はじめに
WordPressサイトを安全に運用するためのセキュリティ設定をまとめました。
※ このページは杉浦の作業チェックリストです。初期設定は杉浦が代行しますので、お客様は特に操作不要です。
1. SSL設定(https化)
Xserverでの設定
- サーバーパネル →「SSL設定」→ 対象ドメインで「独自SSL設定追加」
- 反映まで最大1時間程度
- WordPressクイックスタート利用時は自動設定済み
▲ 独自SSL設定追加の画面(Xserver公式マニュアルより)
WordPress側の設定
- 管理画面 →「設定」→「一般」
- 「WordPressアドレス」「サイトアドレス」の両方を
https://に変更 - 「変更を保存」
常時SSL化(httpリダイレクト)
.htaccess に以下を追記(Xserverの場合、SSL設定時に自動追記される場合もあり):
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
確認方法
- ブラウザのアドレスバーに鍵マークが表示されていればOK
http://ドメインにアクセスしてhttps://にリダイレクトされることを確認
2. SiteGuard WP Plugin の設定
不正ログイン対策のプラグインです。
インストール後の設定
| 機能 | 設定 | 説明 |
|---|---|---|
| ログインページ変更 | ON | wp-login.php のURLを変更して不正アクセスを防ぐ |
| 画像認証 | ON(ひらがな) | ログイン時にひらがな入力を要求(海外botに有効) |
| ログインロック | ON | 連続ログイン失敗でロックアウト |
| ログインアラート | ON | ログインするとメール通知 |
| XMLRPC防御 | ON | 外部からの不正操作を防ぐ |
重要:ログインページURLを変更したら、新しいURLを必ず控えてお客様に共有してください。元の
/wp-admin/ ではアクセスできなくなります。
3. バックアップ設定(BackWPup)
新規ジョブの作成
- 管理画面 →「BackWPup」→「新規ジョブを追加」
- 「一般」タブ:
- ジョブ名:「週次バックアップ」
- ジョブタスク:データベースのバックアップ、ファイルのバックアップ にチェック
- バックアップファイルの保存方法:「フォルダーへバックアップ」
- 「スケジュール」タブ:
- ジョブの開始方法:「WordPressのcron」
- スケジューラー:毎週(日曜 3:00 AM 推奨)
- 「変更を保存」
手動バックアップの取り方(お客様向け案内)
- 管理画面 →「BackWPup」→「ジョブ」
- 該当ジョブの「今すぐ実行」をクリック
- 完了後、「バックアップ」→「バックアップアーカイブを管理」からダウンロード可能
4. その他のセキュリティ確認事項
WordPress本体・テーマ・プラグインの更新
- 管理画面 →「ダッシュボード」→「更新」で確認
- 月1回程度の更新を推奨
- 更新前にバックアップを取ること
不要なプラグイン・テーマの削除
- 使っていないプラグインは「無効化」ではなく「削除」
- 使っていないテーマも「削除」(デフォルトテーマ1つは残す)
コメント機能の無効化
- 治療院サイトではコメント機能は不要
- 設定 →「ディスカッション」→「新しい投稿へのコメントを許可」のチェックを外す
初期設定完了チェックリスト
- ☐ SSL設定(https化)完了
- ☐ http → https リダイレクト確認
- ☐ SiteGuard インストール・設定完了
- ☐ 新しいログインURLをお客様に共有
- ☐ BackWPup 週次バックアップジョブ設定
- ☐ WordPress・テーマ・プラグイン最新版に更新
- ☐ 不要なテーマ・プラグイン削除
- ☐ コメント機能無効化
