Xserverでできるサーバーセキュリティ強化のポイント

Xserverでも追加のセキュリティ対策は必要です

エックスサーバーは国内でもトップクラスのセキュリティ対策が標準で備わったレンタルサーバーです。
しかし、標準設定だけに依存していると、法人サイトやWordPressを運用している場合には防ぎきれない攻撃が残ります。

特に以下のような事例は、標準設定だけでは防げません。

• WordPress管理画面へのブルートフォース攻撃
• FTPパスワードの流出による改ざん
• メールなりすまし（SPF/DKIM未設定）
• 海外IPからの不正アクセス
• phpMyAdminからの侵入
• 古いテーマ・プラグインの脆弱性
• 不正送信によるメールアカウント凍結
  

今回は、サーバーパネル設定 → SSH/FTP → WordPress → メール認証 → DB → やってはいけない設定の順に、具体的なセキュリティ強化策を解説します！

Xserverサーバーパネルで行う基本セキュリティ設定

WAF（Webアプリケーションファイアウォール）の最適設定

XserverではデフォルトでWAFが有効になっています。
サイト改ざんや悪意あるリクエストを自動で遮断してくれるため、基本は常にONが大原則です。

ただし、フォームやAPIなどで誤検知する場合があります。その際は「OFF → 動作確認 → すぐONに戻す」という手順が必須です。

やってはいけないのは、誤検知したままWAFを長期間OFFにすることです。数日OFFにするだけでも、攻撃対象となるリスクが急増します。

管理画面・重要URLへのアクセス制限

IPアクセス制限は、Xserverの大きな強みです。特に法人では以下のURLの制限が必須です。

• WordPress管理画面（/wp-admin/）
• phpMyAdmin
• FTP Web管理
• サーバーパネル
  

会社の固定IPが分かる場合は、登録するだけでセキュリティが劇的に向上します。
リモートワークの場合はVPN経由の統一IPを推奨します。

国外IPアクセス制限の活用

不正ログインやスパムの大半は海外IPからの接続です。ECサイトなど海外アクセスが必要でない場合は、迷わず「国外IPアクセス制限」をONにしましょう。

誤って顧客のアクセスをブロックしないよう、必要性を事前に確認すれば問題ありません。

.htaccessによるファイル保護

基本的にXserverは初期設定で多くのファイルを保護済みですが、Wordpressのサイト、特に自作テーマの場合は追加設定が必要です。

特に重要なのは以下です。

• ディレクトリリスティング（中身を覗かれる）の禁止
• wp-config.php のアクセス制限
• XML-RPC の利用可否（不要なら無効化）
  

ディレクトリ内のファイル一覧が外部から丸見えになると、バージョン情報や機密情報が漏れる可能性があります。

FTP / SSH の安全設定

パスワードFTPを使わず SFTP／SSH を利用する

パスワードFTPは暗号化が弱く、盗聴されるリスクがあります。XserverではSSH/SFTPが利用できるため、そちらへ一本化するのが最も安全です。

強力なパスワード管理

法人サイトでよくあるミスがこちらです。

• 「password」「123456」などの使い回し
• 担当者が変わってもパスワードを更新しない
• メールで平文のまま送信
  

推奨されるのは、以下の3点です。

• 12文字以上
• 英数記号混在
• パスワード管理ツールの利用
  

接続元IPの限定

SSHはIP制限を行うことで、攻撃対象からほぼ外れます。可能であれば会社の固定IPだけに絞るのが理想です。

WordPress（自作テーマ前提）でのセキュリティ強化

ログインページの保護

/wp-login.php への攻撃は非常に多く、対策なしだとブルートフォースの餌食になります。

必須の対策は以下です。

• ログイン試行回数の制限
• 海外IP制限との併用
• 二段階認証の導入
  

ログインURL変更は有効な場合もありますが、テーマやプラグインによって不具合が出ることもあるため慎重に扱うべき設定です。

プラグイン・テーマの管理

自作テーマの場合、ついプラグイン数が増えがちですが、それが攻撃経路になります。
以下が基本方針です。

• 不要プラグインは即削除
• 開発元が不明なプラグインは使わない
• プラグインのアップデート情報を定期的に確認
  

WordPress本体のアップデート方針

法人サイトでは「勝手にレイアウトが崩れるのが怖い」と自動更新をOFFにするケースが多いです。しかし、セキュリティアップデートだけは必ず適用しましょう。

軽微な更新でさえ、脆弱性が含まれることがあります。

メール運用のセキュリティ（法人向け）

SPF / DKIM / DMARC の設定

独自ドメインのメールを使うなら、この3つは必須です。設定していないと「なりすましメール判定」で届かなくなるケースが増えています。

Xserverでは設定が簡単なため、迷わず導入すべきです。

Gmail連携時の注意点

GmailでSMTP送信を行う場合、以下に注意します。

• 送信ドメイン認証の整合性
• パスワードはアプリパスワードを利用
• 迷惑メール判定の回避設定
  

大量送信・不正送信のリスク

以下が起きると即座にアカウント凍結される可能性があります。

• 乗っ取りによる大量送信
• メールフォームの悪用
• 迷惑メール判定の連続
  

サーバー移行直後は特に注意が必要です。

データベース（MySQL）の保護

DBユーザー権限の最小化

WordPressでは基本的に「全権限付与」のDBユーザーが作られますが、不要な権限を削ることで安全性が高まります。

phpMyAdmin へのアクセス制限

phpMyAdminは攻撃されやすい管理ツールです。以下は必須です。

• IPアクセス制限
  
• パスワードの強化
  
• 不要なDBの削除
  

やってはいけない設定

• WAFを長期間OFFにする
  
• adminユーザーを使う
  
• パスワードFTPを使い続ける
  
• 不要プラグインを放置
  
• wp-config.php を公開状態にする
  
• メール認証（SPF/DKIM）を未設定のまま
  

これらはすべて、実際に被害が発生している典型例です。

まとめ：Xserver × 法人サイトは“自衛策の徹底”が必須

エックスサーバーは強力なセキュリティ環境を提供していますが、“設定を正しく運用する”ことで初めてその性能を発揮します。

今回紹介した手順を実施すれば、WordPress・メール・サーバー全体のセキュリティレベルが大幅に向上します。

継続的なチェックと改善により、攻撃リスクを最小限に抑えていきましょう。

サーバーセキュリティを強化したい方へ

Xserverでサーバーセキュリティを強化するポイントを解説しています。関連する記事もご覧ください。

.htaccess設定でリダイレクトが効かないときの対処法

WordPressセキュリティ強化に役立つプラグイン5選

記事監修

桐石 真澄（テクニカルマネージャー）
管理栄養士の大学を卒業後、エディトデザインでWebデザイン・開発のスキルを積む。15年以上にわたりWebサイト構築・運用に携わり、不動産・建築関連の案件に多く関わる中で専門知識を深め、2020年には宅地建物取引士資格を取得。法律・IT・デザインの知見を活かし、信頼性と実用性の高いコンテンツ制作を行う。

ホームページ制作に関するお問い合わせ

ご相談・お問い合わせは、お電話または専用フォームよりお気軽にお問い合わせください。
ご希望の場合、新規お問い合せから制作の打ち合わせまで、Zoomなどでオンライン対応も可能です。

お電話でのご相談

東京オフィス :　03-5422-3380
大阪オフィス :　06-6949-8033

Webでのご相談

株式会社 エディトデザインについて

「クリエイティブで企業を前進させる」をコンセプトに、
デザインとWebマーケティングでビジネスの課題を解決します。
コーポレートサイト・採用サイト・ECサイトなど幅広い分野の制作実績もございます。