エックスサーバー(XServer)

初心者向け XServer(エックスサーバー)の初期設定を解説!常時SSL化、優先ドメインの設定、セキュリティ関連の設定

初心者向けXserver(エックスサーバー)の初期設定:SSL化、リダイレクト、WAF設定、二段階認証

XServer(エックスサーバー)の初期設定でやっておきたいことをまとめました!

これからXServer(エックスサーバー)でサイト作りを始める人へ。始めに「初期設定」をしていくわけですが、ひとえに「初期設定」といっても段階が3つに分かれています。順番に言うと、1:サーバーの初期設定、2:WordPress本体の初期設定、3:テーマの初期設定 です。ここでは一番最初の「サーバーの初期設定」についてやっておいたほうがいいことをまとめました!参考にしてください!それではいってみましょう!

解説

ブログの「初期設定」には3つの段階があります。一つ目は「サーバーの初期設定」、二つ目は「WordPress本体の初期設定」、三つ目が「テーマの初期設定」」です。

この記事で紹介しいしているのは1番目の「サーバーの初期設定」です。

  1. サーバーの初期設定今ここ!
  2. WordPress本体の初期設定
  3. テーマの初期設定

ちなみにこの記事の前半は僕が参考にしている海外のSEO参考書「SEO Workbook: Search Engine Optimization Success in Seven Steps」を参考にしています。

PR

エックスサーバーの料金を通常より安くする裏技

現在 割引キャンペーン実施中(〜3/4まで)!お友達紹介と組み合わせるとさらに安く!

エックスサーバーをまだ契約してない人はこの機会をお見逃しなく!

エックスサーバーの初期費用を通常より安くする裏技

準備:操作画面を新デザインに切り替える

準備として以下の作業を行います。

エックスサーバーの操作画面(サーバーパネル)は新デザイン旧デザインの2種類から選べます。この記事では混乱を避けるため新デザインを例に解説を行なっていきます。操作画面がまだ旧デザインのままの人は新デザインに切り替えをお願いします(すぐ終わります)。

操作画面を新デザインに切り替える手順

エックスサーバーにログインしサーバーパネルを開きます。

左上のサーバーパネルと書いてあるところの下に新デザインに切り替えという箇所があるのでそこをクリックします。そうすると新デザインに切り替わります。

準備ができたら設定に進みましょう。

エックスサーバーの初期設定1:サイトの常時SSL化

サーバーの初期設定1:サイトの常時SSL化

それでは設定に入っていきます!まずは「常時SSL化」と呼ばれる作業を行います!

as for security, Google is promoting the transition from http to https (secure).(中略) All things being equal, the https sites may begin to outperform non-secure http sites (non-encryped).

(安全性のためGoogleはhttpからhttpsへの移行を推奨している。条件が全て同じ場合、httpのサイトよりhttpsのサイトのほうがパフォーマンスがいいだろう。)

SEO Workbook: Search Engine Optimization Success in Seven Stepsより

「常時SSL化」とは何か解説します!

解説1:SSL化とは?

「SSL化(えすえすえるか)」とはサイトに来てくれる読者の個人情報を守ることです。初期状態のサイトにアクセスすると外部から通信が丸見え状態なんです!例えば 読者がどんなページにアクセスしているのか傍受できます。さらに読者がコンタクトフォームに住所や電話番号などを記入するようなものならそれらの情報も盗めてしまうんです。

せっかくサイトに来てくれた読者をそんな危険な目に会わせたくないですよね。そこで導入するのがSSLです。SSLとは安全な通信方法。SSLを導入すると読者の情報にモザイクがかかり 外部から見えなくなります!読者の個人情報が守られます。

初期状態(危険)のURLは"http"から始まります。SSL化するとこれが"https"に変わります(secureセキュアのs)

(ここからが重要!)これが転じて SSL化はSEO対策にもなります!どういうことかというと、Googleは安全なサイトを上位表示したいわけです。なのでSSL化されたサイトとされていないサイトがあった場合、安全な方のSSL化されたサイトの方が優遇されます。

参考

下の動画は3分でSSLが理解できる動画です。「SSL化していないサイトにアクセスすると簡単に情報が盗まれる」ということを実演付きで解説してくれています。

参考動画(YouTube)【注意】フリーwifi盗聴ちょろすぎて草

解説2:"常時"SSL化とは?

「"常時"SSL化」(じょうじえすえすえるか)について解説します。サイトをSSL化するとこまでは理解できたと思います。これでサイトが安全になって安心かと思いきや!まだ完全に安全とはいえない状況なんです。というのも まだ初期状態のhttpは生きておりアクセスしようと思えばアクセスできてしまう状態なんです。読者が間違えてhttpにアクセスしてしまったらせっかくSSL化した意味がありません。そこで誰もhttpにアクセスできないようにhttp完全封鎖します。イメージはhttpにアクセスしてきた人を自動的に安全なhttpsに飛ばす感じです。(専門用語で言うと「リダイレクト」)。このようにhttpを完全封鎖し100%SSLの状態を保った状態のことを「常時SSL」と呼びます。サイトを運営する上で「常時SSL」は必須項目です。

サイトを常時SSL化させる手順

それではXServerでサイトを常時SSL化させるまでの手順を説明します。

準備:現在の状況を確認

設定に入る前に現在の状況を確認しておきましょう。

まずはブラウザであなたのサイトを表示させてください。

ダッシュボード】>【サイト名(左上)】> "サイトを表示"

SSL化していないサイトは「保護されていない通信」と表示される(Chrome)

上部にあるアドレスバーの部分を見てください。URLの先頭部分はhttpで、Chromeだと「保護されていない通信」、Safariだと「安全ではありません」と表示されるはずです。これはSSL化がまだ済んでないことを表します

まずはこの文を確認して次に進んでください。

手順1:SSLの設定

SSLの設定をオンにします。

XSeverのサーバーパネルにログインし、該当するドメインの右側にある三点リーダからドメイン設定へ移動します。

SSLの箇所のチェックをON(無料独自SSL)に入れ、設定するを押します。

公式マニュアル

公式マニュアルはこちら。※解説は旧サーバーパネル用と新サーバーパネル用の2パターン用意されていますが みなさんは新サーバーパネルの方の解説を読んでください。

公式マニュアル無料独自SSLの設定方法(Xserver)

SSLにはいろんな種類があってこちらはXServerが無料で提供するSSLです。有料でもっと安全性の高いものも購入することができます(オプション独自SSL)。セキュリティを高めたい人は購入してみてもいいと思います。普通のサイトは無料のSSLで十分だと思います。

手順2:WordPress側でサイトのURLを変更する

次はWordPressに移動してサイトのURLをhttpからhttpsに変更します(手作業で)。

WordPressにログインして次の場所へ進んでください。

ダッシュボード】>【設定】>【一般設定】> "WordPressアドレス(URL)"、"サイトアドレス(URL)"

サイトのURLをhttpからhttpsに変更する。(常時SSL化する手順:Xserverの初期設定)

そこにサイトのURLが書いてある箇所が2つあると思います(WordPressアドレス(URL)サイトアドレス(URL))。"http"という部分を"https"("s"を追加)に変更してください(httphttps)。2つとも。

変更が完了したら保存を押します。

確認:SSL化が成功したか確認する

それではSSL化が成功したか確認してみましょう。

もう一度あなたのサイトをブラウザに表示させてください。

SSL化されると鍵のマークが出るようになる(Chrome)

SSL化が成功していればURLの横にこのような鍵マークが表示されます。このようになればSSL化は成功です!

上手くいかない場合

上手くいかない場合、ページ内に画像が含まれていないか確認してください(画像のURLがhttpのままだとエラーになります)。画像を削除してみてください(SSL化を成功させるにはページからhttpを全て除去しないといけません)。

手順3:常時SSL化

SSL化はできたので今度は「"常時"SSL化」の設定を行います。

再びXServerのドメイン設定画面に戻ります(XSeverのサーバーパネルにログイン→該当するドメインの右側にある三点リーダ)

HTTPS転送設定の欄のHTTPSに転送するにチェックを入れ設定するを押してください。これでサイトの「常時SSL化」ができます。

確認は次の項目で行います。

「常時SSL化」完了!

エックスサーバーの初期設定2:優先ドメインの設定(SEO対策)

サーバーの初期設定2:リダイレクト設定

次に行うのは「優先ドメインの設定」です。

Set a Preferred Domain via Your Web Host.

(サーバー側で優先ドメインを設定しよう)

SEO Workbook: Search Engine Optimization Success in Seven Stepsより

解説:「優先ドメイン」とは?

URLの性質

先ほどURLの先頭部分はhttpとhttpsがあるとお話しましたが URLの先頭部分は実はもう1組あるんです。それが"wwwありパターン"と"wwwなしパターン"。表にするとこんな感じです。

SSL未設定SSL設定済み
wwwなしhttp://〜〜https://〜〜
wwwありhttp://www.〜〜https://www.〜〜

全部で4パターンのURLが存在することになります(どのURLでもサイトを表示できます)。

上で解説したようにhttpから始まるものは危険なので事実上使うことはありません。使用するのは「https://」か「https://www.」です。

  • http://〜〜〜
  • https://〜〜〜
  • http://www.〜〜〜
  • https://www.〜〜〜

URLが2パターンあると困ること:評価の分散

「https://」と「https://www.」は同時使用できます。しかし両方同時に使うとSEO的に悪影響なので サイト運営のセオリーとしてはどちらか片方を使います。理由は評価が分散するからです。

「評価が分散」について説明します。SEOの一つの評価基準として被リンクというものがあります(他のサイトからリンクをしてもらえばもらうほど評価が上がる仕組)。例えばあなたのサイトに 100人の人がリンクを貼りました。内訳は 60人が"https://〜〜〜"形式で、もう40人が"https://www.〜〜〜"形式でした。この場合、あなたのサイトに貼られたリンクは60とカウントされます。なぜなら"https://〜〜〜"と"https://www.〜〜〜"は別々のサイトとして認識されているからです。これを「評価の分散」といい、SEO的に損している状態です。

評価の分散を防ぐために優先ドメインを設定する

そこで行うのが優先ドメインの設定です。優先ドメインとは4つ(実質2つ)のURLのうちから1つを"正当なURL"として指定してあげることです。

まず、"https://〜〜〜"形式と"https://www.〜〜〜"形式、どちらか好きな方を選びます。次に選ばなかった方のURLから正当なURLに飛ばす(リダイレクト)設定をします。こうすると 全てのURLが1つのURLに統合され「評価の分散」を避けることができます。

優先ドメインの設定手順

それでは優先ドメインの設定をしていきましょう。手順は以下の通りです。

www転送設定

XSeverのサーバーパネルにログインします。該当するドメインの右側にある三点リーダからドメイン設定へ移動します。

www転送設定の欄、真ん中の○○(←あなたのドメイン)に転送するにチェックを入れます。

wwwパターンがいい場合は一番上の"www.○○(←あなたのドメイン)に転送する"にチェックを入れます。好きな方を選んでください。

終わったら設定するを押します。設定はこれだけです。

設定がうまくいったか確認する

うまくリダイレクトが動いているか確認してみましょう(「常時SSL化」の確認も同時に行います)。

リダイレクトチェッカー(外部サイト)という便利なサイトがあるのでここにアクセスしてください。空欄に3つのパターンのURLを入力してチェックします。例えばサイトのドメインがsample.comの場合、こんな風になります。

  • http://sample.com/ (非SSL、wwwなしパターン)
  • http://www.sample.com/ (非SSL、wwwありパターン)
  • https://www.sample.com/ (SSL、wwwありパターン)
「リダイレクトチェッカー」でリダイレクトがちゃんとできているか確認する。(リダイレクト設定:Xserverの初期設定)

設定が成功していればこのようにリダイレクト先の情報が表示されます。3パターンともhttps://sample.com/(SSL、wwwなしバージョン)にリダイレクトされるはずです(www.を選んだ場合はhttps://www.sample.com/)

「リダイレクトチェッカー」でリダイレクトがちゃんとできているか確認する。成功例(リダイレクト設定:Xserverの初期設定)

失敗の場合はリダイレクト情報は表示されません。

「リダイレクトチェッカー」でリダイレクトがちゃんとできているか確認する。失敗例(リダイレクト設定:Xserverの初期設定)

以上が優先ドメインの設定です。

最低限やることは以上です。ここからはセキュリティ関連の設定を紹介します。

エックスサーバーの初期設定3:WAFの設定(セキュリティ対策)

サーバーの初期設定3:WAFの設定(セキュリティ)

WAFの設定です。WAFとは"Webアプリケーションファイアウォール"の略です。不正なアクセスをサーバー側で門前払いしてくれます。WordPress側のセキュリティと合わせれば二段構えのセキュリティができあがります。

WAFの設定手順

WAFを設定する手順は以下の通りです。

XSeverのサーバーパネルにログインしてください。そしてセキュリティWAF設定に進みます。

初期状態ではすべてOFF状態になっています。それらすべてをONにしてください。終わったら保存します。WAFの設定は以上です。

公式マニュアルWAF設定(XServer)

エックスサーバーの初期設定4:二段階認証の設定(セキュリティ対策)

サーバーの初期設定4:二段階認証の設定

サーバーに不正ログインされないためにサーバーのログイン画面に二段階認証の設定を行うことをおすすめします。

WordPressのログイン画面を守る人は多いですがサーバーのログイン画面を守る人は少ないように思えます。WordPressのログイン画面も大事ですが より重要なデータにアクセスできるサーバーのログイン画面はそれ以上に大事です。

Xserverにはログイン画面に二段階認証を設定する機能があります。ログイン毎に手間がかかってしまいますが大事なデータを守るために導入することをお勧めします。

二段階認証の導入の仕方

手順は下のマニュアルを参考にしてください。

公式マニュアル二段階認証の設定(XServer)

-エックスサーバー(XServer)