【エックスサーバー非公式マニュアル】WordPressセキュリティ設定

目次

\ 初心者におすすめ /

以下の3つを利用すると
最短最速でブログ収益化ができます

【レンタルサーバー】

エックスサーバー

【WordPressテーマ】

SWELL

【SEOツール】

ラッコキーワード

上記のリンクを選択すると、各サービスの詳しい記事に移動します。

本機能は、利用中のWordPressにおいて、各種ツールに対する国外IPアドレスからの接続を制限したり、パスワード総当り(ブルートフォースアタック)による第三者のログインを防止するなど、不正なアクセスに対するセキュリティを強化する機能です。

本機能では、下記のようなWordPress機能への国外IPアドレスからのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防ぎ、WordPressサイトのセキュリティを向上させることができます。

  • ダッシュボード アクセス制限
  • XML-RPC API アクセス制限
  • REST API アクセス制限

ダッシュボード アクセス制限

ダッシュボードに対する国外IPアドレスからの接続を制限します。

制限を解除する場合は個別にIPアドレス制限やBasic認証を行ってください。

  • 通常は「ON(有効)」のまま運用することが強く推奨されています。
アクセスが制限される箇所
  • /wp-admin … ダッシュボード のフォルダ
  • /wp-login.php … ダッシュボード ログイン時にアクセスするファイル

設定OFF(無効)時の「REST API アクセス制限」との連動について

WordPress バージョン5.0以降では記事の投稿に「REST API」を使用するため、国外IPアドレスからWordPressを利用する場合、 「ダッシュボード アクセス制限」とともに「REST API アクセス制限」「OFF(無効)」にする必要があります。

「ダッシュボード アクセス制限」を「OFF(無効)」に変更する場合、「REST API アクセス制限」も同時に「OFF(無効)」に変更します。

XML-RPC API アクセス制限

スマホアプリや外部システムから、リモートで記事の投稿や画像のアップロードを行う際に利用される「XML-RPC WordPress API」に対する国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を制限します。

プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外です。

  • 通常は「ON(有効)」のまま運用することが強く推奨されています。
  • 国外IPアドレスのサーバー等から「XML-RPC WordPress API」を利用する場合は「OFF」に設定するとともに、「Disable XML-RPC Pingback」などの、「XML-RPC WordPress API」への不正アクセス対策を行うプラグインを個別にインストールしてください。
アクセスが制限される箇所
  • /xmlrpc.php … XML-RPC WordPress API (ファイル)

REST API アクセス制限

「REST API」に対する国外IPアドレスからの接続を制限します。

プラグイン「Jetpack by WordPress.com」によるアクセスは制限の対象外です。

  • 通常は「ON(有効)」のまま運用することが強く推奨されています。
アクセスが制限される箇所
  • /wp-json … REST APIアクセス時に含まれるURL

国外IPアドレスからWordPress バージョン5.0以降をご利用の場合、本機能を「OFF(無効)」にしてください。
本機能を「ON(有効)」にすると、記事の編集・保存が行えない場合があります。

wlwmanifest.xml アクセス制限

「Windows Live Writer」を利用して記事を作成・投稿するための情報が記述されている「wlwmanifest.xml」ファイルに対する国外IPアドレスからの接続を制限します。

  • 通常は「ON(有効)」のまま運用することが強く推奨されています。
  • 国外IPアドレスのサーバー等から「Windows Live Writer」を利用して記事を作成・投稿する場合は、本機能を「OFF(無効)」に変更してください。
アクセスが制限される箇所
  • /wlwmanifest.xml … Windows Live Writer利用時にアクセスするファイル

初期状態では「ON(有効)」ですが、以下に当てはまる場合、設定を「OFF(無効)」に変更してください。

  • 国外に在住の方など、国外IPアドレスからのアクセスが必要な場合
  • 国内から利用しているが、システム上で国外IPアドレスからのアクセスとして誤認され、WordPressの管理者ツールへのアクセスが制限されてしまった場合
  • CloudFlare(クラウドフレア)等、外部サーバーを経由してアクセスされるようなサービスを利用していて、経由するサーバーが本機能の制限に該当してしまった場合
STEP

WordPressセキュリティ設定メニューへ

サーバーパネルにログインし、「WordPressセキュリティ設定」メニューをクリックしてください。

WordPressセキュリティ設定メニューをクリック
エックスサーバー公式サイト
STEP

国外IPアクセス制限メニューへ

画面が遷移した後、サブメニューより「国外IPアクセス制限設定」をクリックしてください。

国外IPアクセス制限設定をクリック
エックスサーバー公式サイト
STEP

制限設定の変更

下図のような画面が表示されましたら、設定を変更する機能において、現在の設定をご確認の上、右側にあるラジオボタンのいずれかを選択し「設定する」をクリックしてください。

制限設定を変更
エックスサーバー公式サイト

現在の設定が変更されていれば、設定完了です。

国外からアクセスをされる場合を除き「有効」のまま運用することが強く推奨されています。

制限を解除する場合は、個別にIPアドレス制限やBASIC認証などを行ってください。

本機能は、短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限する機能です。

パスワード総当り(ブルートフォースアタック)による不正アクセスを防止することができます。

  • アクセス制限は、制限されてから24時間後に解除されます。

初期状態では「ON(有効)」状態であり、特別な事情がない限りは、そのまま運用することが強く推奨されています。

利用者自身が制限されたなどの理由から一時的に「OFF(無効)」にする場合、下記の手順に沿って設定を変更し、利用後は再度「ON(有効)」に変更してください。

STEP

WordPressセキュリティ設定メニューへ

サーバーパネルにログインし、「WordPressセキュリティ設定」メニューをクリックしてください。

WordPressセキュリティ設定メニューをクリック
エックスサーバー公式サイト
STEP

ログイン試行回数制限メニューへ

画面が遷移した後、サブメニューより「ログイン試行回数制限設定」をクリックしてください。

ログイン試行回数制限設定をクリック
エックスサーバー公式サイト
STEP

制限設定の変更

下図のような画面が表示されましたら、設定を変更する機能において、現在の設定をご確認の上、右側にあるラジオボタンのいずれかを選択し「設定する」をクリックしてください。

制限設定を変更
エックスサーバー公式サイト

現在の設定が変更されていれば、設定完了です。

本機能では、下記のようなコメント投稿やトラックバックを制限することが出来ます。

大量コメント・トラックバック制限

コメント・トラックバックスパムが行われた場合に、一時的にコメント・トラックバックを制限します。

制限は、6時間が経過した後、自動的に解除されます。

初期状態では「ON(有効)」状態です。

国外IPアドレスからのコメント・トラックバック制限

国外IPアドレスからのコメント投稿、またはトラックバックを制限します。

初期状態では「OFF(無効)」状態ですが、国外からのコメント・トラックバックを必要とされない場合は「ON(有効)」に設定変更することを推奨します。

  • CloudFlare(クラウドフレア)等、外部サーバーを経由してアクセスされるようなサービスを利用する場合も、経由するサーバーが本機能の制限に該当してしまう可能性があります。その場合は、本マニュアルの設定手順に従って制限を解除してください。

設定の変更は下記の手順に沿って行ってください。

STEP
WordPressセキュリティ設定メニューへ

サーバーパネルにログインし、「WordPressセキュリティ設定」メニューをクリックしてください。

WordPressセキュリティ設定メニューをクリック
エックスサーバー公式サイト
STEP
コメント・トラックバック制限設定メニューへ

画面が遷移した後、サブメニューより「コメント・トラックバック制限設定」をクリックしてください。

コメント・トラックバック制限設定をクリック
エックスサーバー公式サイト
STEP
制限設定の変更

下図のような画面が表示されたら、設定を変更する機能において、現在の設定を確認の上、右側にあるラジオボタンのいずれかを選択し「設定する」をクリックしてください。

制限設定を変更
エックスサーバー公式サイト

現在の設定が変更されていれば、設定完了です。

エックスサーバー公式マニュアル:WordPressセキュリティ設定

この記事を書いた「ブルー」です。
プログラマー×ブロガー
へなちょこシステムエンジニアが副業ブログで月収10万円を達成。エックスサーバー、SWELL、ラッコキーワードを使った稼げるブログを作る方法を解説します。

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次