最初にやっておきたいWordPress初期設定・セキュリティ対策

WordPressでサイトを立ち上げたらまず設定しておきたいことを紹介します。

セキュリティ対策は特に大事です!
あなたのサイトが悪用されてしまわないよう、しっかり設定をしておきましょう。

セキュリティ対策

常時SSL化(プラグイン利用)

WordPressサイトの常時SSL化(サイト全体のhttps化)が済んでいない場合は、初めに設定しておきましょう。

常時SSL化に必要な設定・作業
  • サイト内のhttpリンクをhttpsリンクへ置き換える
  • httpへのアクセスをhttpsへリダイレクト(転送)する

Really Simple SSLプラグイン(無料)を使うことで、上記の作業を簡単に行うことができます。

STEP.1
Really Simple SSLプラグインのインストール

WordPress管理画面にログインします。

①メニュー「プラグイン」>新規追加

②「Really Simple SSL」と検索

③「今すぐインストール」をクリック>ボタンが「有効化」へと変わるので、再びクリックします。

STEP.2
SSLを有効化

プラグインが有効化されると画面の表示に切り替わります。「SSLを有効化」をクリックします。

STEP.3
常時SSL化完了

再度ログインが必要になる場合もありますが、SSLの有効化後はこの画面が表示されます。

これでサイトの常時SSL化は完了です。

MEMO

画面では「70%」「まだ6作業あります」と表示されていますが、この作業を行わなくても設定上大きな問題はありません。以下の確認を行い、「非表示」か右端の×印を押すと進行状態が進みます。「プレミアム」と表示されているものは有料版のオプションです。

STEP.1
WordPress一般設定のURLを変更する


かんたんブログスタートや、ドメイン追加時にWordPressを同時インストールした場合、WordPressアドレス (URL)・サイトアドレス (URL)が「http://ドメイン名」となっているので「https://」となるよう書き換えます

最後に忘れないように「変更を保存」をクリックします。

STEP.2
Search Regexでサイト内のURLを置換する

Search Regexという検索・置換プラグインを使って、記事の内部リンクや画像URLをhttpsへ一括変換します。

Search Regexをインストール後、管理画面メニューのツール>「Search Regex」を選択します。

①検索に「http://サイトURL」、置換に「https://サイトURL」と入力(検索設定はデフォルトでOK)

②検索ボタンをクリック

③置換対象の文字列が”置換した場合の状態”で一覧表示されるため、問題ないか確認します

④問題なければ「すべて置換」をクリック

進行状況が100%になったら置換完了です。

STEP.3
.htaccessでリダイレクト設定

最後に、httpへのアクセスをhttpsへリダイレクト(転送)するための設定を行います。

.htaccessファイルに以下の内容を記載します。記述する位置はどこでも問題ありませんが、追記したことが分かりやすくなるため、ファイルの一番下に追加しましょう。

.htaccess

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

.htaccessの編集方法

.htaccessの編集方法

プラグインによる不正ログイン、コメントスパム対策

WordPressは世界で最も利用されているCMSの一つのため、その脆弱性を突いた不正アクセス・ハッキング攻撃被害が後を絶ちません。セキュリティ対策のため、まずは下記2つのプラグインを導入することをおすすめします。

セキュリティ対策として、WordPress本体、テーマ、プラグインのバージョンは出来るだけ最新のものに保っておく(更新を行う)ことも重要です。
おすすめのセキュリティプラグイン
  • SiteGuard WP Plugin
    • 管理ページへのアクセス制限や、ログインページの変更、画像認証など基本的なセキュリティ対策が行えます。日本語対応しているため、簡単に設定を行うことができます。
  • Akismet
    • サイトへのコメントをチェックし、スパムを自動排除してくれます。個人サイトの場合は無料で使えますが、商用サイトの場合は有料となりますのでご注意ください。

SiteGuard WP Plugin

STEP.1
SiteGuard WP Pluginをインストール

WordPress管理画面にログインします。

①メニュー「プラグイン」>新規追加をクリック

②右上の検索フォームに「SiteGuard WP Plugin」と入力

③「今すぐインストール」をクリック>ボタンが「有効化」へと変わるので、再びクリックします。

STEP.2
新しいログインページURLをブックマークする

注意

プラグインが有効化されると、下記のようにログインページURLが変更されます。

  • 有効化前(WordPress初期設定):https://ドメイン名/wp-login.php
  • 有効化後:https://ドメイン名/login_xxxx (xxxxはランダムな5桁の数字)

上記の表示から「新しいログインページURL」をクリックし、ログイン画面をブックマークしておくようにしましょう。ログインページURLは設定で変更することができます。

STEP.3
SiteGuard WP Pluginの管理画面を確認する

管理画面メニューのSiteGuardから各種設定状況を確認できます。インストール時点で基本的なセキュリティ機能が有効になっています。必要に応じて各機能のON/OFFを行ってください。

設定の詳細については公式ドキュメントをご覧ください。

Akismet Anti-Spam

STEP.1
Akismetを有効化

コメントスパム防止プラグインのAkismetは、標準でインストールされていますが有効化されていません。WordPress管理画面メニュー「プラグイン」>インストール済みプラグインから、「Akismet Anti-Spam」の有効化をクリックします。

STEP.2
アカウント登録

プラグインの利用にはアカウント登録(個人サイトの場合は無料)が必要となります。「Akismetアカウントを設定」をクリックします。

STEP.3
プラン選択

個人サイトの場合はFor personal useの「Get Personal」を選択、商用サイトの場合はFor commercial siteから必要なプランを選択します。

STEP.4
登録情報を入力

①Akismetに支払う料金を選択します。0円~15000円の範囲で選択することができます。無料で使いたい場合は¥0/YEARとなるように設定しましょう。

②メールアドレス、氏名、サイトURLを入力

③個人サイトであることの確認事項にチェックを入れます。

④「CONTINUE WITH PERSONAL SUBSCRIPTION」をクリックします。

STEP.5
認証コードの入力

入力したメールアドレスに認証コードが送られるため、確認してコードを入力>「Continue」をクリックします。

STEP.6
APIキーの入力

WordPress管理画面に戻り、管理画面メニュー「設定」>Akismet Anti-Spamをクリックします。画面下部「手動でAPIキーを入力」を選択してください。

先ほどのメールアドレスにAPIキー(件名:Your Akismet API key)が送付されています。キーを確認し、入力>「APIキーを使って接続する」をクリックしてください。

STEP.7
Akismet有効化完了

画面の表示になったらAkismetプラグインの有効化は完了です。必要に応じて設定を変更してください。

問合せフォームへのスパム対策

WordPressにお問合せフォーム(「ContactForm7」などのプラグイン利用含む)を設置していると、スパム攻撃※によってフィッシング詐欺メール等の踏み台にされてしまう場合があります。

※問合せフォームに対し不特定多数のメールアドレスを用いて、不審なURLを含むメッセージが大量に投稿される現象

スパム攻撃の影響

スパム攻撃によって間接的に、お客様のサーバーから大量のスパムメールの配信処理が行われる(問合せへの自動返信メールが不特定多数に送信される)恐れがあります。これによって、以下の問題が発生いたします。

  • サーバーに負荷がかかる
  • メール送信が制限される可能性(1時間あたりのメール送信数上限に引っかかる)
  • スパムメール送信サーバーとしてブラックリストへ登録される可能性(サーバーからのメール配信が弾かれる)

サイトにお問合せフォームを設置する場合は、以下の対策を行ってください。

問合せフォームプラグイン(「Contact Form 7」等)のバージョンを最新化する

WordPress管理画面より、プラグインのアップデートを行ってください。古いバージョンのまま利用していると、セキュリティ上の欠陥を放置してしまう可能性があります。

reCAPTCHA認証を導入する(推奨)

reCAPTCHA認証によって、ロボットによるスパム投稿を防止できます。

「Contact Form 7」プラグインの場合、以下の方法で導入可能です。

参考:reCAPTCHA (v3) | Contact Form 7

STEP.1
Googleアカウントを使ってreCAPTCHAに登録する

reCAPTCHA認証はGoogleのサービスのため、まずはGoogleアカウントの登録が必要です。

Googleアカウントにログインの上、以下のページにアクセスしてサイトの登録を行います。

https://www.google.com/recaptcha/admin/create

①ラベル:設定の登録名を入力します(サイトのドメイン名など、任意の内容でOK)

②reCAPTCHAタイプ:スコアベース(v3)を選択します

③ドメイン:reCAPTCHA認証を設定したいサイトのドメインを入力します

規約同意にチェックを入れて、「送信」をクリックしてください。

STEP.2
サイトキーとクライアントキーをコピーする

サイトキー、シークレットキーが表示されるので、それぞれコピーして控えておきます。

STEP.3
Contact Form 7でreCAPTCHA設定を行う

WordPress管理画面にログインし、Contact Form 7の「インテグレーション」メニューを開きます。

続いて、reCAPTCHAの「インテグレーションのセットアップ」をクリックしてください。

STEP2でコピーしたサイトキー、シークレットキーを入力して「変更を保存」をクリックします。

STEP.4
reCAPTCHA認証設定完了

「設定を保存しました。」「reCAPTCHAはこのサイト上で有効化されています。」と表示されたら設定は完了です。

問合せフォーム画面にアクセスして、画面にreCAPTCHAのロゴマークが表示されていれば、認証が有効化されていることを確認できます。

注意
  • 広告ブロック等のブラウザ拡張機能を利用している場合、正常に表示されない可能性があります。
  • 設定がうまくいかない場合などのご不明点については、Contact Form 7の公式サポートへお問い合わせください。

「Honeypot for Contact Form 7」プラグインを導入する

「Contact Form 7」向けのスパム対策プラグインです。reCAPTCHA導入が難しい場合はこちらもご検討ください。

Honeypot for Contact Form 7

ダッシュボードの設定

投稿

サンプルの不要な投稿「Hello world!」を削除します。

STEP.1
投稿一覧を選択

ダッシュボード>投稿>投稿一覧を選択します。
STEP.2
不要な記事を削除

不要な記事(Hello world!)にカーソルを合わせると、「ゴミ箱へ移動」というリンクが表示され、クリックすると削除できます。

固定ページ

固定ページの不要なページを削除します。

STEP.1
固定ページ一覧を表示

「固定ページ」をクリックし、一覧で「Privacy Policy」「Sample Page」を確認します。

この「Privacy Policy」ページは英語のため削除し、のちほど日本語のページを生成します。

STEP.2
不要な投稿を削除

①「タイトル」にチェックを入れると全てのページが選択されます。

②一括操作欄から「ゴミ箱へ移動」を選択します。

③「適用」をクリックすると、固定ページ一覧よりページが消えます。

設定

一般設定

設定>一般設定の項目を埋めておきましょう。

設定するべき項目
  • サイトのタイトル
  • キャッチフレーズ
  • WordPress アドレス (URL)
  • サイトアドレス (URL)
  • 管理者メールアドレス

プライバシー

プライバシーポリシーページが生成できます。

STEP.1
設定>プライバシーを選択

ダッシュボードメニューの設定>プライバシーをクリックします。
STEP.2
プライバシーポリシーページ生成

「新規プライバシーポリシーページを作成する」横の「生成」をクリックします。
STEP.3
内容確認

自動的に編集画面に移るので、内容を確認します。
使用テーマやプラグインにより追記内容は変わる可能性があるため、「プライバシーポリシーガイドを表示します。」よりガイドを確認しましょう。

「公開」をクリックして公開します。

STEP.3
確認

固定ページ>固定ページ一覧より「プライバシーポリシー」が作成されているのを確認します。