WordPress講座2回目となる今回は、WordPressのセキュリティとバックアップについて詳しく解説します。
WordPressをインストールしただけでは、セキュリティ設定は弱く、サイトの不正ログインや情報漏えいなどのリスクがあります。また、WordPressの不具合や誤った操作によるデータの損失も考えられます。
そこで、今回のブログでは、以下の2つの方法について解説します。
- WordPressのセキュリティを強化する方法
- WordPressのデータをバックアップする方法
これらの方法を参考に、安心安全なブログやウェブサイトを構築しましょう。
是非、最後までご覧いただけると嬉しいです。
初めから入っているプラグイン
まずは、初めから入っているプラグインについて説明します。私はConoHa WINGを使用してサーバーを運用しています。
サイドバーからプラグインのなかのインストール済みプラグインを選択します。
ConoHa WINGでWordPressをインストールすると、下記6つのプラグインがインストールされます。そのうち2つは、ConoHa WINGでWordPressインストール時にインストールしています。
- Akismet Anti-Spam: Spam Protection
- ConoHa WING コントロールプラグイン※WordPressインストール時
- ConoHa WING 自動キャッシュクリア※WordPressインストール時
- Hello Dolly
- SiteGuard WP Plugin
- TypeSquare Webfonts for ConoHa
上記のうち、2と3は、既に有効化されています。この中からおすすめのプラグインとして、Site Guard WP Pluginを挙げます。
Site Guard WP Plugin
Site Guard WP Plugin は、WordPressの管理画面とログイン画面を保護し、セキュリティを強化するための無料プラグインです。
ブルートフォース攻撃やパスワードリスト攻撃などの不正ログイン、コメントスパムなどの対策が可能です。また、日本語対応で、設定も簡単です。
WordPressのログイン画面は、通常「https://自分のドメイン/wp-admin/」です。ログイン画面がわかることで、不正ログインの可能性が高くなります。例えるなら、自宅の玄関が分かることで、空き巣に入られるリスクが高まるようなものです。
Site Guard WP Plugin を使用すると、ログイン画面のURLを変更したり、その他のセキュリティ設定があります。WordPressのセキュリティを強化したい方におすすめのプラグインです。
使用する場合は、Site Guard WP Plugin の下にある有効化を選択します。
正常に有効化されると、画面上部に「プラグインを有効化しました。」のメッセージが表示されます。また、「ログインページURLが変更されました」とのメッセージが表示されます。
ログインページのURLは、プラグインを有効化した時点で変更されます。このURLは、後ほど自分でカスタマイズします。万が一忘れてしまった場合は、WordPressの「.htaccess」ファイルに記載されているので、そちらを確認することで確認できます。こちらについては、別のブログで説明しようと思います。
Site Guard WP Pluginの初期設定から私が変更している機能は、以下の2つです。
- ログインページ変更
- ユーザー名漏えい防御
ログインページ変更
ログインページ変更では、初期設定のログインページから別のログインページに変更します。理由は、Site Guard WP Pluginのマニュアルに、ログインページは「login_<5桁の乱数>」と記載されているからです。5桁の乱数ということは、ランダムに作成された数字です。数字だけの場合、見破られる可能性があるため、「login_<5桁の乱数>」から変更してください。
ログインページのURLは、ブックマークして利用することが多いため、可能な限り長めに設定することをおすすめします。パスワードと同様に、長いログインURLを設定することで、不正ログインの可能性を低くすることができます。
また、オプションの「管理者ページからログインページへリダイレクトしない」にチェックを入れます。この設定は、「https://自分のドメイン/wp-admin/」にアクセスした際、変更したログインページにリダイレクト(転送)される設定です。不正ログイン防止のため、ログインページを変更しているに関わらず、変更したログインページにリダイレクトされるとナンセンスなので、こちらの設定はオンにします。
※※変更したログインページのURLは必ず控えて、ブックマークに追加してください。※※
設定後、変更を保存を選択します。
正常に変更されると、「設定を保存しました。」とメッセージが表示されます。
ユーザー名漏えい防御
ユーザー名漏えい防御は、ユーザー名の不正取得を防ぐ機能です。WordPressでは、ドメイン名の後に「wp-json/wp/v2/users」を追加してアクセスすると、WordPressインストール時に設定したユーザー名やその他のユーザー情報が含まれたJSON形式のファイルが表示されます。
https://自分のドメイン/wp-json/wp/v2/users
これを防ぐことができるのが、ユーザー名漏えい防御です。初期設定では無効にになっていますので、有効にします。また、オプションのREST API 無効化にもチェックを入れましょう。
REST APIは、WordPressの外部からデータにアクセスするための機能です。一部のプラグインで使用されていますが、すべてのプラグインで使用されているわけではありません。
REST APIを使用しているプラグインがある場合は、下のリストから除外するプラグインを選択して、上のリストに追加します。REST APIを使用しているかどうかわからない場合は、自分が使用しているすべてのプラグインを除外プラグインに追加しておきましょう。
設定終了後、変更を保存を選択します。
以上で、Site Guard WP Pluginの設定は終わりになります。Site Guard WP Pluginは、ブログサイトなどのセキュリティを高める有効な手段です。ぜひご活用ください。
BackWPup
BackWPupは、WordPressの管理画面から簡単にサイトのバックアップを作成できるプラグインです。データベースやファイル、プラグインなど、サイトの重要なデータをまとめてバックアップできます。また、スケジュール設定やメール通知機能など、さまざまな機能を備えています。
初期設定ではインストールされていないので、まずはインストール方法を説明します。
1.新規プラグイン追加
画面上部の新規プラグインを追加を選択します。
2.BackWPupインストール
右上の検索窓で「BackWPup」を検索します。同じようなプラグインが複数見つかるので、作者が「WP MEDIA SAS」であることを確認し、インストールを選択します。
インストール後、「今すぐインストール」が有効化に変わるので、有効化します。
3.新規ジョブを追加
次に、実際にバックアップの新規ジョブを作成します。
サイドバーのBackWPupをクリックし、新規ジョブを追加をクリックします。
下記項目を入力します。
- このジョブの名前:ジョブの名前を設定します。お好きな名前を設定してください。
- ジョブタスク:どのファイルをバックアップするか選択します。私は初期設定です。
- アーカイブ名:バックアップをアーカイブしたファイルの名称を設定します。私は初期設定です。
- アーカイブ形式:アーカイブ形式を選択します。私は、圧縮率が一番高い「Tar GZip」を選択しています。Tar GZip形式は、圧縮率が高く、ファイル容量を小さく抑えることができます。
- バックアップファイルの保存方法:バックアップファイルの保存先を設定します。私は、WordPressがインストールされているサーバーの「フォルダー」へ保存しています。可能であれば、外部デバイスなどに保存することをオススメします。
- ログの送信先メールアドレス:ログを送信する先のメールアドレスを設定します。自分の所有しているメールアドレスを設定してください。
- メールの送信元:メールの送信元を設定します。自分のメールアドレスを使用します。
- エラー:バックアップ中にエラーが発生したのみ、メールを飛ばす設定です。チェックを入れることをオススメします。
設定後、変更を保存を設定します。
次は、スケジュール タブでスケジュール設定を行います。下記項目の設定を行います。
- ジョブの開始方法:WordPress の cronを選択します。
- スケジューラーの種類:基本を選択します。より細かく設定したい場合は、高度を選択します。
- スケジューラー:スケジュールを設定します。私の場合、ブログの更新は週1なので、毎週に設定しています。毎日ブログを執筆する方は、毎日を選択することをオススメします。時間は、ブログを書いている途中ではなく、空いている時間に行うことをおすすめします。ブログを書いていると、バックアップの処理が重くなり、正常に完了しない可能性があるためです。
最後に変更を保存を選択します。
ちなみに、スケジューラーの種類を高度にした場合は、下記のように細かくスケジュール設定を行うことができます。
その他のDBバックアップ タブやファイル タブの設定は、すべて初期設定のままです。細かくバックアップするDBなどを選択したい場合は、使用してください。
最後に、バックアップを何世代保持するか設定します。
サイドバーからBackWPupをクリックし、ジョブを選択します。
作成したバックアップジョブにカーソルを近づけると、各種設定が表示されるので編集を選択します。
宛先:フォルダー タブを選択します。ファイルを削除の数字が、何世代バックアップファイルを保持するかの設定です。
初期設定では、15世代のバックアップファイルを保持しますが、数が多いほどサーバー容量を消費します。
バックアップを使用する目的は、データの消失や破損に備えて、過去のバックアップファイルからデータを復元できるようにすることです。
私は、サーバーの使用容量を節約するため、3世代に設定しています。
設定後、変更を保存を選択します。
以上で、BackWPupのインストールと設定は終わりになります。WordPressのバックアップは、誤ってブログを削除した場合などの際に、データを戻すことができる機能です。必ずバックアップを設定しておきましょう。
まとめ
本日は下記3点について説明しました。
- 初めから入っているプラグイン
- Site Guard WP Plugin
- BackWPup
WordPressでブログやウェブサイトを運営する際、サイトのセキュリティとバックアップは、ブログの健全な運営のために欠かせない必須設定です。今回紹介した方法を実践することで、あなたのブログをより安全で安心なものにすることができます。
次回のブログでは、問い合わせフォームの作成方法について説明します。
これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!
それでは、次回のブログで!