こんにちは! ヨス(プロフィールはこちら)です。
WordPressでブログをはじめられましたか?
本当にすばらしいです。まずは、おめでとうございます!
では次にはなにをすればいいのでしょうか?
今回は、WordPressのセキュリティを高めるためにWordPressを設置して1週間以内にやっておくことをまとめました。
サイドメニューから「メタ情報」を削除
まず初期設定では、サイドメニューに「メタ情報」が出ているのが問題です。
これは、不要なので削除しましょう。
ここが表示されたままだと、すべての人があなたのWordPressの管理画面にアクセスできてしまいます。
危険なので絶対に非表示にしようね!
ウィジェットを選択
管理画面のサイドメニューから「外観」「ウィジェット」の順に押します。
メタ情報を削除
すると、「ウィジェット」の画面に切り替わります。
「メタ情報」のところを見る
右の方にある「メタ情報」のところを見ましょう。
「メタ情報」を削除
「メタ情報」のところのバーをクリックし、下にある「削除」を押して保存を押しましょう。
これで、サイドメニューに不要な「メタ情報」は消えました。
ID名がバレないようにする
WordPressのユーザーID名ですが、これがバレるのはよくありません(参照: アカウントとは?)。
IDがバレてしまうと、パスワードがバレた時点で、WordPressがハックされてしまいますから……。
そこで、IDがバレないような設定にしましょう。2つの設定が必要になります。
ニックネームを設定する
じつは、初期設定だと記事ページの「執筆者名」のところにふつうにIDが表示されてしまうのです。
これはさすがに問題ありまくりでしょう。なぜこんな仕様になっているのか不思議すぎます……。
ユーザーを選択
サイドメニューの「ユーザー」をクリックし、自分を選びます。
ちなみに、上の画像内で使われている「ossuora59」は加工にて変更しているダミーIDですのでご安心を(笑)。
ニックネームを変更しておく
ユーザーの画面に切り替わるので、「ニックネーム」を変更しましょう。
次のように、「ニックネーム」に自分のブログ上での名前を入力し、「ブログ上の表示名」を、入力したニックネームに変更しておきましょう。
著者ページのURLを変更する
つづいて、著者ページのURLを変更しましょう。
「著者ページ(こういうページ)のURL」を見るとIDが簡単にバレるんですよね。次の画像をご覧ください
初期状態では「author(著者)」の次の部分が「ID」になっています。
https://ドメイン/author/ここにIDが表示される/
この部分を意図的にほかの文字に置き換えて、IDをバレなくしましょう!
プラグイン「Edit Author Slug」をインストール
これをやるにはプラグインの「Edit Author Slug」を使います。
まずは、「Edit Author Slug」をインストールしましょう。
サイドメニューの「プラグイン」「新規追加」で開いた画面で「Edit Author Slug」を検索してください。
すぐに出てくると思うのでインストールをして、「有効化」させましょう。
ユーザーを選択
サイドメニューの「ユーザー」をクリックし、自分を選びます。
Edit Author Slugのところを変更
そして、下の方にある「Edit Author Slug」のところを変更しましょう。
「カスタム設定」を選択し、右側の入力欄に表示したい英数字の名前を入力します。
ここで入力した名前が、URLに反映されるわけですね。
さきほど紹介したこちらのページも「Edit Author Slug」の「カスタム設定」で「pizzalover」という名前に指定して表示させてあります。
つまり、本当のIDは「pizzalover」じゃないということです。
ログインページのセキュリティを強化する
つづいて、プラグイン「SiteGuard WP Plugin」を使って、ログインページのセキュリティを強化しておきましょう。
ログインページのURLを変更する
ログインページというのは、ふつうはこちらのように決まったURLになっています。
https://ドメイン/wp-admin/
そうなんです。
初期状態では、URLのうしろに「wp-admin」を付け加えるだけなので、一瞬でURLがバレる仕様なんですね。
そこでプラグイン「SiteGuard WP Plugin」で解決します。
プラグインをインストール
管理画面の「プラグインから「SiteGuard WP Plugin」を検索してインストール&有効化してください。
メールが届く
すると、次のようなメールが届きます。
SiteGuardからのメール
以下の新しいログインページURLを、ブックマークしてください。
https://ドメイン/login_99999
--
SiteGuard WP Plugin
このメールに記載されているURLがあたらしい管理画面のURLになります(上のはあくまで例で、数字はバラバラです)。
今後は「wp-admin」ではなく、このページから管理画面に入るようになりますよ♪
画像認証の設定をする
「SiteGuard WP Plugin」では、管理画面に「画像認証」もつけることができます。
「画像認証」というのは次のような欄です。
上の例だと「ちうかく」と描かれた画像を見て、その下の欄に「ちうかく」と手動で入力してはじめて管理画面にログインできるようになります。
「画像認証」の機能を使いたい場合は、サイドメニューの「SiteGuard」をクリックし「画像認証」を選び、「ON」にすればオッケー。
これでコンピューターや、日本語のできない外国人にとって、不法侵入は不可能になったのではないでしょうか。
そもそも、管理画面が「wp-admin」じゃなくなった時点でかなり安全ですけど。
ログイン詳細エラーメッセージの無効化を設定
もう1つ、「ログイン詳細エラーメッセージの無効化」もやっておきましょう。
サイドメニューの「SiteGuard」をクリックし「ログイン詳細エラーメッセージの無効化」を選択します。
切り替わった画面で、「ON」にすればオッケー。
これを設定すると、ログインに失敗したときのメッセージが変更になります。
初期設定では、パスワードが間違っている場合は「パスワードが間違っている」と表示されますが、これだと「IDは合っている」ということを暗に言っているのと同じです。
この設定をすることで「入力内容を確認の上、もう一度送信してください」というメッセージに変わり、IDが間違っているのかパスワードが間違っているのかがわからなくなります。
説明が複雑ですが、安全度がアップするということです(笑)。
「ログインロック」を設定
「ログインロック」も「ON」にしておきましょう。
わたしは、このようにしています。
- 期間……30秒
- 回数……3回
- ロック時間……5分
上の設定だと、管理画面で、30秒のあいだに3回の入力ミスがあると5分のあいだ、管理画面にログインできなくなります。
つまり、コンピューターによる「パスワード総当り」の不法新入から防げるというわけです。
コメントスパムを防ぐ
コメント欄にスパムメッセージが入ることがあります。
その記事にはまったく関係のないメッセージとともにURLを張るという迷惑行為のことですね。
プラグイン「Akismet」を導入
これを防ぐには「Akismet」というプラグインで対処できます。
【参考】コメント欄は閉じることもできる
ちなみに、コメント欄自体を表示させない方法もあります。
コメント欄を表示させないようにするには「コメント許可」のところのチェックを外すだけです。
こちらのようにしてください。
このあと変更を保存ボタンを押すのもお忘れなく。
さて、今回はWordPressのセキュリティを向上させるためにやっておきたいことを紹介しました。
難しそうに見えますが、どれも簡単にできるのでWordPressを開始して一週間のうちにやっておきましょう。
これからブログを始めたい方必読!「ブログ応援メール【全50回】」
ブログをこれから始めたい方は多いと思いますが、こんな悩みがあることでしょう。
- ブログってどうやって始めるの?
- 無料ブログでいいの?
- どんなことを書けばいいの?
- どうやってブログを書く時間を作るの?
そんなあなたの「ブログライフ」のスタートを後押しする「ブログ応援メール」を始めました!!
この「ブログ応援メール」は全50回(予定)で、ブログの始め方はもちろん、ブログを書く心構えや、時間の捻出方法など、ブログが継続できるような内容でお送りします。
「ブログ応援メール」のとおりにやっていけば、ブログを始めることはもちろん、モチベーションを継続させる元にもなりますよ♪
ほどよいタイミングで、メールが届くようになっているので、ぜひ登録してみてくださいね♪
