタが変更され、使いにくいからアップデートしたくないという人もいるでしょう。
でも、それはとても危険。アップデートの多くはバグや不具合、脆弱性を修正するものなので、必ずアップデートしておきましょう。
また、マイナーアップデートの場合は自動更新されますが、メジャーアップデートの場合は手動になりますのでこちらも忘れずにアップデートしましょう。

ちなみにメジャーアップデートは「5.3.2」の左から一番目と二番目の数字が変わります。

ログイン・パスワードは容易に想像できるものは避けましょう

WordPressの管理画面のログイン・パスワードは容易に想像できるものは避けましょう。
特にユーザー名を「admin」のままにしてる人が多いので、これは絶対やめた方が良い。
ハッカーは、このユーザー名に対して、パスワード総当たり攻撃を仕掛けることが多いので、ユーザー名を難しくするだけでもかなりリスクを減らすことができます。

使用していないプラグインは削除しましょう

WordPressのプラグインはとても便利なものが多く、ついどんどん追加していってしまいます。僕もそうです。
ただ、プラグインが増えるということは、その分セキュリティが低くなることでもあります。
プラグインにも脆弱性があり、そこを狙った攻撃が多いのも事実です。
ですので、できるだけ不要なプラグインは削除して、できるだけ最新のものへアップデートしておくようにしましょう。

まとめ

ブロガーさんの中にもWordpressを使っている人が多いのですが、その脆弱性についてはまだまだ知らない人が多いですね。
WordPress自体のセキュリティ対策はもちろん、レンタルサーバー側もしっかりセキュリティ対策をすることで、外部から攻撃を受けるリスクを最小限に減らすことができます。
今回紹介したエックスサーバーmixhostカラフルボックスはかなりセキュリティ対策への意識が高いので、おすすめです。
管理画面のセキュリティ設定は簡単にできますので、ぜひやっておきましょう。