④〜⑥はセキュリティとブログの維持運営に関する箇所の設定を行います。
この作業では主にFTPソフトを使用してwp-config.phpやfunctions.phpを編集しますので、CyberduckやFFFTP、FileZillaなどのソフトを導入しておきましょう。
FTPソフトを使ってサーバーに接続する際にも、安全性の高い方法とそうでない方法がありますので、下記の記事を参考にSFTP接続を使用するようにして下さい。
-
FTPソフトを使う時にはSFTPで接続しよう【Xserver対応】
WordPressのインストールや各種設定に際して、「"FTPソフト"を使ってください」という指示をすることがあります。 この時に接続情報としてホスト(サーバー)名、ポート、ユーザー名、パスワードなど ...
続きを見る
本題の前に(PHPファイルの編集について)
PHPファイルは
<?php
echo 'Hello world!';
?>
のように"<?php"で始まり"?>"で閉じるのが記述のルールとなっています。
しかしPHPの閉じタグ(?>)は実は書かなくてもいい、むしろ書かないほうがいい場合があるそうです。
調べてみたところ
- 閉じタグの後に空白や改行が入ると予期せぬ挙動を起こす可能性がある。
- HTMLなどの別言語と混ざる場合には、ここまでがPHPだよ!という印の為に閉じタグが必要になる。
- PHPのみで構成されるファイルである、またはファイルの末尾がPHPで終わる場合には閉じタグは省略できる。
というお話でした。
PHPのみで構成されているので、最後の?>は省略されていたとしてもわざわざ閉じなくて良い(寧ろ閉じタグ無しが推奨)というわけです。
当記事でwp-config.phpやfunctions.phpに「このコードを追記して下さい」という指示が出た際にはファイルの内容を見て"<?php"から"?>"の間か、閉じタグ(?>)がない場合には"<?php"より後にコードを記述するようお願いいたします。
セキュリティ設定
authorに関する情報の非表示設定
第2回の記事の「ニックネームを変更」にて描いた通り、WordPressのIDが漏洩するのはセキュリティ上宜しくありません。
-
初心者の私がWordPressブログを作るまで②(インストール〜最低限の設定編)
WordPressのインストール サーバーとドメインが準備できたら、契約したサーバー毎の指示に従ってWordPressのインストールをしていきます。 私は事前にXFREEやMAMPなどを利用してWor ...
続きを見る
WordPressでは投稿者別の記事一覧ページが存在しますが、このページのURLにはなんとユーザーIDが使われてしまうそうです。
このページはひとりで運営するウェブサイトであれば必要ありませんし、IDが訪問者に見えてしまう恐れがありますのでアクセスをさせないように設定しましょう。
参考にさせて頂いたのはこちらの記事です。
WordPressでいこう - WordPressのユーザー名は丸見え!?
管理画面(ダッシュボード)からのPHPファイルの編集無効化
WordPressの管理画面から、PHPファイルの編集が出来ないようにします。
テーマのカスタマイズがブラウザからできるのは大変便利ですが、この作業はFTPソフトを利用しても出来ますのでサイトの安全を優先しましょう。
編集するファイルはwp-config.phpです。
define('DISALLOW_FILE_EDIT', true);
を追記してください。
参考リンク:WordPress の安全性を高める - WordPress Codex 日本語版
All In One WP Security & Firewallの導入
セキュリティ対策のプラグイン「All In One WP Security & Firewall」を導入して、かゆいところに手を伸ばします。
詳しい項目の設定方法はこちらのサイトを参考にさせて頂きました。
All In One WP Security & Firewallの使い方とおすすめの設定方法 | 今日の経営
ちなみにこのプラグインを導入してからログインパスワードをうっかり連続して間違えてしまったことがあったのですが、IPアドレスがブロックされてしまった(ログイン画面に行けなくなった)ので効果はバッチリです。
もしも私と同じようにうっかり間違えて入れなくなった場合には、
- スマホのWi-Fiをオフにした状態でダッシュボードにアクセス
- 落ち着いて正しいIDとパスワードを入力
- ダッシュボードの[WP Security]→[User Login]→[Currently Locked Out IP Address Ranges]から該当のIPアドレスのロックを解除
すると再びパソコンからダッシュボードにアクセスできるようになります。