大切なWebサイトを運営する上で、セキュリティ対策は欠かせません。
国内シェアNo.1レンタルサーバーの「エックスサーバー」では、二段階認証やWAF、無料SSLなど、さまざまなセキュリティ機能が用意されています。
本記事では、エックスサーバーの7つのセキュリティ対策を詳しく解説します。
※本記事内の一部リンクは、エックスサーバー利用者である筆者発行の紹介リンクです。新規契約で初回料金10〜20%割引が適用されます(一部サービスは対象外)。
エックスサーバーのセキュリティ対策の概要と種類
エックスサーバーは、各プランの料金内で以下のようなさまざまなセキュリティ機能を備えています。
- 二段階認証とSMS認証
エックスサーバーにログインする際の二段階認証またはSMS認証の設定 - パスワード変更
エックスサーバーにログインする際のパスワードの変更 - アクセス制限
指定のディレクトリに対してベーシック認証(パスワード)をかける - .htaccess編集
Webサーバーの動作を細かく制御できる設定ファイルの編集(中級者以上が推奨) - アクセス拒否設定
特定のIPアドレスからのアクセスを拒否 - WAF(ウェブ・アプリケーション・ファイヤーウォール)
不正アクセスや攻撃からWebサイトを保護する仕組み - 無料SSL証明書
通信を暗号化し、ユーザーの個人情報やパスワードが第三者に盗まれるのを防ぐ - WordPressセキュリティ設定
国外IPからWordPressのログイン制限やスパムコメントなどの対策 - 自動バックアップ機能
定期的にデータベースやファイルを自動でバックアップ - 手動バックアップ機能
特定のバックアップ・ファイルを手動でダウンロード - メールセキュリティ
エックスサーバーで作成した独自ドメインメールに対する迷惑メールフィルタ・改ざん・なりすましの防止など
一部、WordPressプラグイン(拡張機能)でも利用できる機能もあります。重複しないようにするか、重複しても問題ないか確認や動作チェックが必要となります。
エックスサーバーのセキュリティ機能の設定・操作方法
エックスサーバーの4つのセキュリティ対策の設定について解説します。設定するには、はじめにエックスサーバーに申し込み、ログインページから以下を入力してログインします。
- XserverアカウントIDまたは登録メールアドレス
- パスワード

二段階認証とSMS認証
エックスサーバーにログインする際、Googleの認証アプリまたはモバイルのショートメールに届いた番号で認証する設定をしてセキュリティを高めます。
| 項目 | 二要素認証(TOTP認証) | SMS認証 |
|---|---|---|
| セキュリティ強度 | 高 | 中 |
| 主なリスク | スマホ紛失時の復旧が大変 (バックアップコードあり) | SIMスワップ攻撃(※1) SMS遅延(※2) |
| 推奨設定 | 推奨 | 予備手段として設定 |
※1:SIMスワップ攻撃とは、攻撃者が不正に電話番号を自分のSIMカードに移行し、SMS認証を突破する手口。
※2:SMS遅延とは、認証コードが届くのが遅れる、または届かない現象。
各認証で設定するには、以下の手順で行います。
- アカウントのアイコンや名前を押す
- 「登録情報確認・編集」を押す
- 二段階認証またはSMS認証の右側の「設定変更」を押す
※二段階認証を設定すると、SMS認証のボタンが非表示になります。

- 設定する・しないを選択
- 「設定を変更する」を押す
その後、アプリと連携するためのQRコードを表示できます。

続いて、Google Authenticator(認証システム)のアプリをインストールします。
※セキュリティアプリのためか、アプリ画面がスクリーンショットできませんでした。
画面右下にある「+」ボタンを押して、「QRコードをスキャン」を押し、画面上のQRコードを読み取って連携完了です。
今後、エックスサーバーのログインする際は、IDまたはメールアドレスとパスワードを入力後、このアプリに表示された番号を入力するとログインできます。
パスワード変更
エックスサーバーにログインする際のパスワードを変更することができます。
わかりやすいパスワードにしている場合は、突破されてしまう可能性がありますので、複雑なパスワードに設定してください。
複雑なパスワードは、ブラウザのGoogleクロームやパスワード生成ツールを利用してください。
パスワード変更は以下の手順で行います。
- 「人型のアイコン」または「表示名」を押す
- パスワード変更」を押す
- 新しいパスワードを二箇所に入力して「パスワードを変更する」を押して完了

アクセス制限
アクセス制限は、特定のディレクトリに対してベーシック認証を設定し、ユーザー名とパスワードを入力しないと閲覧できない状態にするセキュリティ対策です。
管理画面やテスト用ページ、社内限定の資料など、不特定多数に公開する必要がないディレクトリに設定することで、不正アクセスや情報漏えいのリスクを大幅に低減できます。
万が一URLが第三者に知られた場合でも、認証情報がなければアクセスできないため、外部からの不正な閲覧や操作を防げる点が大きなメリットです。
設定は、左メニューの「アクセス制限」をクリック後、該当するドメインとフォルダの右側にある「OFF」をクリックして「ON」にします。

.htaccess編集(中級者以上向け)
.htaccessは、Webサーバーの動作をディレクトリ単位で細かく制御できる設定ファイルです。
特定ファイルへのアクセス制御、セキュリティ強化のためのルール追加など、幅広い設定が可能です。
例えば、不正なリクエストをブロックする設定や、特定の拡張子ファイルへの直接アクセスを制限することで、脆弱性を突いた攻撃を未然に防ぐことができます。
ただし、記述を誤るとサイトが表示されなくなったり、不具合が生じる場合もあるため、編集前のバックアップ取得が重要です。
CDNサービス(Cloudflareなど)で同じ設定が簡単にできる場合もありますので、記述方法がわからない場合はそちらも検討してください。
設定は左メニューの「.htaccess編集」をクリックし、右側のペンアイコンを選択するとポップアップ画面上で編集することができます。

アクセス拒否設定
アクセス拒否設定は、特定のIPアドレスからのアクセスをサーバー側で拒否するセキュリティ対策です。
不正アクセスが繰り返し行われている場合や、短時間に大量のリクエストを送信する不審なアクセス元が判明している場合に有効です。
これにより、ログイン画面へのブルートフォース攻撃や悪意のあるクローリング、サーバーへの過剰な負荷を防止できます。
ただし、IPアドレスは、接続のたびに変わる動的IPと常に同じ固定IPがあります。この機能は固定IPの場合に効果的です。
設定は、左メニューの「アクセス拒否設定」をクリックし、アクセス拒否IPを追加を選択してIPアドレスを入力します。

関連記事:IPアドレスの確認方法まとめ
WAF(ウェブ・アプリケーション・ファイヤーウォール)
WAFは、Webアプリケーションに対する攻撃を防御するための仕組みです。
悪意のある攻撃を検知し、遮断します。これにより、Webサイトの安全性が大幅に向上します。
ただし、不正アクセスを100%駆除することを保証するものではありません。
エックスサーバーでWAFを有効化する方法
サーバーの項目から「サーバー管理」を押します。
- セキュリティ > WAF設定を押します。
- 必要な項目のボタンを押してONにします。

- XSS対策
クロスサイトスクリプティング(XSS)攻撃を防止します。攻撃者が悪意のあるスクリプトをウェブページに挿入するのを防ぎます。 - SQL対策
SQLインジェクション攻撃を防ぎます。攻撃者が悪意のあるSQLコードをデータベースに送信してデータを盗んだり改ざんしたりするのを防ぎます。 - ファイル対策
不正なファイルアップロードを防止します。ウェブサイトに不正なファイルがアップロードされるのを防ぐための対策です。 - メール対策
メールアドレスやフォームに関連する攻撃を防止します。メールアドレスの収集やスパム送信を防ぎます。 - コマンド対策
コマンドインジェクション攻撃を防ぎます。攻撃者がサーバー上で悪意のあるコマンドを実行するのを防ぎます。 - PHP対策
PHP関連のセキュリティ問題を防止します。悪意のあるPHPコードがサーバーで実行されるのを防ぎます。
※WAF設定の追加・変更後、反映まで最大1時間程度かかる場合があります。
SSL化とHTTPS
SSL(Secure Sockets Layer)は、Webサイトとユーザー間の通信を暗号化する技術です。SSLにより、第三者による情報の盗聴や改ざんを防ぎます。
SSLの主な目的
- データの暗号化
ユーザーのブラウザとウェブサーバー間で送受信される情報を暗号化し、第三者による傍受や盗聴を防ぎます。たとえば、ログイン情報や個人情報などが暗号化されることで安全性が向上します。 - データの改ざん防止
通信中にデータが第三者によって変更されていないことを保証します。これにより、正確なデータが送受信されます。 - 認証
サーバーが信頼できるものであることを証明します。SSL証明書を導入しているウェブサイトでは、ユーザーがそのサイトが正規の運営者によるものであると確認できます。
SSL化されたウェブサイトの特徴
- URLが「https://」で始まる
通常の「http://」に「s」がついているのが特徴です。 - ブラウザに鍵マークが表示される
多くのブラウザでは、SSLが有効なウェブサイトでアドレスバーに鍵アイコンが表示され、ユーザーが安全性を確認できます。
SSLの重要性
- セキュリティ対策の基本
ユーザーの個人情報を保護し、ウェブサイトへの信頼性を高めます。 - SEOへの影響
GoogleはSSL化されたウェブサイトを優遇しており、検索結果で上位表示されやすくなります。 - 法的要件の遵守
特にECサイトや個人情報を扱うサイトでは、SSL化が求められる場合があります。
無料SSL証明書の取得と設定手順
無料のSSL証明書を取得するには、エックスサーバーのサーバーパネルにログインし、左側のメニューから以下の操作を行います。
- 「ドメイン」 から「SSL設定」を選択します。
- SSL化したいドメインの右側のボタンを「ON」にして完了です。

設定が反映されるまで数分から数時間かかる場合があります。
サイトシール(第三者機関によって認証されていることを示すマーク)付きのSSLについては、以下からご確認ください。
WordPress側のSSL化の方法
ご利用のウェブサイトがWordPressの場合は、ダッシュボードからSSLを適用させる設定が必要です。設定するには、はじめにWordPressのダッシュボードにログインします。
- 「設定」>「一般」を押します。
- 「WordPressアドレス(URL)」と「サイトアドレス(URL)」のどちらとも「http」を「https」に変更します。
- 下にスクロールして「変更を保存」を押して完了です。

具体的には、以下のように「http」の後に「s」をつけて変更します。
↓
https://example.com
「WordPressアドレス(URL)」と「サイトアドレス(URL)」のどちらか一方だけを「https」にしてしまうと、ログインできなくなるなど不具合が発生しますのでご注意ください。
設定後、再度ログイン画面になる場合がありますので、ブラウザのURLが「https」になっているかご確認ください。
WordPressセキュリティ設定
エックスサーバーでは、ウェブサイト作成ツールのWordPress(ワードプレス)で作成したホームページやブログのセキュリティ設定もできます。
- 「WordPress」>「WordPressセキュリティ設定」
- セキュリティ設定したいWordPressがインストールされているドメインを選択
- 国外アクセス制限、ログイン試行回数制限、コメント・トラックバック制限の右側のON・OFFを選択します(各項目は後述します)。

設定項目は、それぞれ以下のような機能になっています。
- ダッシュボード アクセス制限
WordPressの管理画面(/wp-admin/)へのアクセスを国外IPから制限 - XML-RPC API アクセス制限
WordPressの「XML-RPC」への国外からのアクセスを制限。XML-RPCは、外部アプリからWordPressに接続するための旧式の外部連携機能(現在は完全にブロックしても問題がないケースが多い) - REST API アクセス制限
WordPressの「REST API」への国外からのアクセスを制限。REST APIは、プラグインやテーマがデータをやり取りするのに使われる新型の外部連携機能 - wlwmanifest.xml アクセス制限
Windows Live Writer(ブログ投稿ツール)用の設定ファイルへのアクセスを制限 - ログイン試行回数制限
短時間に複数回ログインを試みたIPアドレスを一定時間ブロックする機能 - コメント・トラックバック制限
スパムコメントや不要なトラックバック(外部サイトからのリンク)を防ぐ機能です。 - 単一ユーザーからの大量投稿
短時間で大量のコメント・トラックバックを送信する行為を制限 - 国外IPアドレスからの投稿
海外のIPアドレスからのコメント・トラックバックをブロック
自動バックアップ機能
エックスサーバーでは、自動バックアップ機能が標準で提供されています。
サーバー内のデータベースやファイルが定期的にバックアップされ、万が一のトラブルが発生した場合でも復元が可能です。
エックスサーバーでは以下のデータが自動的にバックアップされます。
- データベース
MySQLデータベースが毎日バックアップされ、一定期間保存されます。 - ファイル
サーバー内のWebデータやメールデータも定期的にバックアップされます。
バックアップはサーバー運営側で管理されており、利用者が何もしなくても自動で処理されるため、手間がかかりません。
自動バックアップの注意点
自動バックアップをする際は、以下の点に注意してください。
- 自動バックアップ機能は、完全な保証を提供するものではありません。定期的に手動バックアップするとリスクが軽減できます。
- バックアップデータをダウンロードする際には、保存期間が過ぎる前に行う必要があります。
- 復元する場合は現在のデータをバックアップしておくことを推奨します。
- 自動的にバックアップされたファイルをダウンロードしたい場合は、やや時間がかかります。短時間で終えたい場合は、次の項目で解説している手動バックアップもご検討ください。
自動バックアップの取得・復元
自動バックアップの取得・復元をするには、以下の手順で行います。バックアップを取得と復元する際の表示項目はほぼ同じになっています。
- 「サーバー」 > 「自動バックアップの取得・復元」
- 自動バックアップデータの取得または復元を選択、対象バックアップ日の選択、すべてまたは対象を指定して取得
- 「実行する」を押すと、バックアップデータを作成してくれます。

「履歴」タブを押すと、バックアップ作成の状況を確認できます。

手動バックアップ機能
自動バックアップに加え、必要に応じて手動でバックアップを取ることも可能です。以下の手順で進めます。
- 「サーバー」>「手動バックアップ」
- バックアップを取りたいドメイン名が表示されるまで下にスクロール
ドメイン名以外に表示されている名称では、以下のバックアップができます。
- ホームディレクトリ
エックスサーバーのユーザーごとのデータが格納される最上位ディレクトリ。利用しているサーバー上のすべてのデータをバックアップ - .pki(Public Key Infrastructure)
SSL/TLS証明書の管理に関連するフォルダ(SSH接続用の鍵や証明書)。 - .spamassassin
スパムメールのフィルタリングを行う「SpamAssassin」の設定フォルダ。 - MaildirまたはMaildir.1など
メールデータが保存されているフォルダ。 - ssl
SSL証明書に関するデータが格納されているフォルダ。

バックアップしたい初期ドメインまたは取得したドメイン名の右側にある「作成してダウンロードする」を押すと、バックアップ・ファイルがダウンロードされます。

メールセキュリティ
エックスサーバーで作成した独自ドメインメールに対し、迷惑メール対策から送信ドメイン認証まで、メールセキュリティ機能が用意されています。
設定は左メニューの「メール」をクリックし、アコーディオンメニュー内から選択できます。

- 迷惑メールフィルタ設定
迷惑メールの自動判定、ホワイトリストとブラックリスト管理、DMARC受信設定に対応 - SMTP認証の国外アクセス制限設定
国外IPからのSMTP認証を制限し、不正ログインやスパム送信を防止 - メール振り分け設定
差出人や件名などの条件で、メールを自動振り分けや削除が可能 - DKIM設定
送信元の正当性を証明し、なりすまし防止と到達率向上に効果 - SPF設定
許可されたサーバーからの送信を証明し、なりすまし防止と信頼性向上に有効 - DMARC設定
メールの送信元を認証し、なりすまし(迷惑メール)を防ぐための仕組み
これらの機能を適切に設定することで、迷惑メール対策だけでなく、なりすまし防止や不正利用防止まで総合的なメールセキュリティ対策が可能になります。
Xserverサイトセキュリティ(別途有料)
Xserverサイトセキュリティは、エックスサーバーが提供する有料のWebサイト向けセキュリティ診断サービスです。
URLを登録するだけで「Web改ざん検知」と「脆弱性診断」という2つのセキュリティチェックを定期的に実施します。
診断の結果、問題が見つかった場合はメールで通知され、潜在的なリスクや実際の改ざんの有無を把握して対策につなげられる仕組みです。
毎日の自動診断や診断結果の管理画面も用意されており、専門知識がなくても利用できます。料金は月額制の有料サービスで、プランによって価格が設定されています。
Xserverビジネス(法人向けマネージドサーバー)のセキュリティ対策
Xserverビジネスは、法人利用を想定したマネージドサーバーサービスで、サーバーの保守管理やセキュリティ対策を事業者側に任せられる点が大きな特徴です。
OSやミドルウェアの更新、サーバー監視、障害対応などはXserverが対応するため、利用者はインフラ管理を自分で行う必要がありません。
セキュリティ面では、以下のように攻撃の防御から万一の復旧までをカバーしています。
- サーバー監視・障害対応を含むマネージド運用:OSやミドルウェアの保守、監視、障害対応を事業者側が実施し、セキュリティリスクを低減
- WAF(Webアプリケーションファイアウォール)標準搭載:SQLインジェクションや不正アクセスなど、Webアプリケーションを狙った攻撃を防御
- Web改ざん検知機能:サイトの改ざんやマルウェア感染を自動で検知し、異常時は通知
- 自動バックアップ(遠隔地バックアップ対応):Web・メール・データベースのデータを定期的に保存し、トラブル時の復旧に備えられる
- 高性能スパムフィルタ(Cloudmark):業務メールに届く迷惑メールや、不審なメールを高精度でブロック
サーバー基盤の管理とセキュリティをプロに任せつつ、Webサイトやアプリケーションの運用に集中したい企業に適したサービスです。
さらに強固な防御を:Cloudflareによる「二重の壁」
エックスサーバーの標準機能だけでも十分な運用は可能ですが、さらなる安心を求めるなら、世界トップクラスのセキュリティ基盤を持つCloudflare(クラウドフレア)との併用がおすすめです。
エックスサーバーの前段にCloudflareを配置することで、攻撃がサーバーに到達する前にブロックする「二重の壁」を構築できます。
実際に当サイトもCloudflareを導入しており、エックスサーバーのセキュリティ対策と併用しています。二重防壁で安心してサイト運営をすることができています。

- DDoS攻撃をサーバーの手前で遮断:サーバーをダウンさせる大規模なDDoS攻撃をエックスサーバーに到達する前に食い止めます。
- 本来のIPアドレスを隠匿:Cloudflareを経由させることで、サイトが稼働している実際のサーバーIPアドレスを外部から見えないように隠す(プロキシ)ことができます。
- 海外からの不正アクセスやBot対策を強化:エックスサーバーにも国外アクセス制限機能はありますが、Cloudflareではより細かく、かつ高度なAI判断でブロックできるようになります。
実際に筆者もBotをブロックしていますが、
導入時のポイント
- 無料プランでも強力:セキュリティ強化が目的であれば、多くの場合、Cloudflareの無料プランの範囲内でも効果を得られます。
- ネームサーバーの切り替えが必要:導入にはドメインのネームサーバーをCloudflare指定のものに変更する作業が必要です。
設定は、エックスサーバーの「サーバーパネル」>「ドメイン」>「DNSレコード」に記載されているレコードをCloudflare側にコピペして設定します。
導入時の注意点
Cloudflareを導入すると、エックスサーバー側から見たアクセス元がすべてCloudflareのIPアドレスになります。WordPressのプラグイン等でIPアドレス制限を行っている場合は、設定の調整が必要になる点にご留意ください。
また、外部のメルマガ配信サービスなどDNSで連携する場合は、エックスサーバー側ではなくCloudflare側でDNSレコード設定はする場合があります。
「自分で調べて設定できる」「まずは0円で始めたい」場合
「設定に自信がない」「仕事用のサイトなので失敗したくない」場合
▶ Cloudflareパートナー企業の1ヶ月無料お試しを詳しく見る
まとめ
エックスサーバーには、無料SSL、WAF、二段階認証、自動バックアップなど、多くのセキュリティ機能が備わっています。
これらを適切に活用することで、Webサイトの安全性を高め、セキュリティ・リスクを軽減することができます。
設定は比較的簡単なので、ぜひ本記事を参考にしてください。定期的なバックアップやパスワードの見直しもお忘れなく。