WordPressのインストールをしたら、最初に取り組みたいのが「初期設定」です。
デザインや記事を投稿する前に、まずは「快適な操作、運営」の要となる初期設定を済ませておきましょう。
初期設定のやり方を押さえておけば、WordPressの運営はよりカンタンで楽になります。
この記事では、はじめてブログやサイトを作った方向けに、WordPressの「初期設定」でやっておくと良いことを分かりやすく解説します!
はじめてWordPressを使う方はもちろん、WordPressのことをもっと深く知りたい方には必見です。
- WordPressの初期設定が必要な理由
- WordPressの初期設定ですべきこと、初期設定の手順
- WordPressの不要なテーマ、不要なプラグイン削除の方法
WordPressの初期設定が重要な理由!
WordPressを設定したら、デザインなどのカスタマイズを先に行いしがちです。
けれど、見た目を変える前に、まずは WordPressの『初期設定』に取り組みましょう。
WordPressの初期設定が重要な理由は、記事を投稿した後、初期設定を変更するのは「手間が掛かる」からです。
例えば記事を投稿してから「設定」を変えてしまうと、せっかく書いた記事にエラーになるなど、不具合が生じる可能性があります。
細かな設定は後回しにしがちですが、WordPressの初期設定に時間はかかりません。
最初の段階で設定を済ませておけば、この後のデザイン変更や記事投稿もラクになります。
WordPressをインストールしたら、次項で説明する「初期設定」を済ませておきましょう。
WordPressの初期設定
WordPressの「初期設定」は多くありません。
初期設定を大きく分けると、次の7項目に集約されます。
- 一般設定
サイト、ブログのタイトルを設定する項目 - 投稿設定
コンテンツのカテゴリ、記事の投稿方法を設定する項目 - 表示設定
1ページ中に表示する記事本数等の設定 - ディスカッション設定
コメント、トラックバック、ピンバックなどの設定 - メディア設定
画像のサイズを設定する項目 - パーマリンク設定
記事URLの設定 - プライバシー
個人情報保護など、プライバシーポリシーの設定
実際にWordPressでは、どこに「初期設定項目」があるのか、下の画像で説明します。
まず画像の赤枠で囲った部分上をクリックしてみてください。
すると下のような画面が表示されます。ここは「初期設定」の画面です。
下の画像、赤枠で囲った部分に、先程上げた7つの項目【一般、投稿設定、表示設定、ディスカッション、メディア、パーマリンク設定、プライバシー】があるのが分かりますね。
さらに拡大すると、下のような項目が確認できます。
なお画面中にある「アンチスパム」の設定ですが、今は触らずに置いておいてください。
本記事の後半で改めて「セキュリティの設定の方法」について解説します。
初期設定の方法はカンタンです。1〜7の内容について、順にみていきましょう。
1. 一般設定
一般設定とは、初期設定の最も「基本」となる設定部分です。
ここではサイトやブログのタイトル、各種アドレスを設定します。
- サイトのタイトル
- サイトのキャッチフレーズ
- WordPressのアドレス
- サイトのアドレス
- メールアドレス
- サイトのタイムゾーン
下の画像は、一般設定のページをクローズアップしたものです。
まずはサイト名を設定してください。
タイトル名は必須ですが、キャッチフレーズは空欄でも構いません。
デフォルトのキャッチフレーズ(Just another WordPress site)を消して空白にするか、自分のサイトのキャッチフレーズを入力しておきましょう。
キャッチフレーズですが、デフォルトのままで置いておくのはNGです。
Just another WordPress siteというキャッチフレーズは、完全に消すか、自サイトの説明に書き換えるかしましょう。
ただし使用するWordPressテーマによっては、キャッチフレーズ設定が「SEO施策」において不利になる場合があります。
WordPressテーマとの互換性が分からない場合や、不安な場合は「キャッチフレーズの部分を空白」にしておいてください。
この他にも、WordPressのアドレス、サイトのアドレス、管理者のメールアドレスを入力してください。
以下「初期設定」について、各項目に「何を設定すれば良いのか」内容をまとめておきます。
| 初期設定の解説 |
|---|
| タイトル |
| サイトのタイトルを書く |
| キャッチフレーズ |
| サイトの説明、キャッチフレーズを各(空欄でも可) |
| WordPressアドレス(URL) |
| WordPressをインストールしたアドレス |
| サイトアドレス(URL) |
| サイト(ブログ)にアクセスするためのアドレス |
| 管理者メールアドレス |
| サイト(ブログ)管理者のメールアドレス |
| メンバーシップ設定 |
| メンバー制のサイト(ブログ)にする場合にチェックをつける |
| 新規ユーザーのデフォルト権限グループ |
| 誰が新規ユーザーを追加できるのか制限を決める項目 |
| サイトの言語 |
| サイトで使用する言語(日本語) |
| タイムゾーン設定 |
| デフォルトで日本のタイムゾーンが選択されているので、海外向けサイトでなければそのままでOK |
| 日付・時刻フォーマット設定 |
| 上と同じ |
| 週の始まり |
| 一週間の始まりをいつにするのか(月曜始まり、日曜始まり)を決める部分 |
上の表中にある「メンバーシップ設定」とは、誰がコンテンツを使用できるのか「制限を設ける」項目です。
メンバーシップを設定すれば、記事の限定公開や会員向けコンテンツが作れます。
メンバーシップが不要であれば、そのままにしておいてください。
2. 投稿設定
投稿設定とは、記事やコンテンツの固定ページに関する設定部分です(下の画像を参照)。
投稿用カテゴリーの部分は、デフォルトの「未分類」のままで置いておきましょう。
WordPress記事は、設定によってメールからも投稿できますが、今後メール投稿機能は無くなる予定なので、無理に導入する必要はありません。
3. 表示設定
「表示設定」とは、1ページ中に表示する記事の本数や、RSSフィードで表示をする記事本数を設定する項目です。
※ RSSフィードとは、配信を目的としてコンテンツの概要やコンテンツ全体をまとめた文書のこと。
上の画像の赤枠で囲った部分が、「投稿本数」を決める部分です。
見やすさを考慮して1ページあたりの本数は「10件前後」にしてください。
読み込み時間が長くなると、SEOにも悪い影響が生じます。
また一度に表示する記事が「10本」を超えてしまうと読みにくくなり、記事の離脱率が上がるほか、ページの読込時間にも影響するので注意が必要です。
合わせて、上記の画像にある「フィードの各投稿に含める内容」の設定について、デフォルトは「全文を表示」となっていますが、今でも「スクレイピングサイトコピー」といって、せっかく書いたブログ記事をコピーする仕組みを作ってサイト制作をしている人がいます。
したがって、気休め程度になってしまいますが、「フィードの各投稿に含める内容」については、「要約」にしておきましょう。
4. ディスカッション設定
ディスカッション設定とは、コメント、トラックバック、ピンバック条件を設定する項目です。
コメント
サイト、ブログへのコメント
トラックバック
他サイトの文章や内容を囲繞した際、引用元の管理者に通知を行う機能。
ピンバック
相手にリンクを貼ると、自動で相互リンクが作れる機能のこと。
他のサイトから沢山のピンバックが届きますが、スパム対策のためピンバックは「手動で選ぶ」設定にしましょう。
具体的なディスカッション設定の項目
下の画像は、ディスカッション設定の画面ですが、「スパム対策」のため、赤枠で囲んだ「コメント投稿者の名前とメールアドレスの入力を必須にする」部分にはチェックを入れておいてください。
またコメント欄が荒れないように、コメントの承認も「承認制」にしておくと安心です。
ピンバックやトラックバックの設定
なお「ピンバック・トラックバック」の部分ですが、上の画像のようにチェックをつけたままにすると、新しい記事に対して他のサイトやブログから、ピンバックやトラックバックの通知が届き続けるので、管理が追いつかなくなります。
通知が面倒、ピンバックが嫌だという方は、上の画像のように「ピンバック・トラックバック」のチェックを外しておいてください。
また、ブログ記事にコメント欄を表示しない設定にしたい場合は、「新しい投稿へのコメントを許可」からチェックを外せば大丈夫です。
詳細については、下記の記事でもまとめています。
関連記事:WordPress(ワードプレス)のコメント欄が消えないときの対処法
サイト内検索スパムへの対応
WordPressのようなCMSですが、利用するモノによっては「サイト内検索」という機能が標準で搭載されています。
この機能は、Webサイト訪問者にとって、より詳細な情報を調べたいときに、あなたが運用しているWebサイト内をより詳しく知ってもらうための重要な機能になります。
しかし最近、この仕組みを使って低品質なテキストを検索フォーム及び、検索用のURLに直接無意味なテキストコンテンツを大量に生成して、結果的にサイト全体が低品質に評価されてしまう現象を発生させる結果を生んでしまうことがあります。
対応策としてはいくつかあるのですが、functions.phpというファイル内にコードを追加する必要があるなど、Webサイトを始めたばかりの初心者の方には難しい内容だったりします。
簡単な対策としては、その辺りの機能も制御してくれる有料のWordPressテーマを購入のが1番簡単な方法になります。
これはセールストークとかではなく、本当です。
関連記事:WordPressWordPressテーマでおすすめできる有料版と無料版を比較しながら実例を用いて紹介
また、このサイト内検索スパムへの対応策については
りんかさんが運営する「りんか ネット」サイト内の、サイト内検索 スパム攻撃され対策と結果まとめ|WordPressという記事ですごく丁寧に解説されており、すごく参考になります。
「サイト内検索機能」は、サイト訪問者にとって有用な機能なので、初期は設置して置いた方が良いのですが、サイト内検索スパムの被害が出てきたときには、1度、この機能についてどう対応して機能を実装するか、検討するのが良いと考えます。
5. メディア設定
メディア設定とは、サイトやブログで使用する画像の大きさを設定する項目です。
先に画像サイズの大きさ(大・中・小)を設定しておけば、記事やサイトで画像を載せる際、あらかじめ設定した大きさ(大・中・小)に画像サイスが変換され、そのまま使えます。
これなら元画像をわざわざトリミングしたり、画像を圧縮する手間が省けるので便利ですね。
上の画像のように、横幅と高さをそれぞれ設定しておけばOKです。
上の画像を参考に「大・中・小」サイズを決めておきましょう。
筆者が運営するサイトの実例としては、基本的に
- 小サイズ:120px
- 中サイズ:240px
- 大サイズ:1,200px
にしています。
6. パーマリンク設定
パーマリンク設定とは、ブログやサイトの「記事URL」を設定する項目です。
URLをカスタムで決められるように設定する
SEO対策という意味では、サイトのURL構造はできるだけシンプルに。
また、ブログ記事はIDや数字で示すのではなく、ブログ記事や記事内容に関係する単語をリンク内に簡潔なURLとして使用してください。
例 http://sample.com/カテゴリー/タイトル
パーマリンク設定の画面では、下の画像赤枠で囲った「カスタム構造」の部分にチェックを付け、括弧内には以下のように『/%postname%』と入力しておいてください。
『/%postname%』にしておくと、記事や固定ページの編集画面で固有のパーマリンクが設定できます。
URLを日本語で設定しないように注意する
なお パーマリンク設定で、日本語URLは設定しないよう注意してください。
日本語URLはの場合、WordPressのバージョンによっては、404エラーが出ることもあり、正しく画面が表示されません。
各ページのURLはシンプルにする
当ブログ(ユニコブログ®)では、パーマリンク設定で都度URLを設定するという設定を忘れていて、パーマリンクをただの/archives/設定にしてしまっていますが、他に運用しているWebサイトでは、ブログ記事のタイトルなど、メインコンテンツに関連した簡潔なURLにしています。
繰り返しになりますが、パーマリンクは【ブログや記事内容に関係する単語をリンク内に設定する】のを原則としてください。
この理由ですが、SEO(検索エンジン最適化)において、Google検索セントラルでURLの構造について推奨事項が明記されています。
参考リンク:シンプルな URL 構造を維持する|Google検索セントラル
7. プライバシー
プライバシーとは、プライバシーポリシーを設定する画面です。
プライバシーの部分をクリックすると、基本的な「プライバシーポリシーページ」が作成できます。
ブログ、WEBサイトの区別無く、プライバシーポリシーは必ず設定しておいてください。
プライバシーポリシーを設定しておけば、サイト運営者が国際的なプライバシーや法律を遵守しサイト運営していることの「証」となり、Googleなどの検索エンジンからも評価されます。
プライバシーとは何か。
プライバシーポリシーが必要な理由や、プライバシーポリシーの設定方法については、以下の記事でも詳しく解説しています。
関連記事:プライバシーポリシーと免責事項、利用規約の書き方を徹底解説【ブログ向け】
WordPressの初期設定は7項目ある。デザイン変更や記事を投稿する前に、基本となる【一般、投稿設定、表示設定、ディスカッション、メディア、パーマリンク設定、プライバシー】を設定し終えておこう。
WordPressインストール後の設定
WordPressインストール後の設定ですが、WordPressテーマ(テンプレート)をインストールし、続いてプロフィールの入力、プラグインの順に設定を進めてください。
| WordPressインストール後の設定|手順 |
|---|
| STEP1 |
| WordPressテーマのインストール |
| STEP2 |
| プロフィールの入力 |
| STEP3 |
| WordPressプラグインのインストール・設定 |
STEP1〜STEP3の内容について、順に解説します。
テンプレートのインストール
WordPressを設定したら、WordPressの「テンプレート」にあたる、WordPressテーマ(=テンプレート、以降「WordPressテーマ」と表記)をインストールしましょう。
WordPressテーマをインストールすると、プロデザイナーが作ったような「完成度の高い」ブログやWEBサイトがカンタンに作成できます。
例えば、このユニコブログでは、『STORK19』というWordPressテーマを使っています。
STORK19は検索エンジンが評価するポイントのひとつ「モバイルユーザビリティ」を重視しており、スマートフォンへの最適化や高速表示に強いWordPressテーマです。
また他のWordPressテーマに比べて、デザインの拡張性も高い上に、初心者でも操作・カスタマイズのしやすいよう「直感的操作性」を実現するなど、操作面にも工夫が施されています。
下の記事では、ブログが最も簡単に作れる「WordPressテーマ」を紹介しています。
関連記事:WordPressおすすめブログテーマ10選!有料版と無料版を比較
どのようなWordPressテーマがあるのか、WordPressを設定する前に、ぜひ一度チェックしておいてください。
プロフィール
ブログを作る場合は、「プロフィール」を設定しておいてください。
Googleなどの検索エンジンは、「プロフィール」のあるブログを評価します。
プロフィールがあれば、誰が運営しているのか、実在する人物なのか確認できるからです。
私たちがブログを読む場合にも、「誰が書いたのか」気になりますよね?
例えば、WordPressテーマについて情報収集する場合、全くの素人が書いた記事よりも、WordPressに詳しい専門家やIT業界に携わる人の記事を読みたいと思うものです。
プロフィールは、誰が書いているのか、記事に信憑性があるのか確認する「材料」となります。
WordPress「プロフィール」の設定方法ですが、まず下の画像のようにWordPressの画面上「ユーザー」と書かれた部分をクリックします。
すると下のような「プロフィール」の設定画面が表示されるので、必要な項目を埋めてください
(投稿者の名前は、本名ではなくニックネームで登録できます)。
また「プロフィール」では、運営者の画像も忘れず登録しておきましょう。
せっかく自己紹介やニックネームがあっても、肝心の「著者イメージ」がデフォルトのままでは、信頼性が損なわれます。
例えば このユニコブログでは、下のようなプロフィールを設定し、誰がブログを書いているのか分かりやすく説明しています。
この記事の最後にも、上のプロフィールを載せているのでチェックしてみてくださいね。
プロフィールは読者の方に向けて、誰がブログを書いているのか「自己紹介」をするだけでなく「SEO施策」でも重要な部分です。
できればアイコンなども工夫をし、魅力のあるプロフィール欄に仕上げましょう。
プラグイン設定
プラグインとは、WordPressがより使いやすくなるよう、機能を拡張してくれるプログラムのことです。
例えば SEOのプラグイン、ファイル名を整理するプラグイン、画像の最適化、セキュリティ設定に役立つプラグインなど。
WordPressには無数のプラグインが存在するのですが、目的に合わせて導入し、WordPressの機能が自由にカスタマイズできます。
ただし、プラグインを多く導入しすぎるのはNGです。
プラグインの数が多すぎると、表示速度が落ちるなど、SEO施策的に「悪影響」が生じるからです。
WordPressを快適&安全に使うためには、使用するプラグインは数を絞り、必要最小限におさえましょう。
そう意味では、レンタルサーバーはConoHa WINGでWordPressのテーマはTHE SONICというセットを最近はおすすめしています。
実際、WordPressテーマの中に必要なプラグインがすべて含まれており、新たに設定すべきプラグインの数は限られています。
WordPressで、どのプラグインが必要なのか。
以下の記事では、おすすめのプラグインを10種に厳選し紹介しています。
関連記事:WordPressブログのおすすめプラグイン10選!各プラグイン機能を徹底解説
WordPressの初期設定が終わったら、WordPressテーマをインストールし、プロフィール設定を行ったあと、必要なプラグインを導入しよう。
WordPressで削除しておきたいコンテンツ
WordPressをサクサク快適に使うには、不要なコンテンツを削除しておくことです。
前項「プラグイン」の部分でも説明しましたが、余計なプラグインやコンテンツが残っていると、表示速度が遅くなってしまいSEOに悪い影響が生じます。
またコンテンツ同士の互換性、プラグインとの相性によって、エラーや不具合が出るなどの「リスク」も高まります。
このほかにも、コンテンツやプラグインの数が多くなり過ぎると、管理が煩雑になってしまいます。
ここではWordPressを快適に使うために、WordPressで削除しておきたいコンテンツをまとめてみました。
不要なコンテンツの削除(サンプル等)
WordPressでは、サンプルなど「不要なコンテンツ」を削除しておきましょう。
不要なテーマの削除
WordPressテーマをインストールしたままでは、サンプルサイトやページなどが残ってしまいます。
サンプルの画像、デフォルトで設定されたコンタクト情報、余分なメニューなどはすべてカスタマイズするか削除しましょう。
また使っていないWordPressテーマがあれば、不要なテーマは削除してください。
WordPressを設定すると、デフォルトでテーマが複数含まれています(下の画像を参照)。
例えば上の画像では、デフォルトでTwenty Twenty-OneというWordPressテーマが含まれています。
THE SONICというWordPressテーマを使いたい場合、赤枠で囲った以外のプラグインは不要になります。
どのWordPressテーマを使うのか、決定したら使わないプラグインは削除しましょう。
ただし、使うプラグインの子テーマまで間違って消さないようにしてください
上の場合は、赤枠右側にある「THE SONIC child」が子テーマ)。
子テーマとは親テーマに影響を及ばさずに、カスタマイズできるテーマのこと。
仮に親テーマがバージョンアップされても、子テーマのカスタマイズ内容は消えずに残しておけます。
せっかく設定した内容が消えないように、必ず子テーマを活用してください。
不要なプラグインの削除
WordPressのプラグインも、デフォルトで不要なものがたくさんインストールされています。
下の画像の赤枠で囲んだ部分は、レンタルサーバーConoHa WINGとWordPressテーマ「THE SONIC」に関連する部分です。
上の画像のプラグイン 最上段「Akismet Anti-Spam (アンチスパム)」は、ブログをスパムから守るためのプラグインです。
同じく上の画像中段にある「SiteGuard WP Plugin」もセキュリティに関するプラグインですが、使用するWordPressテーマによっては相性が悪く、エラーなどの不具合が発生しています。
「SiteGuard WP Plugin」の1つ上にあるHello Dollyというプラグインですが、主な機能は「WordPressプラグイン制作の基礎が分かる」だけであり、ブログやWEBサイトの制作には不要なプラグインです。
先程紹介した、
- WordPressテーマと相性の悪いプラグイン
- 使わないプラグイン
など。
不要なプラグインはスッキリ削除しておきましょう
(ただし、必要なプラグインまで誤って消さないように!)。
未分類カテゴリー(Uncategorized)の消し方
ブログ投稿で使わないカテゴリーは、削除しておいてください。
WordPressをインストールすると、デフォルトでは Uncategorized(カテゴリー無し)に設定されています。
なお、ブログを運用する場合、各記事に「どのようなジャンルの記事なのか」カテゴリーを示すことがSEO施策では重要になります。
このためデフォルトのUncategorized(カテゴリー無し)は初期段階で消しておき、新しいカテゴリーを設定しておきましょう。
未分類カテゴリーの削除方法
まず WordPressの画面、「投稿」部分をクリックしてください。
クリックすると、以下のような画面が表示されます。
デフォルトでは「Uncategorized」になったままなので、クリックして他のカテゴリー名に変更しましょう。
次に 下の赤枠で囲った部分に、ブログで使用する予定の「カテゴリー名」を入力してください。
今回はサンプルとして「WordPressテーマ」というカテゴリー名を設定してみました。
次に下の画像、赤枠で囲った部分「スラック」の項目を埋めます。
ここには、先程設定したカテゴリーに適した名称を入力しましょう。
今回は例として、スラックの名称を「wordpress-theme」にしました。
すると下のように、Uncategorizedと新しい「WordPressテーマ」というカテゴリーが追加されているのが分かりますね。
次にWordPressのホーム画面に戻り、「投稿」設定をクリックしてください(下の画像を参照)。
投稿設定画面を開き、投稿の初期設定カテゴリーを先程設定した「新規カテゴリー」に変更してください
(今回の場合は「WordPressテーマ」というカテゴリー名を選択)。
『投稿』設定の中に「カテゴリー」という項目があるのでクリックします(下の画像を参照)。
するとUncategorizedの部分に、先程無かった「削除」のボタンが現れました。
Uncategorizedが不要な場合は、赤い「削除」ボタンをクリックすると(上の画像を参照)カテゴリーが消えます。
初期段階でUncategorizedが削除できなかったのは、投稿の初期設定カテゴリーが「Uncategorized」に設定されていたからです。
Uncategorized以外の新しいカテゴリーを追加し、初期設定のカテゴリーを別のカテゴリーに指定し直すと、デフォルトで設定されていたUncategorizedが削除できるようになります。
「Uncategorizedが消えない」という方は、ぜひ本項の方法を試してください。
メタ情報を「非表示」にする
WordPressの「メタ情報」とは、サイト運営者がログインをしたり、サイトの管理をするために使われる情報のこと。
例えば下の画像は、THE SONICの「メタ情報」を示したものです。
メタ情報が表示される設定にすると、以下のようなメタ情報がサイトに表示されてしまいます。
しかしメタ情報を表示したままでは、サイトを訪問したユーザーに無関係な情報であり、サイトのセキュリティ上も、ログイン画面を残しておくのはリスクがあります。
このため初期の段階で、メタ情報は「非表示」に設定しておいてください。
メタ情報を非表示にする方法はカンタンです。
まずWordPressのトップページ、左側のバーにある「外観」部分をクリックします(下の画像参照)。
そして外観のなかにある「ウィジェット」を選択すると下のような画面が表示されます(今回はTHE SONICを使用)。
下の画像、赤枠の部分がメタ情報の設定項目です。
メタ情報が不要な場合は、画像の左下にある「削除」をクリックするとメタ情報が削除されます。
今回はTHE SONICを使っていますが、他のWordPressテーマでも同じく、上のような「ウィジェット」画面で、メタ情報の設定が行えます。
【WordPressホーム画面→外観→メタ情報】の順に開き、メタ情報を削除しておいてください。
WordPressを快適に使うため、不要なコンテンツ、テーマ、プラグインを削除していこう。
また投稿がしやすいように、未分類カテゴリー(Uncategorized)を消しておくと便利。
メタ情報はサイトセキュリティのためにも、非表示にしておこう。
「最近の投稿」を非表示にする
WordPressは、デフォルトでは投稿したコンテンツ(ブログ記事等)が「最新の投稿」になっています。
非表示の方法は、利用しているWordPressテーマなどでかわってくるのですが、例えば、それらの設定がWordPreeテーマ内で設定出来る一例としては
- WordPressの管理画面にログインします。
- 「外観」をクリックし、「ウィジェット」をクリックします。
- 「最近の投稿」ウィジェットを見つけて、それをクリックします。
- 「表示オプション」セクションで、「タイトルを表示する」チェックボックスをオフにするか非表示にします。
- 「保存」をクリックします。
これは、サイドバーなどでも、ほぼ同じように設定が可能です。
自分でカスタマイズするのがメインのテンプレートを使用している場合は、テンプレートのコードを編集することで「最近の投稿」を非表示にすることもできます。
テンプレートファイル内で、「最近の投稿」を表示するコードを見つけて、それを削除するか、コメントアウトすることで「最近の投稿」を非表示にすることができます。
筆者のおすすめとしては、WordPress内の「設定」→「表示設定」で、「最新の投稿」から「固定ページ」を選択できるように、予めホームページを作成しておき、それをトップページにするのが簡単にできる最新の投稿を非表示にする方法と考えています。
その他|セキュリティの設定
WordPressを安全に使うには、「セキュリティの設定」が必須です。
セキュリティ設定が不十分では、WordPressがウイルスなどに感染して、ブログ読者やサイトを訪れた方達に迷惑をかけることになります。
ここでは「WordPressのセキュリティ設定」で、有効な方法をまとめてみました。
WordPressのセキュリティ設定で、有効な方法 |
|---|
| 管理画面のセキュリティ強化 |
| 管理画面を変更、ユーザー名、ログインパスワードの強化 |
| プログラムのアップデート |
| WordPressテーマ、WordPressプラグインは最新のバージョンにアップデートしておく |
| 重要なファイルにアクセスさせない |
| WordPressの「wp-config.php」ファイルを第三者からアクセスできないようにする。 |
| 使わないプラグインの削除 |
| プラグインの脆弱性を突かれないよう、使わないプラグインは消しておく |
| レンタルサーバーのセキュリティ設定 |
| 使用しているレンタルサーバーのセキュリティ設定も万全にしておく |
それぞれの内容について、さらに詳しく解説します。
管理画面のセキュリティ強化
WordPressを編集する際、毎回「管理画面」にアクセスしますが、管理画面は第三者からもカンタンに表示できます。
実は WordPressの初期段階(デフォルト)では、以下のうちいずれかのURLで「管理画面ログインページ」が開けるよう設定されています。
- https://サイトドメイン/wp-login.php
- https://サイトドメイン/wp-admin
ログインセキュリティを強化するには、ユーザー名やログインパスワードを第三者から推測されにくいものに変えることです。
またログインを二段階認証にしたり、上のログインURLを他のものに変えておきましょう。
WordPressには、便利な「ログインURLを変更する」プラグインが存在します。
最も人気が高いプラグインは、WPS Hide Loginです。
また3つ目のSiteGuard WP Pluginは、日本語で使い方の解説が読めるので便利です。
不正アクセスを防ぐためにも、必ず「ログインURL」の変更は忘れず設定しておいてください。
参考リンク:SiteGuard WP Plugin公式サイト
プログラムのアップデート
使用するWordPress、WordPressテーマ、WordPressプラグイン、プログラムは、常に最新のものにアップデートしておいてください。
各プログラムは、エラーやバグなどの不具合がある度に、問題が改善できるようプログラムを更新しています。
使用するプログラムは、常に最新のものが使えるよう、更新情報の通知が来たら、すぐにアップデートされることをオススメします。
重要なファイルにアクセスさせない
WordPressの中には、各種設定に関わる重要な「設定ファイル」があります。
中でも「wp-config.php」と書かれたファイルは、データベースのID・パスワードまで記載されており第三者に見られてしまうと大変危険です。
対策としては、FTPソフトのファイルの属性(パーミッション)を400にして、所有者以外の者がファイルを読み込めないよう設定することです。
または「wp-config.php」と同じディレクトリにある「.htaccess」に下の文字列を追加することで、第三者のアクセスがブロックできます。
| 1 | <files wp-config.php> |
| 2 | order allow,deny |
| 3 | deny from all |
| 4 | </files> |
また次の設定でも、ログインのIPアドレスを限定してセキュリティ強化が行えます。
| 1 | <files wp-config.php> |
| 2 | order allow,deny |
| 3 | deny from all |
| 4 | Allow from 000.000.000.000 |
| 5 | </files> |
上の設定 赤字で書いた部分には、IPアドレスを指定します。
これで指定したIPアドレス以外からのアクセスはブロックできるようになります。
なお wp-config.php の編集方法は、WordPress公式サイトでも詳しく解説しているので参考にしてください。
参考リンク:wp-config.php の編集方法(WordPress公式サイト)
このあたりはちょっと設定が難しいかもなので、行う場合は慎重にお願いいたします。
使わないプラグインの削除
使わないプラグインがあれば、今すぐ削除しておきましょう。
使わないまま放っておくとセキュリティの脆弱性をついて攻撃される恐れがあります。
またWordPressテーマによっては、相性や互換性の問題から不要なプラグインも出てきます。
WordPressテーマをインストールしたら、どのプラグインが不要なのか見直してください。
レンタルサーバーのセキュリティ設定
レンタルサーバーのセキュリティを設定し、不正ログインや不正アクセスをブロックしましょう。
例えば下の画面は、WordPressで人気の高いレンタルサーバーConoHa WINGのコントロールパネルです。
まず 下の画像、赤枠で囲った「サイトセキュリティ」をクリックします。
ConoHaでは、サイトセキュリティの中に【独自SSL、WAF、ディレクトリアクセス制限、IPアドレス制限、WordPressセキュリティ】の5項目があります。
下の画像は、独自SSLの設定画面です。
独自SSLとは、独自ドメインを暗号化通信に変える機能で、SSL証明を発行することから「安全性の高さ」をアピールできる役割も兼ね備えています。
関連記事:SSLとは?Webサイトの運営で必ず設定しておきたいセキュリティ基礎知識を分かりやすく解説
上の画像「赤枠」で囲った、無料独自SSLを設定しておいてください。
同じくセキュリティ設定の中にあるWAFとは、アプリケーションの脆弱性を付いて攻撃されないよう保護する機能のことです(下の画像参照)。
セキュリティ対策のために、WAFも「オン」にしておきましょう。
下の画面は、前述ConoHa「サイトセキュリティ」にある、WordPressのセキュリティ設定パネルです。
スパムコメントのブロック、海外からのコメントやトラックバックの防止、海外からのアクセスについて、それぞれ制限が行えます。
WordPressセキュリティは、赤枠で囲った部分を「オン/オフ」で切替、設定できます(下の画像参照)。
ちなみにXML-RPC APIとは、異なる環境同士の通信を標準化するための仕様ですが、近年では「脆弱性を可能性」が見つかり、下の「REST-API」が代わりに使われるようになりました。
| XML-RPC APIとREST-API |
|---|
| XML-RPC API |
| 「XML-RPC WordPress API」に対する国外IPアドレス、指定した国内ホスティングサービスからの接続を制限する項目。 |
| REST-API |
| 「REST-API」に対する国外IPアドレス、指定した国内ホスティングサービスからの接続を制限する項目。 |
ちなみにエックスサーバーでは、以下のように設定の注意点をまとめています。
REST-APIについて
“国外IPアドレスからWordPress バージョン5系統をご利用の場合、本機能を「OFF(無効)」にしてください。本機能を「ON(有効)」にすると、記事の編集・保存が行えない場合があります。”
出典元:WordPressセキュリティ設定(エックスサーバー公式サイト)
WordPressのセキュリティ設定は、お使いのレンタルサーバー、WordPressthemeの指示に従って設定してください。
WordPressプラグインのセキュリティ設定
WordPressプラグインには、セキュリティ設定に関するものがあり、セキュリティの代表的プラグインとしてAkismet Anti-Spamが広く使われています。
参考リンク:Akismet Anti-Spam(公式サイト)
↑のプラグインは、コメント欄を使わないのであれば必要ないプラグインです。
WordPressテーマには、あらかじめセキュリティ機能を搭載したものがありますのでご確認ください。
無駄なプラグインを増やさないためにも、使用するWordPressテーマに、どのようなセキュリティ対策が施されているのか。
搭載されている機能や「推奨環境」をチェックしておいてください。
また、繰り返しになりますが、コメント欄自体をなくす場合、Akismet Anti-Spamは必要ないので削除してしまって大丈夫です。
WordPressが安全に使えるよう、管理画面のURLを変更したり、ログインIDやパスワードは第三者に推測されないようセキュリティ対策を万全にしよう。
また重要なファイルにアクセスできないよう、WordPressのファイルを設定したり、使わないプラグインの削除、レンタルサーバーのセキュリティ設定も忘れずに!
WordPressの初期設定でユーザー権限を管理する
基本的に、当サイト(ユニコブログ®)の書いているブログ記事では、1人でブログサイトの運営をする事を前提にしていますが、複数人で1つのWebサイトをWordPressで管理することもあると考えます。
本記事の前半で、「プロフィール」について記載しましたが、この部分のページから、ユーザーの追加や権限レベルまで細部の調整が可能です。
複数人でWebサイトを管理するときは、WordPress内のどこまで変更できるように設定するのか、ユーザー追加による権限レベルは重要な部分になるので、慎重に決めるようにしてください。
まとめ|WordPressの第一歩は初期設定から
今回はWordPressで重要な「初期設定」について解説しました。
WordPressの第一歩は「初期設定」からはじまります。
またWordPressを設定した後も、使う人とサイトを訪れる人の両方が「快適に使えるよう」WordPressテーマ、WordPressプラグイン、レンタルサーバーの設定を万全にしておきましょう!
