前回の記事では、「ConoHa WING」というレンタルサーバーの契約手順を説明しました。
[広告]おすすめサーバー「ConoHa WING」
今回の記事では、「ConoHa WING」のサーバーを契約されたことを前提として、まずは「サーバーの設定」と、お申し込みと同時にインストールまで完了している「WordPress」関連の、このサーバーで利用するにあたって必要と考えられる設定を行います。
ConoHaコントロールパネルにログイン!
「ConoHa WING」サイト右上の「ログイン」ボタンをクリックして、お申し込みの際に設定されたメールアドレスとパスワードを入力し、「ConoHaコントロールパネル」にログインしましょう。
「ConoHaコントロールパネル」で行います。
ログイン直後の画面
ログインすると「サーバー」の管理画面が開きますので、お申し込みの際に登録した独自ドメインを選択して、「サイト管理」をクリックします。今はまだ独自ドメインは1個だけしか表示されていないと思いますが、今後、独自ドメインを増やしたり(特典として独自ドメインは合計2個まで、契約期間中無料で使えます!)、サブドメインを設定すると、それらが全て選択肢に表示されるようになります。
サブドメインとは、たとえば、このサイトは「wp-lunako.tech」というドメインですが、その前に「ex」をつけて「ex.wp-lunako.tech」という形で、あたかも別のドメインのように使えるアドレスだと思ってもらえれば良いでしょう。正確な定義を説明し始めるとややこしくなりますので簡易的に説明しますw
登録した独自ドメインを使って、さらに細かくサイトを分けたりする場合などに便利です。サブドメインは何個でも自由に設定でき、それぞれのサブドメインに対して独自SSLを設定することも、メインとは別のWordPressをインストールすることもできます。別の独自ドメインを登録するわけではないので、登録料も更新料も一切かかりません。
このサイトでの使用例
https://wp-lunako.tech →メインのサイト
https://ex.wp-lunako.tech →上のサイトで説明したサンプルを掲載するサイト
サブドメインの設定方法は、また今後の記事で書きますが、今はまだメインの独自ドメインのサイト設定も中途半端なので、そちらを先に進めることにします。
なお、サンプル掲載用の https://ex.wp-lunako.tech/ のアドレスについては、今はパスワードをかけてあるので、アクセスすることはできません。
今後、設定などについて説明する際には、このサイトで解説した内容のサンプルを掲載するために作った「ex.wp-lunako.tech」というサブドメインでの設定画面を使います。実際はサブドメインでも、設定関連の画面は独自ドメインとあまり違いはありません。
独自SSLを設定しよう!
ますは独自SSLの設定を行います。
WordPressは申し込み手続きの際にインストールされましたが、その管理画面にログインする際には、IDとパスワードを入力することになります。独自SSLを設定しないまま管理画面にログインしようとすると、IDやパスワードを暗号化されていない状態(平文)で送信することになり、それではセキュリティ上、大きな懸念があるため、最優先で独自SSLの設定を行いましょう。
「無料独自SSL」は「OFF」に
「サイトセキュリティ」をクリックして、もし「無料独自SSL」の「利用設定」が「ON」になっていたら、ここでは「OFF」にしましょう。そして、その下にある「オプション独自SSL」を開いて、右下の「オプション独自SSL」ボタンをクリックします。
前回の記事でも説明しましたが、この「無料独自SSL」というのは「Let’s Encrypt」のことです。このサーバーの契約者は、本来は有料の「アルファSSL」を無料で使えるので、ぜひそちらを使いましょう!
アルファSSLの申し込み手続き(無料)
次に「SSLサーバー証明書 申し込み」という画面が開いたら、「アルファSSL」タブを開き、「認証方法」は「ページ認証」をクリックして、「次へ」をクリックします。申し込み手続きとはいえ、アルファSSLは無料なので安心してください。それだけで手続きは終わりです。(ここで有料のSSL証明書も選択できますが、そちらを必要とされている場合を除き、誤って選択しないようご注意ください。)
→設定は中断して、そのまま下を読み進めてください…w
これで申請完了です
びっくりするほど簡単ですね!
そして「サイトセキュリティ」から最初の画面へ戻り、「独自SSL」タブから「オプション独自SSL」のステータスを確認し、「認証待ち」になっていることを確認します。
「認証待ち」ですね
ここまでやったらひと休みして待ちましょう。
……と、ここまでは順調でした。
このブログの記事は、実際に設定をしながら書いていますので、リアルタイムで想定外のことが起きるという、スリルをお楽しみ頂けます←
なんでぇ~~~?!
通常は数分程度で反映されるはずのアルファSSLが、3時間経っても反映していなかったのです。さすがにちょっとおかしいと思い、一旦申請をキャンセルしました。
ふと見ると、右上にある「お知らせ」に通知1件と出ています。
アルファSSLのお申し込み制限!?
よりによって!?
前回の記事で、さんざん「ConoHa WING はアルファSSLが無料なんですよ~!」と豪語していたわたしの立場は一体……w
わたしが申し込んだアルファSSLが有効にならなかった原因が、その「制限」のためなのかどうかはわかりませんが、とりあえずSSLだけは設定しないと、今後WordPressの設定画面を開くにも不安があるので、今回は「無料独自SSL」(Let’s Encrypt)で設定しておくことにしました。
無料独自SSLは有効になりました
前回も書きましたが、「Let’s Encrypt」も「アルファSSL」も、通信を暗号化するという意味では全く同じです。サイトへの訪問者から見た信頼性という意味では「アルファSSL」の方が高いですが、自分で管理画面にアクセスする分には暗号化さえされればOKですからね。
ということで、「https://ex.wp-lunako.tech」に関しては、一旦「Let’s Encrypt」で設定して進めていき、「アルファSSL」の申し込み制限が解除されてから、変更することにします。(その作業を行う際は、また記事に書きます)
追記:アルファSSLを改めて設定
この記事を書いたとき、ものすごいタイミングで、アルファSSLの受付が制限されてしまったのですが、翌日には早くもその制限が解除されました。
アルファSSL受付再開の告知
こういう状況が起きたとき、受付を再開されるまでに何日もかかったりするものですが、わずか1日で対応してくれたのは、わたしの中で「ConoHa WING」への信頼度が上がった気もしますw
ということで、「無料独自SSLの停止」から、改めて「アルファSSLの申し込み」という手順で進めていきます。まずは「無料独自SSL」のところで「OFF」をクリックします。
無料独自SSLを「OFF」に
この「OFF」をクリックしてから、実際に停止されるまで、3~4分程度かかります。完了すると「OFF」のところにラインが引かれるので、それまで待ちましょう。
こうなったらOK、「オプション独自SSL」ボタンを
内容を確認して「次へ」で完了です
再申請を行ったのは17時でしたので、しばらくこのまま様子を見ます。
また3時間待ってもステータスが変わらない、なんてことがなければ良いのですが…w
などと心配しましたが、ほんの5分で利用可能になりましたw
これでアルファSSLも無事に設定完了です!
その他のセキュリティ関連設定
「サイトセキュリティ」の画面で、先程は「独自SSL」のタブ内を設定しましたが、次はその隣にある「WAF」をクリックしましょう。そして「利用設定」が「OFF」になっていたら「ON」にします。
ここは「ON」にするだけでOK
みなさんは、登録したばかりの独自ドメイン、設定したばかりのサーバーに、誰もアクセスしてくるはずがない、攻撃なんてされるはずがない、と思われているかもしれません。ところが、WAFを有効にするとわかりますが、意外と攻撃に失敗したログが記録されていたりします。それはつまり、WAFがなければ、攻撃に成功されていたかもしれないということになります。
独自ドメインを登録すると、たとえば総当たりでそのドメインの登録可否をチェックするプログラムなどによって、そのドメインが登録された事実が攻撃者に把握される可能性があるのです。すると、攻撃者はそのドメインを設定したサーバーに何か穴(セキュリティホール)がないかと探りはじめます。
もう10年以上前のことになりますが、利用頻度が低く、セキュリティ対策もせずに放置してあったサーバーがあり、そこのファイルが改ざんされたことがありました。利用していたサーバー会社が不正アクセスを検出し、通知してくれたおかげでわかりましたが、それがなければ改ざんされたまま気が付かないところでした。気が付かないままだと、何らかの攻撃の踏み台にされることもあるので、二次、三次被害に繋がるおそれもあります。
次に同じ「サイトセキュリティ」から「WordPressセキュリティ」タブを開きます。ここは基本的には「全部ON」で良いでしょう。例外として、あなた自身が海外からアクセスされている場合や、海外からのコメントを受け付けたい場合は、それに応じた設定にしてください。
特別な事情がなければ全部「ON」でOK
サーバーへの攻撃も、スパムコメントも、実はその大半が海外からのアクセスなんです。海外からは、管理画面へのアクセスそのものを封じたり、コメントを受け付けないようにしておくと、それだけでセキュリティ対策につながります。
高速化設定など
この設定は後でも構いませんが、ConoHaコントロールパネルを開いているので、ついでに設定しておきます。
「高速化設定」というのは、ブログへのアクセス速度を速めるための設定です。実際にはWordPressをインストールしたばかりの今は、何もしなくてもサクサクなのですが、何かプラグインを入れたり、メニューなどの動作を設定したりしているうちに、だんだん重くなっていきます。
それをAIで制御し、自動的に最適化する「WEXAL」(ウェクサル)という機能が、このサーバーには標準で搭載されているので、それを有効にしておきます。
まず、「高速化」から「WEXAL」タブを開き、「WEXAL」を「ON」にします。「基本設定」「Webコンテンツ最適化」の部分はデフォルトのままで大丈夫ですが、「ファーストビュー高速化」のみ、「LazyLoad(画像)」と「LazyLoad(CSS・JavaScript)」をどちらも「有効」にしておいてください。
有効にして「ファーストビュー最適化」の箇所のみ変更
この機能について「今からブログを始めようとしている方」にも、わかりやすく説明するというのは非常に難しいのですが、ひとまずここでは機能を有効にしておきます。もし表示崩れやプログラムが動かないなどの問題が発生した際は、切り分けのために「WEXAL」の機能を一時停止することもあります。
続いてキャッシュの設定です。「WEXAL」の隣にある「キャッシュ」タブを開き、「ブラウザキャッシュ」の「利用設定」のみを「ON」にします。「WEXAL」を利用中は「コンテンツキャッシュ」はONにできません。
ブラウザキャッシュのみを有効に
最後に次回の準備をしておきます。「サイト設定」より「WordPress」タブを開き、「サイトURL」と「管理画面URL」を確認しておきます。どちらも「https://」で始まっていることを確認し、もし「http://」で始まっていた場合は、「かんたんSSL化」にある「SSL有効化」をクリックしてください。
アドレスがSSL化されていることを確認
「サイトURL」がブログのアドレス、「管理画面URL」がWordPressの管理画面のアドレスです。「管理画面URL」の方をブックマーク(お気に入り)に入れておいてください。
余談ですが、これまでサーバー名の部分を隠していたものの、これって任意の名前をつけられるようで、別に隠す必要もありませんでしたw わたしの名前「ルナコ」の元になったゲームでの名前「lunacle」をサーバー名にしました。
まとめ:次回からは実際にWordPressを!
今回は、これからWordPressを使うサーバーのセキュリティ設定を中心に行いました。なかなかWordPress本体に進めませんが、安心してください。次回からはWordPressの管理画面にほぼ毎回入るようになります。
ここまでは「ConoHa WING」のサーバー特有の設定もありましたが、WordPressの管理画面に入ってからは、どのレンタルサーバーを利用している方であっても、基本的には共通の設定になります。
いよいよ次回からWordPress自体に本格的に取り組んでいきます!そして、無料なのに多機能なWordPress用テーマ「Cocoon」(コクーン)についても説明していきます。
次回記事はこちら!
コメント