WordPressのセキュリティについて
この記事を読むのに必要な時間は約 8 分です。
(専門用語などにはポップアップする説明をつけているので時間が長く表示されることがあります。
ツールチップの機能については、こちら)
くまはちLABがWordPressのセキュリティについてうるさい理由
WordPress(ワード プレス)はオープンソースのCMSであることから世界中で使われていると同時に、数多く使われているため不正アクセスを受けやすいと言われています。
そのためWordPressを利用している方は、
- 他のシステムに乗り換えた方が良いの?
- 乗り換えるのは大変だからWordpress使いたいけどセキュリティ面が不安
- WordPressのセキュリティ対策方法を知りたい!
と思っていませんか?セキュリティ面であまり良い噂を聞かないWordPressも、しっかりと対策をしておけば大丈夫!
当記事では、WordPressサイトを安全に運営するために、絶対にやっておきたいセキュリティ対策についてまとめてみました。できるところから始めてみましょう。
wp-config.phpのパーミッション変更と外部からのアクセス禁止
WordPressをインストール時にこの画面で設定するデータが格納されるファイルそれがwp-config.phpです。
これが、外部からアクセスできるとデータベースのIDやパスワードなどが流出する可能性もあり危険なのです。
インストールが完了したらパーミッション(属性)を変更します。

この666→400に変更します。
この変更には、FFFTPでの変更を推奨しています。
→ FTPの使い方
→ FTPにマイサーバーを設定する
.htaccessファイルへ以下の記述を追加します。
IDが丸見えにならないように設定する
まず、IDにはadminを使わないこと
/* 投稿者アーカイブにアクセスカスタマイズ
/*————————————————*/
add_filter( ‘author_rewrite_rules’, ‘__return_empty_array’ );
function disable_author_archive() {
if( $_GET[‘author’] || preg_match(‘#/author/.+#’, $_SERVER[‘REQUEST_URI’]) ){
wp_redirect( home_url( ‘/404.php’ ) );
exit;
}
}
add_action(‘init’, ‘disable_author_archive’);
これによりオーナーIDがページとして表示されず404ページ(ページがありません)という表示になります。
アップデートをコマめにしておく!
WordPress本体の脆弱性対策のために、WordPress本体やテーマ・プラグインの新しいバージョンが公開されたときはすぐにアップデートしましょう。WordPressのバージョンアップには「メジャーアップデート」と「マイナーアップデート」の2種類があります。

Akismetを有効化しておく
このプラグインは、わざわざインストールする必要ありません。
WordPressインストール時に最初からインストールされているプラグインになります。
コメントやContact Form 7などと連携できるので赤枠内の有効化をクリックして有効化します。
赤枠のボタンをクリックしてAkismetのアカウント設定をします。
外部サイトに接続し、英語のページが出てきたりしますが、決しておかしなページではありません。
無料で利用可能ですが、APIキーを取得する必要があります。
赤枠のボタンをクリックします。
ここから外部ページの英語サイトになります。
赤枠のボタンをクリックします。
さっき無料と書きましたが・・・・
見ると4500円/年と表示されていますが・・・
ご安心を・・・
これは、できれば寄付してください。と言う意味で・・・
できないのでこの金額をスライダーで左へ移動させます。
ドラッグアンドドロップで左へスライドさせます。
すると上の画像のように左側が上の画像のように変更されます。
名前と使用するサイトアドレスを入力します。
赤枠のボタンをクリックします。
赤枠の「Activate this site」をクリックして有効化します。
上記と同じようにして「変更を保存」をクリックします。
これでプラグインが有効化されました。
コメントなどでスパムが少し減るかもです。
![]() |
くまはちLABのご利用ありがとうございます! |