WordPressで最初にやった方が良い基本的なセキュリティ設定まとめ

投稿日:

WordPressの構築が終わったら、今度は最初にセキュリティについて向上させておきましょう。

何故セキュリティを向上させる必要があるのか?今回はそれらについて書いておきます。

僕はこれらは絶対にやるべき事だと確信しています。

スポンサーリンク

何故セキュリティを向上させる必要があるのか?

WordPressは世界で最も有名なCMS(Contents Management Systemの略)の一つです。

だから攻撃も結構されます。全くセキュリティを向上させていないと危険なので、最低限のセキュリティは上げておこう。

ってわけでここでは最低限過ぎる最低限のセキュリティについてサクッと紹介しておきます。

ちなみにWordPressでセキュリティ破られてウイルス仕込まれた人とかもいるので、セキュリティについては本当に気をつけた方が良いです。

WPやプラグインの更新をすぐにやる

WordPress本体の更新やプラグインの更新が定期的に訪れます。

更新があったら管理画面の左上の方に赤いアイコンで数字が出てきます「更新」って所ですね。

WordPressのセキュリティ向上

これをクリックして更新ページに飛びましょう。

WordPressのセキュリティ向上

データベースなどのバックアップが推奨されていますが、僕はバグった事はありません。ある程度ブログを作ってからはバックアップは定期的に取る事をオススメしますが、最初は無視して良いです。何もまだ作ってないので(笑)

とりあえず全部更新しておきましょう。

何故プラグインやWordPressの更新が必要なのかと言うと、更新があるって事は何かしらのバグなどに対処した可能性があるからです。

またはセキュリティホール(要するに脆弱性)が見つかって修正する事も多々あるので、早目に更新はした方が良い。これはPCやスマホでも同じですよね。WordPressに限らず基本中の基本です。

だから更新ボタンが表示されたら必ず更新するようにしましょう。ただしプラグインの場合、稀に更新したせいでバグが発生する事もあるので注意です。

スポンサードリンク

プロフィールからIDを隠す

「ユーザー」→「あなたのプロフィール」から変更出来る点を変更しておこう。

最低限、僕がやっているのはニックネームを変更する事です。

最初はユーザー名がそのまま表示されてしまいます。このユーザー名は貴方のIDになるので、これがわかると管理画面に侵入するためのIDがバレバレになります。

後はパスワードがバレたら見事にハッキングされちゃうので、そこは気をつけよう。最低限人目につかないように「ニックネーム」を設定して「ブログ上の表示名」もそれに変えておこう。

これを変えておかないとブログ上で堂々とIDを表示する事になってしまいます。

パスワードの自動生成を使う

これ、最初に自分でパスワードを強固なものにしたならやる必要はありません。

下の方にある「新しパスワード」の所で「パスワードを生成する」を選択すると、ランダムで強力なパスワードを作ってくれます。

絶対記憶出来ないような凄いのを作ってくれるので、パスワードをこれに変更するセキュリティが遥かに向上すると思います。またはこれを参考にでたらめな文字を入力しよう。

そのパスワード自体はちゃんとコピペしてどこかに残しておかないと絶対わからなくなるので注意です。

スポンサードリンク

Edit Author Slugを設定する

デフォルトの場合、Author Slugを見れば実はこれまたユーザーIDは一発でバレる仕様になっています。困ったものです。

ただこれはちょっとマニアックな設定なので無理にやる必要はないかも知れません。

そこでプラグインの「Edit Author Slug」を使います。プラグインのインストール方法は別に紹介したいと思います。

単純に「プラグイン」→「新規追加」→検索窓にプラグイン名をコピペしてインストール。ってだけです。

プラグインをインストールしたら「ユーザー」の中にある「あなたのプロフィール」に再び飛びます。

一番下に「Edit Author Slug」が表示されているので、そこの「カスタム設定」の欄に好きなアルファベットを入力しよう。

これによってAuthor Slugが変更されます。これでまた一つユーザーIDが漏れる心配を減らせるわけです。

海外IPからの管理画面へのアクセスを弾く

エクスサーバーだとデフォルトでONになるように設定されています。攻撃をしてくるのは大体海外IPなので、海外IPを弾く設定になっています。

ちなみにこれ、CDNを使ってるとたまにこのせいで自分がログインをしようとしても弾かれるので注意…昔やりました…笑

エックスサーバーの「サーバーパネル」に接続したら「WordPressセキュリティ設定」を選択しましょう。

そこで「海外IPアクセス制限設定」の所がONになってれば海外IPからの管理画面へのアクセスを弾く事が出来ます。

やろうと思えば管理画面へのアクセスを自分のIP以外は出来ないように設定する事も可能ですが、モデムの電源を一度切ったりする度にまた設定しなおさないといけないので面倒です…笑

Google Authenticatorで2段階認証を導入する

Googleアカウントで有名な2段階認証を設定します。ちなみにGoogleアカウントで2段階認証を持っていないと設定出来ないと注意です。

やり方はWeb論で紹介してたので参考にしてみて下さい。

Googleアカウントは二段階認証にしないと危険!俺も乗っ取られてたので警告が来た際の対処方を紹介しときます

ブログでGoogle AdSenseを使うつもりなら絶対に必須なので必ず2段階認証は設定しておきましょう。

ではWordPressでは「Google Authenticator」を今回は使ってみましょう。上記した通りのやり方でWordPressのプラグイン検索でインストールしよう。

アプリをスマホかタブレットにインストール

そしてスマホやタブレットでも「Google Authenticator」を検索しよう。iOSでもAndroidでもアプリがあります。

iOS Google Authenticator
Android Google Authenticator

WPでユーザー設定をする

インストールが終わったらWordPressの管理画面に戻りましょう。そしてまたもや「ユーザー」「あなたのプロフィール」に飛びます。

「Google Authenticator Settings」という項目が増えているので、そこをイジリます。

Google Authenticatorの設定の仕方

Activeにチェックマークをつけます。Descriptionはブログ名でも入れておけば良いでしょう。ただの説明文です。

Secretの所のコードを入力するか、QRコードをスマホまたはタブレットで入力する事になります。Create new secretを押せば勝手にQRコードも表示されます。

スマホやタブレットでGoogle Authenticatorを開いたら、右上にあるメニューボタンを押して「アカウントを設定」をタップ。

「バーコードをスキャン」を押せばQRコードを読み込む。アプリが必要になりますが、持ってなかったらタップするだけでDLさせてくれます。

QRコードで読み込んだら後は名前をつけるだけで完了です。

今後は管理画面でログインする際にこのようにコードを入力する必要が出てきます。そのコードは常にスマホやタブレットで「Google Authenticator」を開けば確認出来ます。コードは常に一定時間で更新されます。

ここまでやったらWordPressの管理画面でも「プロフィールを更新」を押して更新しておいてくださいね。

これでユーザー名とパスワードと、更にGoogle Authenticatorでのコードの二段階認証に変わるわけです。

Google Authenticatorの設定の仕方

これでかなり貴方のブログのセキュリティは向上したと言えると思います。これでも管理画面のセキュリティ割られたら笑うしかないです。

スポンサーリンク

ブログ初心者に見て欲しい記事

1
無料ブログではなく独自ドメインでの運営が推奨される理由と僕が使っている環境

ドメイン取得のやり方とドメインを取得する意味について今回は紹介したいと思います。 ブログを本気でやりたいなら…と言うか何かしら「自分の名前を使って活動をしたいなら」ドメインを取得して自分の公式アドレス ...

2
独自ドメインを使ってWordPressのブログサイトを構築するやり方【ムームードメインとエックスサーバー編】

今回は独自ドメインの取得の仕方について紹介しておきたいと思います。 あくまで僕が行っている環境での設定の仕方になるので、他の環境を使いたい人はちょっと参考にならないかも知れません。スイマセン。 今回は ...

-WordPress初期設定

Copyright© でろブロ , 2017 AllRights Reserved.