前回の記事でWordPressの導入までをまとめました
今回はセキュリティに関して行ったことの覚書となります
サイトを改竄可能な状態で放置すれば最終的に管理者の責任となる場合があるそうです
利用者と自分のためにも最低限のセキュリティは確保しましょう
さくらのレンタルサーバーを使用している前提で進めていきます
行ったこと
- ユーザー名を隠す
- ログインページを隠す
- 無料のSSL証明書の発行と適用
手順
ユーザー名を隠す
ユーザー名が特定されれば総当たり攻撃を受ける危険が増します
リスクを減らすためにもユーザー名は隠しましょう
WordPressの初期状態ではURLに”?author=1″というパラメータを与えると
“http://example.com/author/ユーザー名/”というユーザーページに移動するため
ユーザー名が他者に見られてしまいます
これの回避方法としてルートディレクトリにある”.htaccess”を編集します
↓のサイトにとても丁寧な解説が載っているのでこちらを参考にしてください
https://umada.net/wordpress_hidden_author
ログインページを隠す
初期状態では”http://example.com/wp-admin”で誰でもログインページにアクセスすることができてしまいます
ログイン画面のURLを変更することで不正なログインを抑止します
「Login rebuilder」というプラグインを導入することで対策します
WordPressのダッシュボードから左のメニューの「プラグイン」→「新規追加」
キーワードに「Login rebuilder」と入力して目的のプラグインが表示されたら「インストール」→「有効化」
有効化したらプラグインの一覧が表示されます
「ログインページ」という名前になっているのでそれの「設定」
「新しいログインファイル」がログインページのファイル名になります
なるべく特定されにくいファイル名にしましょう
そして「ステータス」を「稼働中」にします
そのほか設定はお好みで行ったら「変更を保存」を押します
変更が適用されると新しいログインページのURLが表示されます
このURLをブックマークに入れとくといいと思います
これでログインページ対策は完了です
無料SSLの導入
まず、さくらサーバーのコントロールパネルから「ドメイン/SSL設定」
「ドメイン一覧」から目的のドメインの「登録」→「無料SSLの設定へ進む」
「無料SSLを設定する」を選択
証明書の発行には時間がかかります
「無料SSLを設定する」ボタンが無く、代わりに赤文字で
“お客様のドメインのサーバ設定が利用中のサーバとは異なるIPアドレスに設定されているため、無料SSL機能はご利用いただけません。”
このような表示が出る可能性があります
ドメインの登録をして間もない場合に表示されることがあり、1日ほど経てば「無料SSLを設定する」ボタンが出ると思います
発行されたらプラグインを入れるため
WordPressのダッシュボードを開いてください
このときTOPページは”https://”で開けますが、ログインページおよびダッシュボードは”http://”でないと開けないみたいです
プラグインの一覧から「SAKURA RS WP SSL」を有効化します
さくらサーバー専用のプラグインで最初からインストールされています
有効化したら設定に移ります
「設定」→「SAKURA RS SSL」
上のチェックボックスはSSLが発行されているかの確認です
下のチェックボックスは”https”でトップページが開けたらチェックしてください
ログインページは開けなくても問題ありません
SSLの種類はドメイン一覧に表示されています
設定を行ったら「SSL化を実行する」
ログイン画面が表示され無事ログインできれば成功です
これでセキュリティ編は終わりです
ここでは紹介しませんでしたが「All In One WP Security」など必要に応じてセキュリティを強化してくれるプラグインを入れると良いと思います
おつかれさまでした