【XSERVER】【WordPress】サイト構築時に最初に設定したこと

旅ブログ、といいながら、サイト構築のお話。サーバ周りで設定したことのまとめ。

このサイトは、XSERVERにWordPressをインストールして作っています。

セキュリティ的には、どのサーバを使っているのか、どんなアプリケーションを動かしているのかということは、公開しない方が安全なのですが、「個人ブログ＝WordPressだろう」と推測できると思うので。

XSERVERの設定

XSERVERでレンタルサーバーの申し込み時に、WordPressにログインするユーザーを設定します。

・何でもいいけど、「admin」にだけには設定しない

「admin」ユーザーは、WordPressをインストールしたときにできるデフォルトユーザーとして広く知られています。攻撃者がこの「admin」ユーザーを使って、WordPressにログインを試みる可能性があるので、固有のユーザーを設定します。

サイト構築中は、念のため、ID・パスワードを知らないとサイトが閲覧できないよう、basic認証をかけました。

・[XSERVER サーバーパネル] ＞ [ホームページ] ＞ [アクセス制限]
　→「現在のフォルダ」
　　・「アクセス制限」をON
　　・「ユーザー設定」で、basic認証のユーザ・パスワードを設定

サイト公開時には、この設定を削除する必要があります。また、プラグインによって、アクセス制限がされていると、設定が行えないものもあるので注意が必要です。

WordPressはプログラムの中身が公開されているオープンソースプログラムなので、無料で使用でき、利用者も多いため参考となる情報も多い一方で、攻撃者に狙われやすいという欠点があります。セキュリティに完璧はないですが、リスク回避として対応したことです。

デフォルト設定だと、ユーザー名がそのまま表示される箇所があります。
　・ニックネーム･･･投稿した記事に表示される
　・AuthorSlug･･・投稿者アーカイブURLに表示される
ユーザー名を「admin」に設定しなくても、表示されていては意味がないので、表示内容を変更して隠します。

投稿者名に表示されるニックネームを設定します。

・WordPressの管理画面＞[ユーザー]＞[ユーザー一覧]＞変更したいユーザーを[編集]
　→ユーザーのプロフィール編集画面で
　　・「ニックネーム」をユーザー名と別のものに設定
　　・「ブログ上の表示名」を「ニックネーム」で設定した名前に変更

ブログの記事に表示されるニックネームから、ユーザー名を知ることができなくなります。

投稿アーカイブURLを変更します。

・プラグイン「EditAuthorSlug」をインストール、有効化
　→ WordPress管理画面＞ [設定] ＞ [EditAuthorSlug] で
　　・「投稿者ベース」を変更

WordPress管理画面のログイン画面は、インターネット上のどこからでもアクセスでき、デフォルトのログインURLは広く知られています。

デフォルトのログインURLから、指定したURLに変更します。

・プラグイン「SiteGuard」をインストール、有効化
・ログインURLを変更

隠しても隠しても、攻撃者がログイン画面にたどり着き、不幸にも侵入されてしまったときのための対策です。

攻撃者が侵入後に何をしたかを確認するために、ログを取ります。

・プラグイン「WPSecurityAuditLog」をインストール、有効化

個人ブログではあまりないかもしれませんが、複数ユーザでWordPressを管理するときに、「いつ・誰が・何を変更したか」を確認したいときにも利用できます。

セキュリティ設定対策以外でサーバの動作性の向上のために行った設定

日本語フォントで発生する可能性がある文字化け修正用。

・プラグイン「WPMultibytePatch」をインストール、有効化。

サイトの読み込みを早くするための設定。

・プラグイン「WP Fastest Cache」をインストール、有効化。
・キャッシュ設定を実施

完全に個人的な備忘録に近いですが、WordPressでサイトを構築するにあたり設定したことをまとめました。

とりあえず、こんなところで。