WordPressのセキュリティを高めるためにやっておきたい4つのこと

こんにちは! ヨス(プロフィールはこちら)です。

WordPressでブログをはじめられましたか?

本当にすばらしいです。まずは、おめでとうございます!

では次にはなにをすればいいのでしょうか?

今回は、WordPressのセキュリティを高めるためWordPressを設置して1週間以内にやっておくことをまとめました。


サイドメニューから「メタ情報」を削除

まず初期設定では、サイドメニューに「メタ情報」が出ているのが問題です。

サイドメニューに不要な「メタ情報」が出てしまう
サイドメニューに不要な「メタ情報」が出てしまう

これは、不要なので削除しましょう。

ここが表示されたままだと、すべての人があなたのWordPressの管理画面にアクセスできてしまいます。

ヨス

危険なので絶対に非表示にしようね!

ウィジェットを選択

管理画面のサイドメニューから「外観」「ウィジェット」の順に押します。

サイドメニューの「外観」→「ウィジェット」を選択
サイドメニューの「外観」→「ウィジェット」を選択

メタ情報を削除

すると、「ウィジェット」の画面に切り替わります。

「メタ情報」のところを見る

右の方にある「メタ情報」のところを見ましょう。

「メタ情報」をクリック
「メタ情報」を見る

「メタ情報」を削除

「メタ情報」のところのバーをクリックし、下にある「削除」を押して保存を押しましょう。

「メタ情報」を削除
「メタ情報」を削除

これで、サイドメニューに不要な「メタ情報」は消えました



ID名がバレないようにする

WordPressユーザーID名ですが、これがバレるのはよくありません(参照: アカウントとは?)。

IDがバレてしまうと、パスワードがバレた時点で、WordPressがハックされてしまいますから……。

そこで、IDがバレないような設定にしましょう。2つの設定が必要になります。

ニックネームを設定する

じつは、初期設定だと記事ページの「執筆者名」のところにふつうにIDが表示されてしまうのです。

執筆者名のところにIDが表示される?!
執筆者名のところにIDが表示される?!

これはさすがに問題ありまくりでしょう。なぜこんな仕様になっているのか不思議すぎます……。

ユーザーを選択

サイドメニューの「ユーザー」をクリックし、自分を選びます。

自分を選択
自分を選択

ちなみに、上の画像内で使われている「ossuora59」は加工にて変更しているダミーIDですのでご安心を(笑)。

ニックネームを変更しておく

ユーザーの画面に切り替わるので、「ニックネーム」を変更しましょう。

次のように、「ニックネーム」に自分のブログ上での名前を入力し、「ブログ上の表示名」を、入力したニックネームに変更しておきましょう。

ニックネームに変更する
表示される「ID」をニックネームに変更する


著者ページのURLを変更する

つづいて、著者ページのURLを変更しましょう。

「著者ページ(こういうページ)のURL」を見るとIDが簡単にバレるんですよね。次の画像をご覧ください

そのままだと著者ページで「ID」がバレる
そのままだと著者ページで「ID」がバレる

初期状態では「author(著者)」の次の部分が「ID」になっています。

https://ドメイン/author/ここにIDが表示される/

この部分を意図的にほかの文字に置き換えて、IDをバレなくしましょう!

プラグイン「Edit Author Slug」をインストール

これをやるにはプラグインの「Edit Author Slug」を使います。

まずは、「Edit Author Slug」をインストールしましょう。

「Edit Author Slug」をインストール
「Edit Author Slug」をインストール

サイドメニューの「プラグイン」「新規追加」で開いた画面で「Edit Author Slug」を検索してください。

すぐに出てくると思うのでインストールをして、「有効化」させましょう。

ユーザーを選択

サイドメニューの「ユーザー」をクリックし、自分を選びます。

自分を選択
自分を選択

Edit Author Slugのところを変更

そして、下の方にある「Edit Author Slug」のところを変更しましょう。

「カスタム設定」を選択し、右側の入力欄に表示したい英数字の名前を入力します。

ここで入力した名前が、URLに反映されるわけですね。

「外観」→「ウィジェット」
「外観」→「ウィジェット」

さきほど紹介したこちらのページも「Edit Author Slug」の「カスタム設定」で「pizzalover」という名前に指定して表示させてあります。

つまり、本当のIDは「pizzalover」じゃないということです。



ログインページのセキュリティを強化する

つづいて、プラグイン「SiteGuard WP Plugin」を使って、ログインページのセキュリティを強化しておきましょう。

ログインページのURLを変更する

ログインページというのは、ふつうはこちらのように決まったURLになっています。

https://ドメイン/wp-admin/

そうなんです。

初期状態では、URLのうしろに「wp-admin」を付け加えるだけなので、一瞬でURLがバレる仕様なんですね。

そこでプラグイン「SiteGuard WP Plugin」で解決します。

プラグインをインストール

管理画面の「プラグインから「SiteGuard WP Plugin」を検索してインストール&有効化してください。

Site Guard WP Plugin
「SiteGuard WP Plugin」をインストールし有効化

メールが届く

すると、次のようなメールが届きます。

SiteGuardからのメール

以下の新しいログインページURLを、ブックマークしてください。
https://ドメイン/login_99999

--
SiteGuard WP Plugin

このメールに記載されているURLがあたらしい管理画面のURLになります(上のはあくまで例で、数字はバラバラです)。

今後は「wp-admin」ではなく、このページから管理画面に入るようになりますよ♪


画像認証の設定をする

「SiteGuard WP Plugin」では、管理画面に「画像認証」もつけることができます。

「画像認証」というのは次のような欄です。

「画像認証」の機能も挿入できる
「画像認証」の機能も挿入できる

上の例だと「ちうかく」と描かれた画像を見て、その下の欄に「ちうかく」と手動で入力してはじめて管理画面にログインできるようになります

「画像認証」の機能を使いたい場合は、サイドメニューの「SiteGuard」をクリックし「画像認証」を選び、「ON」にすればオッケー。

ヨス

これでコンピューターや、日本語のできない外国人にとって、不法侵入は不可能になったのではないでしょうか。

そもそも、管理画面が「wp-admin」じゃなくなった時点でかなり安全ですけど。

ログイン詳細エラーメッセージの無効化を設定

もう1つ、「ログイン詳細エラーメッセージの無効化」もやっておきましょう。

サイドメニューの「SiteGuard」をクリックし「ログイン詳細エラーメッセージの無効化」を選択します。

切り替わった画面で、「ON」にすればオッケー。

これを設定すると、ログインに失敗したときのメッセージが変更になります。

初期設定では、パスワードが間違っている場合は「パスワードが間違っている」と表示されますが、これだと「IDは合っている」ということを暗に言っているのと同じです。

この設定をすることで「入力内容を確認の上、もう一度送信してください」というメッセージに変わり、IDが間違っているのかパスワードが間違っているのかがわからなくなります。

ヨス

説明が複雑ですが、安全度がアップするということです(笑)。

「ログインロック」を設定

「ログインロック」も「ON」にしておきましょう。

わたしは、このようにしています。

  • 期間……30秒
  • 回数……3回
  • ロック時間……5分

上の設定だと、管理画面で、30秒のあいだに3回の入力ミスがあると5分のあいだ、管理画面にログインできなくなります。

つまり、コンピューターによる「パスワード総当り」の不法新入から防げるというわけです。


コメントスパムを防ぐ

コメント欄にスパムメッセージが入ることがあります。

その記事にはまったく関係のないメッセージとともにURLを張るという迷惑行為のことですね。

プラグイン「Akismet」を導入

これを防ぐには「Akismet」というプラグインで対処できます。

Akismet
Akismet

【参考】コメント欄は閉じることもできる

ちなみに、コメント欄自体を表示させない方法もあります。

コメント欄を表示させないようにするには「コメント許可」のところのチェックを外すだけです。

こちらのようにしてください。

「新しい投稿へのコメントを許可する」のチェックをはずす!
[ サイドメニューの「設定」 ] → [ ディスカッション ]  → [「新しい投稿へのコメントを許可する」のチェックを外す ]

このあと変更を保存ボタンを押すのもお忘れなく。


さて、今回はWordPressのセキュリティを向上させるためにやっておきたいことを紹介しました。

難しそうに見えますが、どれも簡単にできるのでWordPressを開始して一週間のうちにやっておきましょう。

これからブログを始めたい方必読!「ブログ応援メール【全50回】」

ヨスのブログ応援メール

ブログをこれから始めたい方は多いと思いますが、こんな悩みがあることでしょう。

  • ブログってどうやって始めるの?
  • 無料ブログでいいの?
  • どんなことを書けばいいの?
  • どうやってブログを書く時間を作るの?
ヨス

そんなあなたの「ブログライフ」のスタートを後押しする「ブログ応援メール」を始めました!!

この「ブログ応援メール」は全50回(予定)で、ブログの始め方はもちろん、ブログを書く心構えや、時間の捻出方法など、ブログが継続できるような内容でお送りします。

「ブログ応援メール」のとおりにやっていけば、ブログを始めることはもちろん、モチベーションを継続させる元にもなりますよ♪

ほどよいタイミングで、メールが届くようになっているので、ぜひ登録してみてくださいね♪

ヨスのブログ応援メール
お名前(ニックネームでOK♪)
メールアドレス(必須)
Powered by メール配信システム オレンジメール