WordPressを運用する際、セキュリティ対策は必須です

WordPress運用の際、必須で気をつけておきたいことは、「セキュリティ」と「データバックアップ」です。

WordPressはCMSのシェア率がダントツのNO.1で、世界中にユーザーがおり、サイトが存在します。
また、オープンソースであることから、セキュリティの脆弱性も発見されやすい側面があります。
私もサイトが改ざんされた例を複数みてきました。
対岸の火事ではないくらいの頻度と発生率なので、最低限のセキュリティ対策をしておく必要があります。

今回はセキュリティ対策、２つの必須設定の方法を記載します。
ひとつはサイトを暗号化するSSL対応、もうひとつは、管理ページのセキュリティ対応です。

INDEX

レンタルサーバーの独自SSLの申し込み・設定
1. 例：ロリポップ
2. 例：Conoha WING
SSL対応プラグイン「Really Simple SSL」を設定
管理ページとログインへの攻撃からの保護する「SiteGuard WP Plugin」

レンタルサーバーの独自SSLの申し込み・設定

例：ロリポップ

契約しているレンタルサーバーでSSL証明書の申し込みをします。
ロリポップサーバーの場合は、以下をご参照ください。

ロリポップ：独自SSL（無料）のお申込み・設定方法

例：Conoha WING

Conoha WINGは以下のように、管理画面で設定してください。

SSL対応プラグイン「Really Simple SSL」を設定

プラグイン：Really Simple SSL

WordPressにプラグイン「Really Simple SSL」をインストールします。
インストールすると、初期設定で以下のような状態になっています。

初期だと作業待ちが３つあると思います。

確認待ち１つ目

「SSLが有効になりました。この記事をお読みになり、このサイトが安全かご確認ください。詳細または非表示1」
詳細ページでは、URLが「https://」になり鍵マークがついていることを確認すること。
混合コンテンツがあった場合は解消のサポートが記載されています。
問題がない、または解消したら非表示にしてOKです。

確認待ち２つ目

「Google アナリティクスと Search Console の設定変更をお忘れなく。詳細または非表示」
Google アナリティクスとSearch Consoleを設定している方は、登録URLが「https://」になっていることを確認してください。

確認待ち３つ目

「WordPress による301転送が有効です。.htaccess による.301転送を推奨します。有効化または非表示1」
「http://」でアクセスした場合に「https://」にリダイレクトする設定を.htaccess ファイルに記載する設定です。
推奨設定なので基本ONにするで問題ないですが、.htaccessを書き換えるとサイトへの他の影響が出る可能性もあります。
その一つが無限ループで、回復させる方法は「アクセスを回復する」以下のように記載されています。
FTPでサーバ接続なども必要なので、知識のない方は特に気をつけてください。

この設定を有効にしたときに問題が発生した場合は、.htaccessファイルから書き換えルールを削除してください。

FTPクライアント（FileZillaなど）を開きます
Webサイトのルートで、.htaccessファイルを探します。見つからない場合は、FileZillaに隠しファイルが表示されていることを確認してください
テキストエディタで.htaccessファイルを開き、＃BEGINrlrssslReallySimpleSSLを探します。
＃BEGINと＃ENDの間のすべての行を（Really Simple SSLから）削除し、保存します
Really SimpleSSLがhtaccessをこれ以上編集しないようにします。
サイトのルートでwp-config.phpを探します。
wp-configを開き、上部に追加しますが、「<?php":
define( 'RLRSSSL_DO_NOT_EDIT_HTACCESS', TRUE );

確認待ち３つの対応を済ませると進行状態が90%になるので、こちらで通常はOKです。
（残りの２つはプレミアムの有料版の契約が必要です。）

管理ページとログインへの攻撃からの保護する「SiteGuard WP Plugin」

プラグイン：SiteGuard WP Plugin
EG Secure Solution公式サイト

初期設定の内容確認

プラグインをインストールして有効化すると、以下の設定状況になっています。
個人ブログや小規模サイトを運用する場合は、デフォルトのままで特に問題ないかと思います。

ログインページURL変更の設定および確認

ログインページ変更は、ドメイン以降のスラッグを自分で設定することができます。
デフォルトでは「login_５桁の数字」になっているので、そのまま利用もできます。
ログインURLを忘れてしまうと、ログイン画面にアクセスできなくなってしまうので、URLのメモをとっておく、またはURLのブックマークをしておいた方が良いです。

画像認証のログイン画面の確認

画像認証をONにすると、ログイン画面に以下のように画像（初期設定はひらがな）が表示され、同じ文字を入力しないとログインできないようになります。

オフになっている以下の機能がどのようなものかは公式サイトにも記載があります。
必要な場合は設定をしてください。
「管理ページアクセス制限」「フェールワンス」「ユーザー名漏洩防止」「WAFチューニングサポート」