初心者の私がWordPressブログを作るまで④(セキュリティ対策〜まずはここから〜)

④〜⑥はセキュリティとブログの維持運営に関する箇所の設定を行います。

この作業では主にFTPソフトを使用してwp-config.phpやfunctions.phpを編集しますので、CyberduckやFFFTP、FileZillaなどのソフトを導入しておきましょう。

FTPソフトを使ってサーバーに接続する際にも、安全性の高い方法とそうでない方法がありますので、下記の記事を参考にSFTP接続を使用するようにして下さい。

: FTPソフトを使う時にはSFTPで接続しよう【Xserver対応】

WordPressのインストールや各種設定に際して、「"FTPソフト"を使ってください」という指示をすることがあります。この時に接続情報としてホスト(サーバー)名、ポート、ユーザー名、パスワードなど ...

続きを見る

本題の前に(PHPファイルの編集について)

PHPファイルは

<?php
echo 'Hello world!';
?>

のように"<?php"で始まり"?>"で閉じるのが記述のルールとなっています。

しかしPHPの閉じタグ(?>)は実は書かなくてもいい、むしろ書かないほうがいい場合があるそうです。

調べてみたところ

というお話でした。

PHPのみで構成されているので、最後の?>は省略されていたとしてもわざわざ閉じなくて良い(寧ろ閉じタグ無しが推奨)というわけです。

当記事でwp-config.phpやfunctions.phpに「このコードを追記して下さい」という指示が出た際にはファイルの内容を見て"<?php"から"?>"の間か、閉じタグ(?>)がない場合には"<?php"より後にコードを記述するようお願いいたします。

第2回の記事の「ニックネームを変更」にて描いた通り、WordPressのIDが漏洩するのはセキュリティ上宜しくありません。

: 初心者の私がWordPressブログを作るまで②(インストール〜最低限の設定編)

WordPressのインストールサーバーとドメインが準備できたら、契約したサーバー毎の指示に従ってWordPressのインストールをしていきます。私は事前にXFREEやMAMPなどを利用してWor ...

続きを見る

WordPressでは投稿者別の記事一覧ページが存在しますが、このページのURLにはなんとユーザーIDが使われてしまうそうです。

このページはひとりで運営するウェブサイトであれば必要ありませんし、IDが訪問者に見えてしまう恐れがありますのでアクセスをさせないように設定しましょう。

参考にさせて頂いたのはこちらの記事です。

WordPressの管理画面から、PHPファイルの編集が出来ないようにします。

テーマのカスタマイズがブラウザからできるのは大変便利ですが、この作業はFTPソフトを利用しても出来ますのでサイトの安全を優先しましょう。

編集するファイルはwp-config.phpです。

define('DISALLOW_FILE_EDIT', true);

を追記してください。

セキュリティ対策のプラグイン「All In One WP Security & Firewall」を導入して、かゆいところに手を伸ばします。

詳しい項目の設定方法はこちらのサイトを参考にさせて頂きました。

ちなみにこのプラグインを導入してからログインパスワードをうっかり連続して間違えてしまったことがあったのですが、IPアドレスがブロックされてしまった(ログイン画面に行けなくなった)ので効果はバッチリです。

もしも私と同じようにうっかり間違えて入れなくなった場合には、

スマホのWi-Fiをオフにした状態でダッシュボードにアクセス
落ち着いて正しいIDとパスワードを入力
ダッシュボードの[WP Security]→[User Login]→[Currently Locked Out IP Address Ranges]から該当のIPアドレスのロックを解除

すると再びパソコンからダッシュボードにアクセスできるようになります。