Xserverでできるサーバーセキュリティ強化のポイント

エックスサーバーは国内トップクラスのセキュリティ機能を備えたレンタルサーバーです。しかし、多くの運営者が陥る罠が「標準設定のままだから大丈夫」という思い込みです。

2026年現在、WordPressを狙った攻撃はより巧妙化・高速化しています。初期設定のまま放置されたサイトは、ブルートフォース攻撃（総当たり攻撃）や脆弱性を突いた改ざんの格好の餌食となり、企業の信頼を一夜にして失墜させるリスクを孕んでいます。

プロのサーバーエンジニアの視点から、エックスサーバーで実施すべき「必須のセキュリティ強化策」を徹底解説します。この記事の通りに設定を行えば、あなたのサイトの安全性は劇的に向上します。

なぜエックスサーバーの「初期設定」だけでは不十分なのか？

2026年に急増するサイバー攻撃のトレンド

現在、サイバー攻撃の主流は「特定のサイトを狙い撃ちする」ものから、「プログラムを用いて脆弱性のあるサイトを自動で探し出し、一斉に攻撃する」ものへと変化しています。特にWordPressのログイン画面（wp-login.php）や、古いプラグインの隙を突いた「バックドア」の設置が多発しており、気づかないうちに自社サイトがウイルス配布元にされるケースも少なくありません。

法人サイトが狙われる理由と被害のリスク

法人サイトが攻撃を受けると、顧客情報の流出だけでなく、検索結果からの除外（ブラックリスト入り）、最悪の場合は取引先への二次被害による損害賠償に発展します。エックスサーバーの強力なインフラを活かしつつ、個別のサイト設定で「鍵」を二重、三重にかけることが不可欠です。

【最優先】Xserverサーバーパネルで行う基本防衛策

WAF（Webアプリケーションファイアウォール）の最適化

Xserverでは標準でWAFが提供されていますが、設定状況を確認してください。

• 基本方針： 6項目すべて「ON」が鉄則です。 特に「SQLインジェクション」や「クロスサイトスクリプティング」対策は、サイト改ざんを防ぐ生命線です。万が一、フォームの送信等でエラーが出る場合は「一時的にOFFにして特定し、対策後にすぐONに戻す」運用を徹底してください。長期間のOFFは自殺行為です。

国外IPアクセス制限と「コメント・トラックバック制限」の徹底

不正アクセスの約9割は海外経由です。国内向けのサービスであれば、以下の制限は迷わず「ON」にしてください。

• ダッシュボードアクセス制限： 海外からのログイン試行を遮断します。
• XML-RPC制限： ピンバック機能を悪用したDDoS攻撃を防ぎます。
• コメント・トラックバック制限： 大量のスパムコメントによる負荷増大を防ぎます。

管理画面・重要URLへの「IPアクセス制限」設定

法人運営において最も効果的なのが「接続元のIP固定」です。 サーバーパネルの「アクセス制限」機能を用い、自社の固定IPアドレス以外からは以下のディレクトリにアクセスできないよう設定してください。

• /wp-admin/（WordPress管理画面）
• /phpmyadmin/（データベース管理ツール） これにより、パスワードが漏洩しても外部からの侵入を物理的に阻止できます。

WordPressの脆弱性を狙った攻撃への具体策

ログインページの保護と二段階認証

「admin」というユーザー名を使用するのは今日限りでやめましょう。また、プラグインを活用してログインURLを変更する、あるいはログイン試行回数に制限をかける（Lockdown機能）ことで、機械的な総当たり攻撃を無効化できます。

プラグイン・テーマの管理と「自動更新」の使い分け

「勝手に表示が崩れるのが怖い」という理由で更新を止めるのは非常に危険です。

• 本体のマイナーアップデート： 自動更新推奨（セキュリティ修正が含まれるため）。
• プラグイン： 1年以上更新されていないものは代替品を探し、削除してください。不要なプラグインは、それだけで攻撃の入り口になります。

.htaccessによるシステムファイルの保護

エックスサーバーのファイルマネージャーやFTP経由で、.htaccessに以下の記述を追加することを検討してください。

• wp-config.phpへのアクセス禁止設定
• ディレクトリリスティング（ファイル一覧表示）の禁止 これらにより、サーバー内部の重要な設定情報を覗き見られるリスクを低減できます。

インフラエンジニアが推奨する「接続環境」の強化

パスワードFTPの廃止と「SFTP/SSH接続」への移行

従来のFTP接続は、パスワードが暗号化されずにネットワーク上を流れるため、盗聴のリスクがあります。 Xserverでは「SSH設定」を有効にすることで、暗号化されたSFTP接続が利用可能です。法人サイトの運用では、必ずSFTPを利用し、従来のFTP接続は「設定制限」で無効化しておくのがプロの基準です。

接続元IPアドレスの限定（固定IPの活用）

SSH接続を利用する場合も、公開鍵認証の設定に加えて「接続元IPの制限」を行うことで、管理画面と同等の強固なセキュリティを担保できます。

メール運用のセキュリティと到達率の改善

SPF/DKIM/DMARC設定によるなりすまし対策

2026年、メールセキュリティは「届くための必須条件」となりました。

• SPF： 送信元サーバーを偽装していないことを証明。
• DKIM： メールの内容が改ざんされていないことを証明。
• DMARC： 上記に失敗したメールの扱いを指定。 これらが未設定だと、自社メールが「なりすまし」と判定され、相手に届かないだけでなく、自社のドメイン評価が下がる原因となります。

不正送信・アカウント凍結を防ぐための運用ルール

万が一WordPressが改ざんされると、サーバーから大量の迷惑メールが送信されます。これによりXserver側からアカウントが即座に凍結され、WEBサイトもメールも全停止する事態に陥ります。これを防ぐためにも、前述のWAFとファイル保護が極めて重要になります。

やってはいけない！セキュリティリスクを高めるNG設定6選

1. WAFを長期間OFFにする： わずか数時間のOFFの隙に侵入されます。
2. 「admin」ユーザーの放置： 攻撃者が最初に試すユーザー名です。
3. 脆弱なパスワード（123456等）： 現代の計算能力では数秒で突破されます。
4. 不要なプラグイン・テーマの放置： 泥棒に「勝手口」を開けているのと同じです。
5. wp-config.phpを誰でも見れる状態にする： DB情報が丸見えになります。
6. メール認証（SPF/DKIM/DMARC）の未設定： 企業のメール信頼性を失墜させます。

まとめ：定期的な見直しが最大の防御になる

エックスサーバーは強力なプラットフォームですが、それを使いこなす「設定の運用」こそがセキュリティの正体です。

1. サーバーパネルでWAFとIP制限を見直す
2. WordPressのログイン環境を二重に保護する
3. メール認証を正しく設定し、信頼性を担保する

まずはこの3点から着手してください。一度設定してしまえば、多くは自動であなたのサイトを守り続けてくれます。自社のブランドと顧客を守るために、今すぐ設定状況をチェックしましょう。

サーバーセキュリティを強化したい方へ

Xserverでサーバーセキュリティを強化するポイントを解説しています。関連する記事もご覧ください。

.htaccess設定でリダイレクトが効かないときの対処法

WordPressセキュリティ強化に役立つプラグイン5選

記事監修

桐石 真澄（テクニカルマネージャー）
管理栄養士の大学を卒業後、エディトデザインでWebデザイン・開発のスキルを積む。15年以上にわたりWebサイト構築・運用に携わり、不動産・建築関連の案件に多く関わる中で専門知識を深め、2020年には宅地建物取引士資格を取得。法律・IT・デザインの知見を活かし、信頼性と実用性の高いコンテンツ制作を行う。

ホームページ制作に関するお問い合わせ

ご相談・お問い合わせは、お電話または専用フォームよりお気軽にお問い合わせください。
ご希望の場合、新規お問い合せから制作の打ち合わせまで、Zoomなどでオンライン対応も可能です。

お電話でのご相談

東京オフィス :　03-5422-3380
大阪オフィス :　06-6949-8033

Webでのご相談

株式会社 エディトデザインについて

「クリエイティブで企業を前進させる」をコンセプトに、
デザインとWebマーケティングでビジネスの課題を解決します。
コーポレートサイト・採用サイト・ECサイトなど幅広い分野の制作実績もございます。