初心者向けXserver(エックスサーバー)の初期設定:SSL化、リダイレクト、WAF設定、二段階認証

Xserver(エックスサーバー) レンタルサーバー

初心者向けXserver(エックスサーバー)の初期設定!SSL化、リダイレクト設定、WAF設定、二段階認証

ここではXserverの初期設定でやっておくべきことを紹介します。

これからサイトを運営するに当たって初期設定は3つの分野で行います。「WordPressの初期設定」、「テーマの初期設定」、そして「サーバーの初期設定」です。今回はこの中の「サーバーの初期設定」に焦点を当てます。サーバーでしかできない"セキュリティ対策"や"SEO対策"があるのできっちりやっておきましょう!

サーバーの初期設定1:サイトの常時SSL化(SEO対策)

サーバーの初期設定1:サイトの常時SSL化

まずは サイトのSSL化を行います!SEOに関する設定です。

サイトを常時SSL化する手順

サイトを常時SSL化する手順を説明します。

準備:現在の状況を確認

設定に入る前に現在の状況を確認しておきましょう。

まず WordPressにログインしてあなたのサイトをブラウザに表示させてください。

ダッシュボード】>【サイト名(左上)】> "サイトを表示"

SSL化していないサイトは「保護されていない通信」と表示される(Chrome)

そして上部にあるアドレスバーの部分を見てください。Chromeだと「保護されていない通信」、Safariだと「安全ではありません」と出ているはずです。これらの文言はSSL化がまだ済んでないことを表します。

この文が確認できたら次に進みましょう。

手順1:SSLの申請

それでは実際にSSL化の作業に移ります。まずはXserverで「SSLの申請」を行います。

Xseverのサーバーパネルにログインします。そして下の公式マニュアルを参考にしてSSL化の申請を行なってください。無料独自SSLの設定方法と書いてある部分の1〜4です。

公式マニュアル無料独自SSLの設定方法(Xserver)

こちらはXserverが提供する無料のSSLです。これよりももっと高いセキュリティーを求める場合(企業や公的機関)はオプション独自SSLというものがあるのでそちらをお買い求めください。普通のブログは無料のSSLで十分です。

手順2:WordPress側でサイトのURLを変更する

申請が完了したら お次はWordPress側でサイトのURLを変更します。

あなたのWordPressにログインして次の場所へ移動してください。

ダッシュボード】>【設定】>【一般設定】> "WordPressアドレス(URL)"、"サイトアドレス(URL)"

サイトのURLをhttpからhttpsに変更する。(常時SSL化する手順:Xserverの初期設定)

そこにあなたのサイトのURLが書いてある箇所が2つあります。2箇所とも先頭の"http"を"https"("s"を追加)に変更します。httphttps

変更が完了したら保存を押してください。これだけで大丈夫です。

確認:SSL化が成功したか確認する

それではSSL化が成功したか確認してみましょう。

先ほどと同じ方法でもう一度あなたのサイトを表示させてください。

SSL化されると鍵のマークが出るようになる(Chrome)

サイトが表示されたらアドレスバーの部分を見てください。URLの横にこのような鍵マークが表示されていますか?表示されていればSSL化は成功です。

SSL化の解説:初心者向け!

サイトのSSL化は何のために行うかというとサイトに来てくれるユーザーの個人情報を守るために行います。あなたのサイトは初期状態だとスケスケの状態です。このサイトにユーザーがアクセスするとユーザーの行動は第三者に筒抜けです。例えば ユーザーがどんなページにアクセスしているのかは簡単にわかります。さらにもしコンタクトフォームにユーザーが個人情報を記入しているものならその個人情報も簡単に盗むことができます。

せっかくサイトに訪れてくれた方をこのような危険な目に会わせたくないですよね。このような事態を防ぐために導入するのがSSLです。これを導入するとあなたのサイトはモザイクがかかった状態になりユーザーの個人情報を保護することができます。

これが転じて SSL化はSEO対策にもなります(Googleは安全なサイトを上位表示させるため)。といっても今ではSSL化はスタンダードになりすぎて ただSSL化しているだけでは上位表示されませんが。逆に言うとサイトのSSL化は評価を落とさないためにやっておくべき設定といえますね。

下の動画は3分程度でSSLが理解できる動画です。「SSL化していないサイトにアクセスすると簡単に情報が盗まれる」ということを知ってください。

参考動画(YouTube)【注意】フリーwifi盗聴ちょろすぎて草

サーバーの初期設定2:URLの先頭を一本化:リダイレクト設定(SEO対策)

サーバーの初期設定2:リダイレクト設定

引き続きSEOに関する設定です。URLのリダイレクト設定を行います。

設定1の「サイトの常時SSL化」を行なった後に行なってください。

リダイレクトの設定手順

リダイレクトの設定手順は以下の通りです。

.htaccessの編集画面に移動する

Xseverのサーバーパネルにログインしてください。そしてホームページの欄にある.htaccess編集に進みます。そして対象のドメインを選択してください。

.htaccess編集のページ来たらタブを.htaccess に切り替えます。すると.htaccessの編集画面が現れます。

.htaccessの編集画面まで来たら すでに記入されている内容をコピーしてメモ帳などに保存しておいてください(不具合が起きた時のバックアップ用)。

公式マニュアル.htaccess編集の手順(Xserver)

.htaccessにコードを貼り付ける

そうしましたら既存のコードを編集画面に貼り付けます。

コードは下のページで紹介されているものがおすすめです。下のお方のページに行ってコード確認してください。

コードはこちらwwwあり・なし、http・httpsを統一する汎用的な記述

.htaccessにリダイレクトのコードを貼り付ける。(リダイレクト設定:Xserverの初期設定)

貼り付ける場所」はすでに記入されているコード(# BEGIN WordPress)の"上"です(場所を間違えないようにしてください)。そして、すでに記入されているコードは絶対に消さないでください(消してしまうとサイトが表示されなくなります)。

貼り付けが完了したら確認画面へ進むから実行するを押してください。これで編集作業は完了です。

参考コードの記述場所を間違うとエラーが起きます(外部リンク)

確認

うまくリダイレクトが動いているか確認してみましょう。

リダイレクトチェッカー(外部サイト)というサイトにアクセスしてください。そこに3つのパターンのURLを入力してチェックします。

例えばドメインがsample.comの場合は次のURLを入力します。あなたのドメインに変えて入力してください。

  • http://sample.com/(非SSL、wwwなしバージョン)
  • http://www.sample.com/(非SSL、wwwありバージョン)
  • https://www.sample.com/(SSL、wwwありバージョン)
「リダイレクトチェッカー」でリダイレクトがちゃんとできているか確認する。(リダイレクト設定:Xserverの初期設定)

リダイレクトが成功していればこのようにリダイレクト先の情報が表示されます。3パターンともhttps://sample.com/(SSL、wwwなしバージョン)にリダイレクトされるはずです。

「リダイレクトチェッカー」でリダイレクトがちゃんとできているか確認する。成功例(リダイレクト設定:Xserverの初期設定)

失敗の場合はリダイレクト情報は表示されません。

「リダイレクトチェッカー」でリダイレクトがちゃんとできているか確認する。失敗例(リダイレクト設定:Xserverの初期設定)

以上がURLの先頭を一本化する作業でした。

初心者向け!解説1:リダイレクトのSEO的意味

URLの先頭を一本化とは何かをご説明します。ここにsample.comという架空のサイトがあったとします。下の4つのURLでこのサイトにアクセスした場合どうなると思いますか?

  1. http://sample.com/(非SSL、wwwなし)
  2. https://sample.com/(SSL、wwwなし)
  3. http://www.sample.com/(非SSL、wwwあり)
  4. https://www.sample.com/(SSL、wwwあり)

正解は「すべて同じページが表示される」です。すべて同じページが表示されますが検索エンジンはそれぞれのURLを別々のページとして認識しています。これが問題です。

例えば、SNSでそれぞれのURLが5回づつシェアされたとします。この場合、sample.comに入る評価は5です。みんな同じページをシェアしているはずですがURLは別々で認識されるので5しか入らないことになります。これを「評価の分散」といいます。

そこでURLの先頭を一本化するリダイレクト設定を行います。これを行うと他のパターンへのアクセスを1つのURLに飛ばすことができます。例えば2番のURL(https://〜〜/)に一本化した場合、ユーザーが1、3、4のURLにアクセスしても自動で2のURLに変換されてアクセスすることになります。これを行うことでどんなメリットがあるかというとURLの評価が1つに集計されることです。先の例でいうと1つのURLに評価が5しか入らなかったものが20全て反映されることになります。

初心者向け!解説2:リダイレクトのセキュリティ的意味

初期設定1でサイトのSSL化を行いました。これにより安全なhttpsが使えるようになった訳ですが、このままではhttpも生き続けています。ユーザーが間違えてhttpにアクセスしたらせっかくhttpsを設置した意味がありません。リダイレクトを行ないhttpへアクセスしてきた人を自動でhttpsに誘導してあげます。httpへのアクセスを完全にできなくします。

サーバーの初期設定3:WAFの設定(セキュリティ対策)

サーバーの初期設定3:WAFの設定(セキュリティ)

次はセキュリティに関する設定です。

WAFの設定です。WAFとは"Webアプリケーションファイアウォール"の略です。不正なアクセスをサーバー側で門前払いしてくれます。WordPress側のセキュリティと合わせれば二段構えのセキュリティができあがります。

WAFの設定手順

WAFを設定する手順は以下の通りです。

Xseverのサーバーパネルにログインしてください。そしてセキュリティWAF設定に進みます。

WAFの設定をすべてONにする(WAFの設定:Xserverの初期設定)

初期状態ではすべてOFF状態になっています。それらすべてをONにしてください。終わったら保存します。WAFの設定は以上です。

公式マニュアルWAF設定(Xserver)

サーバーの初期設定4:二段階認証の設定(セキュリティ対策)

サーバーの初期設定4:二段階認証の設定

サーバーに不正ログインされないためにサーバーのログイン画面を守りましょう。

WordPressのログイン画面が表戸だとしたらサーバーのログイン画面は裏戸です。意外と裏戸がおろそかになっている人が多いようです。サーバーのログイン画面から乗っ取られるケースをよく耳にします。サーバーを乗っ取られたらやっかいですよ。

Xserverにはログイン画面に二段階認証を設置する機能があります。毎回ログインするのに手間がかかってしまいますが導入することをお勧めします。

二段階認証の導入の仕方

導入する手順は下のマニュアルに詳しくまとめられています。これを参考に導入してください。

公式マニュアル二段階認証の設定(Xserver)

-Xserver(エックスサーバー), レンタルサーバー