5. サーバー選び

Webアプリを用意したら、WordPressのプログラムを実際に動かす場所を用意します。大きく分けて、WordPress.comとレンタルサーバーにインストールするWordPressとがあり、ググってみても最初はなんのことだかよく分かりません（*_*) 。

WordPress.comとの違い

WordPressを使用するとなった場合、現在、選択肢はこの２つしかないといっていいです（ないことはないが設定が面倒だったり、WordPressが導入できなかったり、別途契約が必要だったりしている）。

WordPress.comは無料でホームページが開設できますが、無料だとほとんどのプラグインが使用できません。プラグインが使用できないWordPressは他のWebアプリケーションよりつまらないものしか作れないということなので、自動的に有料プラン（クリエータープラン以上）に移行することになります。

私のオススメは、まずはレンタルサーバーで安くWordPressのホームページを作ってみることです。収益化の件は実際のところホームページの内容次第なので、最初は考えなくてもいいと思います。あとから丸ごとサイトをWordPress.comに引っ越しすることも可能です。収益化を考えないなら（またはスキルを上げてから収益化を考えるなら）、レンタルサーバーのほうが安上がりで断然オススメです。

速ければそれで良いのか？

さて、レンタルサーバーと契約するとなった場合、どのレンタルサーバーを選ぶかは悩むところだと思います。

ここでググってしまうと、かえって訳が分からなくなってしまいます。どのサーバーも「ウチのサーバーが最速！」とか言っているからです。よく分からないのでネット上の比較サイトを見てしまうと、さらに深みにハマってしまいます。素人がサーバースペックを知ったところで意味など理解できないからです。

こんな感じです ——

—— 世には速さを売りにするサーバーがたくさんありますが、速いサーバーでも表示が遅くなって困ってしまうことが多々あります。『速ければいい』ってもんじゃないということですね。

WordPressのページ表示が遅くなる原因は様々で —— ページ構造が複雑すぎる、プラグインをインストールしすぎている、など色々とあります。サーバー側にデータがキャッシュされていなくても表示が遅れます（たまに無限に待つようなこともある. . .）。

私のスマホはCPUメモリーが３GBなのですが、上のページの表示に時間がかかります。Wi-Fi環境下で15秒ほど、4G環境下で20秒ほどです。私のパソコンだとWi-Fi環境下で５秒です。

ちなみにメモリーが16GBもあるようなゲーミングPCだと、１秒以内にアニメーションが開始されました。速いですね。

—— ではマシンスペックが高ければ良いのかというとそれは違います。ホームページはスマホから見られることを念頭に作成されるべきだからです。スマホのCPUメモリーは安いもので現在３～６GBぐらいなので、それらで問題なく閲覧できることが理想です。

『表示に３秒以上かかるとページの離脱率が上がる』

と言われているので、３GBのスマホでも普通に閲覧できるホームページを作りましょう。

なのでサーバー側のメモリーは４GBもあれば十分だと考えられます。コア数もホームページを複数開設したり大量アクセスがあったりした時に関係すると考えられるので、最初はあまり関係しません。

あと、私は５年間ホームページを作り続け、たくさんの動画や画像をアップしましたが、使用した量は25GBでした。なかなか使いきれるものではないです。

要するに、スペックを知ったところであまり意味はないということですね (^^;。

レンタルサーバーを選ぶ基準

私が考える、サーバー選びの際に注意するべき点は以下の通りです。

• 1. 安さで選ばない
• 2. 過去の障害履歴をみる
• 3. 管理画面が統合されているか
• 4. セキュリティー対策は万全か
• 5. FTPソフトを使用不能にできるか

—— 利用料金はどれも似たりよったりだし、表示速度も正直なところ、その差があまり体感できません。考えるべきは『サーバーが障害されやすいかどうか』だと思います。インターネットで過去の障害履歴をみてみると、とても有名なサーバーが障害されているのが結構見つかります。また安すぎるサーバーは、維持コストを低く抑えているかもしれないので、私は敬遠します。

管理画面が統合されているか

扱いやすいかどうかということです。

パソコンのコントロールパネルに当たる部分は様々な呼び方をされており、WordPress.comにはそのようなものがありません。ホーム画面がコントロールパネルです（WordPressの管理画面がホーム画面になっている）。こちらのほうがすっきりとした感じですね。

レンタルサーバーのものはWordPressを使用しないサイトも作成できるようになっているため、ホーム画面とコントロールパネルの二段構えになっているのが通常です。

レンタルサーバーにはコントロールパネルに『cPanel』呼ばれるものが使われていることが多く、じつはこのcPanelが結構なクセ物で、最初はマニュアルとにらめっこになってしまいます。でも契約時に必要な設定は自動的に入力されますので扱いの難しさは気になりません。拡張性が高いので、操作を理解するとネット上級者になることもできます。cPanelのあるサーバーは後から色々とできると考えましょう。

セキュリティ対策は万全か

自分のホームページがハッカーによって破壊されないかということです。

よくある攻撃として、

——があります。
通常、これらへの対策はどのサーバーもしていると思うので、ここでは問題となりません。またWordPress自体がオープンソースと呼ばれるネット上にプログラムが公開されているものなので、コンピューターウィルスが仕込まれにくい利点があります。

なので問題となるのは、ハッカーが侵入できる『穴』をすべて塞ぐことができるかどうかだと思います。入口対策と呼ばれるものです。いったん管理画面に入れることが出来れば、ファイルの改ざんはしないにしても個人情報を盗み見ることは簡単なことだからです。入口対策としてよく行われているのが２段階認証（２FA）です。

２段階認証でよく使われているのが、６桁のワンタイムパスワードを発行する『Google Authenticator』や『Microsoft Authenticator』ですね。30秒以内に６桁の数字を正しく打ち込むのは大変ですが、ハッカーも30秒以内に暗号を解析して打ち込むことが難しいみたいです。頑張って打ち込んでセキュリティーを高めましょう。

ただし、このAuthenticatorを使えないレンタルサーバーがあります。無料で使えるレンタルサーバーがそうなのですが、有料の中にもあったりします。

Authenticatiorが使えないレンタルサーバーは選択しないようにしましょう。

FTPソフトを使用不能にできるか

レンタルサーバーには『ファイルマネージャー』と呼ばれるものが必ずあり、FTPによって遠隔操作されます。FTPは『File Transfer Protocol』の略で、HTML形式（古いタイプ）のホームページを作成するのに必要でした。FTPソフトはサーバー上のファイルマネージャーにアクセスしてファイルを自由に書き換えてくれる便利ソフトなのですが、何も対策しないとハッカーの攻撃手段にもなり得ます。

WordPressにはブラグインでファイルマネージャーがあり、すべての操作をWordPress側から行えます。FTPソフトは使えなくしてしまうのが一番ということですね。

サーバー側からは『FTPアカウント』と呼ばれるものを設定してサーバー上のファイルマネージャーにアクセスするようになっています。初期設定でFTPアカウントが既にあるのはHostingerなどのサーバーで、SiteGroundやConohaWINGには初期設定でこれがありません。cPanelのサーバーには初期設定でFTPアカウントが自動的に設定されるものとそうでないものがあります（Bluehostには初期FTPアカウントがなく、mixhostには初期FTPアカウントがある）。また初期FTPアカウントが削除できないサーバーもあります。ググってみてもよく分からないことが多いです。

FTPアカウントが自動的に設定されていないものがWordPressに特化しているといえます。

ただ初期FTPアカウントはログインID・パスワードと一緒なので、２段階認証ができればセキュリティ上の問題はありません。でも削除できるなら削除してしまいましょう。cPanelを使用しているサーバーではこれが可能です。

ちなみに隠しファイルや隠しフォルダにしても、WordPressは通常に編集でき、外部からのコメントも通常に書き込むことができます。

レンタルサーバーにみられるセキュリティー上の脆弱性

実際のところ、レンタルサーバーにはセキュリティー上の脆弱性が多くみられ、ついでに私が知っている範囲での問題も報告しておきましょう。

1. ウェブFTPがある

繰り返しになりますが、WordPressにファイルマネージャーやFTPソフトは必要ありません。ホームページを作成していると、どうしてもファイルを直接編集したくなるのですが、WordPressのプラグインに同じものがあるので、やはり必要がありません。

サーバーの中には、どこからでもファイルマネージャーにアクセスできてしまうウェブFTPを実装しているところがあり、セキュリティー上の脆弱性となっています。私の知っているサーバーでは、管理画面に２段階認証を設定できますが、ウェブFTPに２段階認証を設定することができません。管理画面のログインID・パスワードが初期FTPアカウントなので、FTPソフトのアクセスを阻止することはできるのですが、手打ちでID・パスワードを打ち込むと簡単にファイルマネージャーにアクセスできてしまいます。
ID・パスワードが漏洩したら終わりということですね。

SSH（秘密鍵・公開鍵）の設定をしない限り、高いセキュリティーが保証されません。SSHは設定と取り扱いが少し面倒です。

このようなサーバーは初心者向きでないので、選ぶのはやめましょう。

2. ウェブメールがある

サーバー上にすべてのＥメールが保管されているものを『Webメール』と呼びます。ウェブメールがあるとどこからでもメールを読むことができて便利なのですが、ハッカーもどこからでもメールを読むことができるのでターゲットの行動把握に便利です。

Gmailもこのウェブメールのひとつです。

レンタルサーバーのメールもすべてウェブメールです。

レンタルサーバーのウェブメールには２段階認証がかけられないと考えたほうがいいので（AIを使ってもよく分からない…）、ログインIDとは違うパスワードを設定して、パスワードを盗み取られない工夫が必要です。ウェブメールの登録をなくしてしまうとそこからの入り口がなくなり、セキュリティーを高めることができます。

Gmailには２段階認証がかけられるのでセキュリティーが高いです。こちらを使うようにしましょう。

3. セキュリティー対策がreCAPTCHAのみ

多くのサーバーがセキュリティー対策としてreCAPTCHAを実装しています。

こんなやつです。

これはロボットによる総当たり攻撃（ボット攻撃ともいう）を防ぐためのもので、人間の手打ちによるアクセスを全く防いでくれません。このreCAPTCHAが実装されているサーバーに、私はどこからでもアクセスできていますが、いまだにロボットとも不審者とも疑われたことがありません (*_*;。

違うパソコンやスマホからのアクセスに少しでも疑いを持ってもらえると嬉しいんですけどねえ。。。

これだけをセキュリティー対策としているサーバーを選ぶのはやめましょう。

ちなみに、reCAPTCHAと２段階認証を組み合わせるとかなり強力なセキュリティーが構築できます。

一般的にはこれで十分と言われています。

4. WAFがない

豪気な (⁠^⁠^⁠;。

このやり方には何か潔さを感じる。。。

WAF設定は『Web Application Firewall』の略で、サーバーによって性能が違います。一般的なものだと、ウィルスメールをブロックしたり、コメントの大量書き込みを防いだり、システムファイルを監視してハッカーがファイルを書き換えてきた際にブラックリストを生成してアクセス拒否を行うぐらいのものです。システムファイルが書き換えられるまで反応しないし、通常ファイルの改ざんを防いでくれるものでもない。個人情報を盗み見るのになんの問題もありません (*_*;。ホームページが破壊されうるということです。そんなWAFなら無くても良いと思われます。

セキュリティー対策は２段階認証とプラグインでなんとかなってしまうので、無理に設定する必要はありません。

また、WordPressのシステム自体がコンピューターウィルスの入りにくい環境であるし、セキュリティー上の脆弱性が見つかるとすぐに報告がなされるので、自分で対応することも簡単です。でも完璧ではないので、Jetpackの有料プランなどがあると心強いのは間違いないです。

5. 特定のIPをアクセス拒否できない

レンタルサーバーはIPアドレスごとにアクセス拒否を作成することができ、ブラックリストの作成と言われてもいます。じつはセキュリティープラグインのJetpackにはこの機能がなく、したがってこれをセキュリティープラグインとして使用するWordPress.comには初期状態でこの機能がありません。Jetpack自体には悪質なハッカーからの攻撃をブロックする機能があるのですが、ハッカーからのものでないIPアドレスをブロックしたり（嫌な人を自分のサイトにアクセスできないようにするとか）、ハッキングされたと気づいた時に急いでそのIPをブロックして対応するといったことができません。

クリエータープラン以上のWordPress.comを使用すると、Jetpack以外のセキュリティープラグインが使えるようになるので、特定のIPのアクセスを拒否できるようになります。

6. 毎回ログイン画面が出てくる

GoogleアカウントやMicrosoftアカウントでは一度ログインに成功すると、以後アクセスしてもログイン画面は出てきません。スマホアプリも多くは一度ログインしてしまうともうログイン画面は出てこなかったりします。
でも、たいていのレンタルサーバーは、アクセスすると毎回ログイン画面が出てきます。

ってな感じですね (^^;。

このログイン方法はOpenIDと呼ばれていて、無料で実装可能みたいなんですけどね。。。

レンタルサーバーのログイン画面は通常暗号化されており（セキュアログインと呼ばれたりします）、安全な通信が行われているとされていますが、ログイン画面からアクセスする度にID・パスワードを送信していることになるので、中間者攻撃により解読される可能性があります。２回目からログイン画面を表示してこないものはID・パスワードの送信の代わりに暗号鍵を送り合い、ID・パスワードの送信はありません。

この暗号鍵の方式も完璧ではないみたいですけど、毎回ID・パスワードを送るよりも安全なのは間違いないです。

WordPress.comにはこの機能があります。

さすがセキュリティーの高いサーバーだと思います。

7. 信頼されたデバイス以外からのアクセスをブロックしない

これです。Google Prompt（グーグルプロンプト）と呼ばれるものです。

どのレンタルサーバーもこれをしてくれないので、不正アクセスに対しての脆弱性があります。

ID・パスワードが漏洩したら、どこからでもアクセスされてしまいます。

ちなみに、上のOpenIDにこのGoogleプロンプトを２FAとして設定すると、かなり高いセキュリティーが構築できます。

8. 不正アクセスへのメール通知がない

どのサーバーのホームページを見ても、いかにセキュリティー対策がなされているかが列挙されていますが、実際のところ、どれくらい安全なのかがよく分かりません (^^;。安全対策というものは最悪を想定して設定されるべきものなので、サーバーと契約したら、他のパソコンから本人で本人を語る不正アクセスを行ってみましょう。状況としては、ID・パスワードが他人に漏洩してしまっている状態です。このとき、メールが送られてきたら優秀なセキュリティーシステムを持っていると思います。送られてこなくても、アクセスログが見やすい位置にあれば確認はできます。

なお、自分で不正アクセスを行う際に他人のパソコンを使う際は、インターネットにはシークレットモードで接続するようにしましょう。Chromeだと『新しいシークレットウィンドウ』、Edgeだと『新しいInPrivateウィンドウ』です。通常にアクセスしてしまった場合はCookieにID・パスワードを保存しないようにして後から履歴を削除します。

ただし、自分で不正アクセスを行ってみせるのは結構難しいものがあります。これはインターネットプロバイダーがユーザーのアクセスを動的IPで管理しているためです。ユーザーのIPは定期的に変わっていってしまうので、サーバーのセキュリティーはどれが不正アクセスなのか分からなくなってしまうようです（それでもWordfenceは不審なアクセスを検出してくる。ただしこれはWordPressのプラグインなのでホーム画面にある個人情報を盗み見る不正アクセスにはうまく対処してくれない）。

これはセキュリティー上の脆弱性だと思います。

おすすめのレンタルサーバー

WordPressに特化しているサーバーがおすすめです。世の中には『WordPress専用』をうたいながらセキュリティー面で問題があったり、WordPressに特化していないサーバーがあったりするので気を付けましょう。

WordPress.comには最初からJetpackが実装されていて登録情報の変更もアクティビティログに表示されるので、不正アクセスに気付きやすいです。ただし全てのアクセスをアクティビティログに表示させるためにはWordPress.comをクリエータープラン以上にアップグレードさせる必要があります。またアフィリエイト関連のナビゲーションが秀逸で、WordPressのコミュニティーにサイトの更新を通知できたりもします。宣伝効果が高そうですね。JetpackがGoogleの検索エンジンと連携するのでアクセス増は簡単に見込めると思います。また世界中にアクセスポイントがあるそうなので、国内外で検索上位に上がれそうです。あとは費用対効果の問題でしょうか。Googleに言わせると収益化は内容次第だそうです。

SiteGroundには登録情報の変更まで表示するアクティビティーログとアクセスログが最初からあるのでお勧めできます。料金が安くWordPress.comと同様のセキュリティーが獲得できていて良いと言えます。以前は表示時間に少し時間がかかっていたのですが、今は改善されています。アフィリエイトに関するサポートも充実しており、独自のブログもあるので無料で自分のサイトが紹介されます。

Bluehostには『SiteLock』を実装したセキュリティー対策があり、追加料金を払うことで高度なハッカー対策も行えます。コンビューターウィルスを自動的に駆除したり、悪質なハッカーのアクセスをブロックしてくれたりするWAFが高性能です。ただしアクセスログは自分でダウンロードする必要があり、少し面倒です。不正アクセスやウィルス感染に対して警告のメールが届くよう設定することもできます。全世界にアクセスポイントがあるそうなので、国内外ともに検索上位に上がりたいならオススメできるサーバーです。アクセス数を増加させるブログや料金プランも存在しています。

ConohaWINGには全ての管理画面へのログインに対してメール通知をする機能があるので不正アクセスに気付きやすいです。不正アクセスと思われるアクセスの通知を受けたら、ただちにアクセス拒否設定を行うと良いと思います。見やすい位置にアクセスログがあるので確認も簡単です。ただWAF設定（セキュリティー対策）は一般的なものです。また独自のブログがないので宣伝を打つにはJetpackや外部CDNが必要です。『美雲このは』というオリジナルキャラがいて、これぞ日本といった感じです。
日本ではコスパが良くて入口対策もしっかりしているので勧められます。

どのサーバーにするかは個人の判断に任せます。

結論

利用料金にこだわりがなければWordPress.comがベストだと思います。ただし、プラグインを使用可能にするためにはクリエータープラン以上が必要です。プラグインの使えないWordPressは他のWebアプリケーションよりも使えません。

https://wordpress.com/ja/pricing/

wordpress.com

お金をかけたくない場合は、レンタルサーバーにしましょう。ConohaWINGが良いと思います。海外進出を考えるなら、Bluehostがオススメです。安くあげるなら、追加料金なしでも高機能なSiteGroundがオススメです。

料金｜レンタルサーバーならConoHa WING

ConoHa WINGは初期費用・最低利用期間なし、いつでも気軽に始められます。また利用料金が月額料金に満たない場合は時間単位の料金が適用されるので、月の途中からご利用を始めてもムダなコストは発生しません。

www.conoha.jp

いきなり料金表とスペックを見せられても分からない？！

そうですよね～～。

どのレンタルサーバーもだいたい速いので、性能差はあまりないと考えましょう。

大事なのはストレージ（ハードディスクやSSDのこと）の容量です。10GBだとすぐに使い切ってしまうかというと、そうではありません。WordPressのシステムやプラグインの使用量は大したことないので、アップロードした画像や動画の量、プラグインでシステム全体をバックアップした際の量によります。私は25GB使うのに5年かかりました。10GBでも当面は大丈夫ということですね。

あとアフィリエイト（収益化）を念頭に置く場合、CDN（コンテンツ・デリバリー・ネットワーク）があるかどうかも重要になります。これはセキュリティーからサイトの収益化までを担ってくれるもので、少なくとも海外からのアクセス増が見込めます。プラグインではJetpackが、外部CDNではCloundflareなどがこれに当たります。

WordPress.comやBluehost.comには標準でついてくるものです。

あったほうがいいものですね。スペック表で確認しましょう。

お疲れさまでした。