ConohaWINGのサーバー設定

レンタルサーバーは基本的にWordPress専用にできていないので、念のためサーバー側の設定を確認しておいたほうがいいです。

だいたいこのような順序で確認していくと良いと思います。

レンタルサーバーでは初期値が推奨設定だと言えなくもないので、早くすませたい人は一番最後の2段階認証の設定だけをするようにしましょう（設定はコチラ）。

暗号通信の設定

ConohaWINGでは『Let’s Encrypt』というSSL/TLSが標準で装備されており、成約時点で暗号通信が行われています。

他にも『アルファSSL』という暗号通信が無料で設定できます。フィッシング対策に対応しているようで、SSL証明書を企業証明書としても使用できるみたいです。企業証明書は物によっては大変高価なので、販売サイトをお金をかけずに経営したい場合に便利です。

ただし暗号レベルは同じで（最大256bit）、作業にも手間がかかりますので、最初は変更しなくていいと思います。こんなものもあると覚えておきましょう。

パスワードの再設定

パスワードは最低でも12桁の文字列を用意しておきましょう。

していなかったら、再設定しましょう。

パスワードはメモ帳（ソフトの）に張り付けるなどして保存しておくと良いでしょう。IDも記入しておくと良いでしょう。IDは最初に登録したメールアドレスです。

このメモをパソコン画面に貼ったりしないようにしましょう (^^;。

WAF設定

WAFは『ウェブ・アプリケーション・ファイアウォール』の略です。Webアプリのウィルス対策ソフトですね。

マニュアルを見ると、WAFが『OFF』で表示されてます。

『ON』にしたほうが良いと思われます。

ONにしたらWAFのイベントログが自動的に記録されるようになります。

あと、このWAFは、コンピューターウィルスを自動的に駆除してくれたり、ハッカーのアクセスをブロックしてくれたりするものでないことを留意しておきましょう。ハッカーがサイト内に侵入してきた際に、サイトの改ざんを面倒にしてくれるものです。

アクセスログの設定

アクセスログは自動で保存されているみたいですね。念のため確認しておきましょう。

アクセスログは100行まで保存されます。１日100回は自分のサイトにアクセスしている私のような人には少ないような気もします。でも後述する『ログイン通知』を設定しておけば不正アクセスにはすぐに気付くことができますので、不正アクセスが起きたら大ダッシュでこのアクセスログとWAFのログを見に行くようにします。

ログの保存期間は少し長めに設定しておくと良いと思われます。

FTPアカウントの設定

ConohaWINGでは、初期状態でFTPアカウントが設定されていないようですね。

念のため確認しておきましょう。

FTPとは『ファイル・トランスファー・プロトコル』の略で、古いホームページ（html形式）の作成に必要な物でした。現在でも、これがないとファイルマネージャーが使えないのですが、WordPress側にファイルマネージャーのプラグインをインストールすればいい話なので、特に必要ありません。

サイトにアクセスできなくなった時の最終手段と考えておきましょう。

メールアカウントの設定

契約時にメールアカウントは設定されないみたいですね。Gmailのほうがメール通知がスマホに届いて便利なので、連絡用にはGmailを使うようにしましょう。

なおメールアドレスを変更した際は、ログインIDも変わってしまうことになるので、注意しましょう。

高速化設定

たいていのサーバーには処理速度を上げるための専用の高速化ツールがあり、ConohaWINGには『WEXAL』という高速化エンジンがあります。WordPressのような動的ホームページを高速化してくれるものなので、設定するべきです。

WEXALをONにするとコンテンツキャッシュが自動的にOFFになります。

ブラウザキャッシュもONにしたほうがいいと思われますが、WordPressのテーマにブラウザキャッシュが使えるものがあるので、そちらを使うほうが処理が速い気がします。無料テーマのCocoonがそうです。それを使う場合はブラウザキャッシュはOFFにしましょう。

その他の設定

ログイン通知

管理画面にアクセスすると、そのことをメールで通知してくれる機能です。自身のアクセスを含めて全てのアクセスに通知が届くので、不正アクセスの検知に役立ちます。

通知されるメールアドレスがスマホのEメールになっていたら、オレンジ枠の部分をクリックしてGmailなどのメールに変更しましょう。メールアドレスを変更したらログインIDが変更になってしまうことも留意しておきましょう。

海外コメント制限の解除

日本人向けのホームページを作るとしても、海外からのコメントがもらえるかもしれません。日本製レンタルサーバーは海外からのアクセスやコメントを制限するのが当たり前のようになっていますが、時代にそぐわないので (^^; 解除しましょう。

海外コメントを許可しても、スパムコメントやトラックバックは拒否される設定になるので、問題ないと思います。

ちなみに『スパムコメント』とは大量のコメントを送ってくる嫌がらせ、『トラックバック』とはサイトのリンクを貼った時にそのことが相手のサイトに通知される仕組みのことです。WordPressでは『ピンバック』と呼ばれています。宣伝か嫌がらせのために関係ないサイトからのリンク通知が届けられる『トラックバックスパム』というものもあるみたいですね。

海外アクセス制限

初期設定ではONになっています。これは海外からの管理画面へのアクセスを禁止してくれるもので、海外のハッカーに対して有効ですね。でも総当たり攻撃が成功した際に管理画面にアクセスされるのを防いでくれるだけだと考えられます。

不正アクセスは、ログイン回数制限や２段階認証で防ぐしかないです。

変更の必要はないですが、確認したい時は以下のようにします。

海外旅行に行く前にこれらのボタンをOFFにしておくと（オレンジ色の枠）、旅行中でも編集が可能になります。べつに総当たり攻撃を防いでくれるものではないので、海外旅行中は全部OFFでいいと思います。

ログイン回数制限

初期状態でONになってます。不正アクセスを防ぐ要となるものです。

しかしこのログイン制限、何回試行したらブロックされるのか、一度ブロックされたら何時間後にまたログイン試行が試みれるのか、どのマニュアルを見ても記述されていません。業務上の秘匿事項みたいですね (^^;。レンタルサーバーは通常、５回か10回のログイン試行が行え、ブロック期間は１日です。

ONになっているので確認の必要はないですけど、確認したい人は以下のようにします。

二段階認証の設定

セキュリティー設定の確認がすんだら、最後に２段階認証を設定します。ここではAuthenticatorを使っていきます。

ONにするとQRコードが表示されてくるので、それをAuthenticatorのカメラで保存するのではなく、まず画像として保存します。コマンドを使うといいですね。Windowsなら ＋＋ 、MACなら『Shift + ⌘ + 4』です。右下に現れた画像のサムネイルをクリックしたら、画像編集が可能になります。ただしWindow10はワンクリックでは出来ないので、画像編集ソフトを自分で立ち上げて張り付ける必要があります。

保存形式は画質の劣化がないPNG形式がオススメですが、JPG形式でも大丈夫です。画像を保存したら、画像のほうを立ち上げて、スマホのAuthenticatorも起動し、AuthenticatorのカメラでQRコードを取得します。

画像として保存したQRコードをAuthenticatorに読み込ませます。

QRコードが取得できたら、６桁のコードが現れてきますので、それを『認証コード』の欄に打ち込んで保存できたら、その画像があるかぎり、２段階認証には失敗しなくなります。

これでスマホを落としたり、機種変更をしても大丈夫ですね？！

ついでにバックアップコードも画像として保存しておきます。

このバックアップコードは、２段階認証を解除しないといけなくなった時のものです。メモを取るよりも画像のほうが間違いが少なくなります。

あと、QRコードの画像はセキュリティーの最後の砦となってくれるものなので、できればネット上にはアップしないようにしましょう。

２段階認証の設定がすんだら、パスワードレスでない強力なゼロトラスト環境の出来上がりです。

おつかれさまでした。