旅ブログ、といいながら、サイト構築のお話。サーバ周りで設定したことのまとめ。
このサイトは、XSERVERにWordPressをインストールして作っています。
セキュリティ的には、どのサーバを使っているのか、どんなアプリケーションを動かしているのかということは、公開しない方が安全なのですが、「個人ブログ=WordPressだろう」と推測できると思うので。
XSERVERの設定
ユーザー設定
XSERVERでレンタルサーバーの申し込み時に、WordPressにログインするユーザーを設定します。
「admin」ユーザーは、WordPressをインストールしたときにできるデフォルトユーザーとして広く知られています。攻撃者がこの「admin」ユーザーを使って、WordPressにログインを試みる可能性があるので、固有のユーザーを設定します。
サイト非公開化 ※一時的な設定
サイト構築中は、念のため、ID・パスワードを知らないとサイトが閲覧できないよう、basic認証をかけました。
→「現在のフォルダ」
・「アクセス制限」をON
・「ユーザー設定」で、basic認証のユーザ・パスワードを設定
WordPressの設定
WordPressはプログラムの中身が公開されているオープンソースプログラムなので、無料で使用でき、利用者も多いため参考となる情報も多い一方で、攻撃者に狙われやすいという欠点があります。セキュリティに完璧はないですが、リスク回避として対応したことです。
ユーザー名を隠す
デフォルト設定だと、ユーザー名がそのまま表示される箇所があります。
・ニックネーム・・・投稿した記事に表示される
・AuthorSlug・・・投稿者アーカイブURLに表示される
ユーザー名を「admin」に設定しなくても、表示されていては意味がないので、表示内容を変更して隠します。
ニックネーム変更
投稿者名に表示されるニックネームを設定します。
→ユーザーのプロフィール編集画面で
・「ニックネーム」をユーザー名と別のものに設定
・「ブログ上の表示名」を「ニックネーム」で設定した名前に変更
ブログの記事に表示されるニックネームから、ユーザー名を知ることができなくなります。
AuthorSlugを変更
投稿アーカイブURLを変更します。
→ WordPress管理画面 > [設定] > [EditAuthorSlug] で
・「投稿者ベース」を変更
WordPressの管理画面を隠す
WordPress管理画面のログイン画面は、インターネット上のどこからでもアクセスでき、デフォルトのログインURLは広く知られています。
WordPress管理画面のログインURLを変更
デフォルトのログインURLから、指定したURLに変更します。
・ログインURLを変更
ログインされてしまった時の対策
隠しても隠しても、攻撃者がログイン画面にたどり着き、不幸にも侵入されてしまったときのための対策です。
操作ログの取得
攻撃者が侵入後に何をしたかを確認するために、ログを取ります。
個人ブログではあまりないかもしれませんが、複数ユーザでWordPressを管理するときに、「いつ・誰が・何を変更したか」を確認したいときにも利用できます。
そのほか
セキュリティ設定対策以外でサーバの動作性の向上のために行った設定
日本語フォントへのパッチ当て
日本語フォントで発生する可能性がある文字化け修正用。
ページキャッシュ
サイトの読み込みを早くするための設定。
・キャッシュ設定を実施
まとめ
完全に個人的な備忘録に近いですが、WordPressでサイトを構築するにあたり設定したことをまとめました。
とりあえず、こんなところで。
コメント