あなたは大丈夫？WordPressで最初にやるべき3つのセキュリティ設定

 

こんにちは、MOZUです。

当ブログをWordPressに移行してからもう直ぐ1ヶ月が経とうとしています。

WordPress初体験なので初めは少し手間取りましたが、大よそ必要となる設定などを済ませ、なんとか落ち着きを取り戻しました。

ブログタイトルや見出しなどのデザイン設定も一通り行ったので、少しはブログの見栄えも整ったんじゃないかと自己満足しています。

初めてのWordPressに悪戦苦闘することを覚悟のうえで移行したのですが、実際に触ってみるとそれほど大変ではなかったかな、と思います。

むしろ楽しめたかも♪

はてなブログでは大変だったカスタマイズや機能追加がWordPressでは簡単に出来ちゃうことが多いので、移行して良かったと改めて思いました。

はてなブログでHTMLやCSSをいじってカスタマイズしている人なら、すんなり入り込めるんじゃないかと思います。

さて、今回は私がWordPressで最初に行ったセキュリティ設定についてご紹介します。

その設定をするに至ったきっかけは、ある有益なブログ記事との出会いによるものでした。

絶対危険！最初にやるべきセキュリティ設定

WordPressに移行してまず最初に何をするべきなのか？

やらなきゃいけないことが山ほどありそうですが、いったい何からやればいいのやら？状態なので、まずはネット検索してみることに。

「wordpress 最初」

と検索してみると、検索結果の上位に表示された記事が目に飛び込んできました。

「絶対危険！最初にやるべきWordPressブログのセキュリティ初期設定3選」

とっても目を引くタイトルの記事です。

WordPressの初期設定のままだと、WordPress管理画面へのログイン情報が簡単に第三者に知られてしまう可能性がある、という内容の記事です。

そりゃマズイです。

WordPressは世界一有名なCMSなので利用している人がたくさんいます。

その一方で、WordPressの弱点を探し出してブログやサイトの乗っ取りを企てる悪者もたくさんいるというのです。

はてなブログなどのブログサービスからWordPressに移行するということは、ブログ運営の全てが自己責任となることを意味しますので、自分のブログは自分で守らなければなりません。

こちらの記事の筆者である「リクさん」曰く、WordPressを始めたら、何はともあれ、まずはやるべき3つのセキュリティ設定があって、

その設定をしないと、

全世界に向けてケツ丸出しにしてるのと同じくらい危険

というのです。

さぁ大変です！

全世界に向けてケツ丸出しは恥ずかし危険すぎるので、

さっそく記事を参考にさせてもらい、設定をしました。

「メタ情報」ウィジェットを使用停止にする

WordPressにはページの表示を簡単にカスタマイズすることが出来るウィジェットという便利な機能があります。

そのウィジェットのひとつに「メタ情報」というものがあって、初期設定ではこのメタ情報ウィジェットがサイドバーに置かれており、

なんと、

WordPress管理画面へのログインURLが丸見え

になっているのです。

どんな感じで丸見えかというと、

ブログのサイドバーに「ログイン」と表示されており、ここをクリックすれば誰でも私のWordpress管理画面のログインページに行くことが出来ちゃうのです。

ログインページに行くことが出来てもユーザー名（ログイン名）とパスワードが分からなければログインすることは出来ませんが、わざわざ私だけが知っていれば良いログインページのURLを第三者に晒しておく必要はありません。

さっそく、この状態を改善するためにサイドバーからメタ情報ウィジェットを削除しました。

WordPressの管理画面メニューで「外観」→「ウィジェット」と進み、その中にある「サイドバー」から「メタ情報」を削除します。

これで、サイドバーにあった「ログイン」の表示が無くなりました。

ニックネームをデフォルトから変更する

WordPressではプロフィール情報として、次の3つの名前を設定することになります。

ユーザー名・・・WordPress管理画面へのログイン名。変更することは出来ない。

ニックネーム・・・好きな文字列で設定できるニックネーム

ブログ上の表示名・・・ブログ上で表示される名前。ユーザー名かニックネームを選ぶ。

ここで問題なのは、WordPressの初期設定では、

ニックネームがユーザー名と同じになっている

ということです。

ニックネームはプロフィール情報としてブログ上に表示される可能性がありますし、参照元記事の筆者曰く、ちょっと知識のある人ならニックネームを知ることは難しいことではないそうです。

つまり、初期設定のままだとWordPress管理画面にログインするためのユーザー名（ログイン名）が簡単に第三者に知られてしまうわけです。

わたくし、WordPressのユーザー名を決めるにあたっては、ユーザー名がログイン名となることを前提にブログ名やニックネームからは推測されないユーザー名を考えて登録したんです。

それなのに、ユーザー名（ログイン名）が簡単に晒されてしまっては何の意味もありませんから、さっそく対策しましょう。

WordPressの管理画面メニューで「ユーザー」→「あなたのプロフィール」と進み、その中にある「ニックネーム」と「ブログ上の表示名」を変更します。

私の場合は、ニックネームを「MOZU」に変更。

ブログ上の表示名は、プルダウンで「ユーザー名」か「ニックネーム」を選べるので、ニックネームのMOZUを設定しておきます。

これでニックネームの対策が完了です。

ユーザー名（ログイン名）が丸見えになるのを防ぐ

ここまで2つの対策を済ませ、残るはあと１つ。

最後の1つもユーザー名（ログイン名）が丸見えになるのを防ぐ対策です。

まずは、自分のブログのトップページURLのあとに

/?author=1

を付けてアクセスしてみましょう。

当ブログの場合は、

https://miler-nabj.com/?author=1

としてアクセスします。

何も対策していないと、

サイトURL/author/ユーザー名（ログイン名）

と表示されてしまいます。

これではWordPress管理画面にログインするための大事な情報が第三者に晒されている状態ですから、これも対策せねばなりません。

この対策には、「Edit Author Slug」というプラグインを使います。

プラグインはWordPressに機能を追加することが出来る追加プログラムです。多種多様なプラグインがあるので、色々な機能を簡単に拡張できるのもWordPressの魅力の1つですね。

Edit Author SlugをWordPressにインストールして簡単な設定をすれば、ユーザー名（ログイン名）が丸見えになる問題を直ぐに解消できました。

Edit Author Slugをインストール

まずは、WordPressに「Edit Author Slug」をインストールします。

WordPressの管理画面メニューで「プラグイン」→「新規追加」と進み、右上にある検索ボックスに「Edit Author Slug」と入力します。

Edit Author Slugが出てきたら、インストールして有効化します。

Edit Author Slugの設定

インストールできたら、Edit Author Slugの設定をします。

WordPressの管理画面メニューで「ユーザー」→「あなたのプロフィール」と進むと、Edit Author Slugの設定項目があるので、その「投稿者スラッグ」を変更します。

ラジオボタンで選べるようになっているので、一番下の「カスタム設定」を選び、ユーザー名（ログイン名）が推測されない文字列に変更します。

私の場合は「nabj」にしました。

変更したら、ブログのトップページURLのあとに/?author=1を付けて表示されるURLを確認しましょう。

このように、Edit Author Slugで設定した文字列が表示されれば対策完了です。

あなたは大丈夫？

今回は、私がWordPressを始めて最初に設定したセキュリティ設定について書きました。

WordPressを使っている人は本当にたくさんいると思いますが、初期設定のままだと大事な情報が丸見えになっているなんて思いませんよね？

WordPressの管理画面にログインするために必要な3つの情報、

このうちの2つが丸見えなんて危険過ぎます。

WordPressがどうしてそんな危険な状態を初期設定としているのかは謎ですが、それに対するセキュリティ設定を紹介している「リクさん」という方のブログ記事に出会えてラッキーでした！

そうじゃなかったら今でも、

全世界に向けてケツ丸出し

になっていたかもしれません。

この記事をリクさんが見て下さる機会があるのかは分かりませんが、お礼を申し上げます。

リクさん、ありがとうございます！

みなさんのWordPressのセキュリティ設定は大丈夫ですか？

この記事を読んで心配になられた方は、全世界に向けてケツ丸出しになっていないか確認してみることをおすすめします。