WordPressのインストール方法・セキュリティ重視 3つのポイント
2014/12/07
WordPressのインストール方法解説
WordPressをインストールするための準備
WordPressのインストール方法は、ググっていただくと大量に出てきます。
同じことを書いても意味がありませんので、この記事ではやや趣を変えて、セキュリティを強化するための設定を初期設定で行いながらインストールする方法を解説していきます。
また、WordPressはデータベースを利用しますので、データベースに接続する情報を事前に用意しておくと設定がスムーズに進みます。
レンタルサーバを契約した時にメールや郵送で送られてきた設定情報の中に書かれていると思います。
データベースに関しては「WordPress初心者向け講座・詳細解説データベースとは何か?」という記事も書いていますので、良ければ参考にしてみてください。
また、WordPressをインストールし、今後運用していくには FTPソフトやテキストエディタなどが必要となります。
それらの紹介記事を「WordPressで使うおススメ FTP、テキストエディタ、圧縮解凍ソフト」に書いていますので、良ければ参考にしてみてください。
ちなみに、Windowsにアプリケーションをインストールすると設定ファイルが OSに組み込まれたりしますが、WordPressは WordPressのフォルダ+データベースだけで動いていますので、インストール失敗しても WordPressのフォルダを削除すれば元に戻ります。
何かに躓いたり、失敗しても、何度でも消して再インストールを試せますので、安心してインストールすればいいでしょう。
WordPressのダウンロード・ファイルのアップロード
WordPressオフィシャルサイト・日本語版
http://ja.wordpress.org/
WordPressのオフィシャルサイトから、WordPressの最新版をダウンロードします。
ダウンロードして取得した ZIPファイルを解凍し、wordpressフォルダの中のフォルダ、ファイルをすべてサーバにアップします。
wordpressフォルダの中身というのは、「wp-admin」「wp-content」「wp-includes」などのフォルダや同じ階層にあるファイル一式です。
ただし、アップロードするフォルダには一工夫しておいた方がいいでしょう。
WordPressや baserCMSなどは、動作をするうえで「.htaccess」というサーバ内でのアクセスの制御を行う設定ファイルを利用しています。
ですが、このファイルはアクセス制限を行う Basic認証にも利用していまして、ロリポップなどのレンタルサーバのコントロールパネルの機能を使って Basic認証の設定などを行うと WordPressで使用している記述まで改変、削除してしまう可能性があるため、同じ階層で利用しない方がいいという問題があります。
詳しくは「ロリポップでWordPress+Basic認証で不具合発生!回避方法解説」に書いていますので参考にしてください。
WordPressインストール
WordPressのファイルをサーバにアップしたら、さっそく WordPressのファイルをアップロードした場所にブラウザでアクセスしてみましょう。
「wp-config.php ファイルが見つかりません。」と出てきますが、正常な動作です。
「設定ファイルを作成する」をクリックします。
表示される内容を読んで、「さあ、始めましょう!」をクリックします。
データベースへの接続情報とインストールする WordPressで利用するデータベースのテーブル名の接頭辞を決めます。
データベース名称、ユーザ名、パスワード、ホスト名は、レンタルサーバの契約時に送られてきた資料などを見ながら入力します。
セキュリティ向上ポイント・テーブル接頭辞を変更する
ここで一つ目のセキュリティを向上させるポイントがあります。
それが「テーブル接頭辞の変更」です。
WordPressが利用するテーブル名は決まっています。
そして、テーブル接頭辞は「wp_」がデフォルトで設定されています。
そのため、デフォルトのまま設定をしてしまうと、テーブル名称が誰にでも分かってしまう状況になってしまいますので、セキュリティ上のリスクを高めます。
そのため、WordPressをインストールする際に、テーブル接頭辞であるこの「wp_」部分を好きなものに変更しておきましょう。
「wp_」の部分を、例えば「s_giken_」や「blog_」といった文字列に変えておくといった感じです。
これだけで、テーブル名称が簡単には分からなくなりますので、リスクはぐっと小さくなります。
後からも無理やり変更することはできますが、不具合の原因になりますのであまりお勧めはできません。できる限り、インストール時に対応を行っておきましょう。
テーブルの接頭辞の説明やインストール後に変更する手順などが書いてありますので、参考になります。
http://goo.gl/0bcy7R
WordPressを複数インストールする際のポイント
WordPressを一つのレンタルサーバに複数個インストールすることも可能です。
ただし、その場合は、ここで設定する「テーブル接頭辞」をインストールする WordPressごとに設定する必要があります。
例えば、1個目のブログには「blog1_」として、2個目のブログには「blog2_」とするといった感じです。
それだけで複数の WordPressをインストールして管理することができます。
話をインストールに戻します。
「インストール実行」をクリックします。
「サイト名」「ユーザ名」「パスワード」「メールアドレス」を入力します。
「サイト名」「パスワード」「メールアドレス」は後から変更できますので仮のもので全く問題ありません。
「ユーザ名」「パスワード」は WordPressの管理画面にログインするための情報です。
なるべく長めの文字列で設定した方がいいでしょう。
メールアドレスは公開される情報ではありません。
インストールの完了の連絡や、WordPressのバージョンアップの連絡や、コメント投稿があった場合の連絡などに使われるメールアドレスですので、正しいアドレスを入力しましょう。
セキュリティ向上ポイント・ユーザ名に adminを使わない
2つ目のセキュリティ向上ポイントは、ユーザ名に「admin」を使わない」ということです。
WordPressでは、デフォルトで「admin」が設定されていますが、決してそれをそのまま利用してはいけません。
なぜなら、WordPressユーザの多くは「admin」のまま使っていることもあり、そのまま使っていることで不正アクセスをされる原因になるためです。
詳しくは、「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」を参照してください。
また、上記のページを見ていただくと分かりますが、ユーザ名は後からでも設定できますので、運用中に「ユーザ名が漏えいした!ユーザ名を変更したい!」という場合なども参考にしていただければ、と思います。
※最新版の WordPress 3.9.2で確認したところ、デフォルトで「admin」が編集されてはおらず、ブランクで表示されていました。
あまりにも「admin」のまま使うユーザが多いために変更したのかもしれません。
セキュリティ向上ポイント・プライバシー設定
3つ目のセキュリティ向上ポイントは、「プライバシー設定」です。
ここは「検索エンジンによるサイトのインデックスを許可する。」と書いてある通り、検索エンジンにインデックスを許可するか、否かの設定を行う部分です。
ですが、WordPressをインストールした直後から公開して OKという場合は少なく、各種設定や調整を経て公開するという流れだと思います。
ですが、「検索エンジンによるサイトのインデックスを許可する。」にチェックを入れておくと、WordPress設定終了直後から検索エンジンが来てしまうこともあるため、このチェックは外しておきましょう。
ここでチェックを外してインストールしても、公開後に「検索エンジンによるサイトのインデックスを許可する。」にチェックをすることもできますので問題ありません。
公開後の対応については「Smart Update PingerでWordPressのPing・更新情報サービスを拡張する」に記事を書いていますので参考にしてください。
各情報を入力したのち、「WordPressをインストール」をクリックするとインストールが開始されます。
データベースのテーブル構築をはじめ各ファイルの設定を行いますので、30秒程度かかりますが、インストールが終了すると上記の画面が表示されます。
これで WordPressは正常にインストールされました。
これ以降は、ログイン画面から管理画面にログインする流れになりますので、「ログイン」をクリックします。
これがログイン画面です。
URLは↓こんな感じだと思います。
http://{WordPressをインストールしたURL}/wp-login.php
今後もこの URLが管理画面の URLになりますので書き留めておくか、お気に入りに入れておきましょう。
ID、PASSを入力して「ログイン」をクリックするとログインして、ダッシュボードが表示されます。
これ以降は、各種の設定を行い、WordPressでのサイト運営が始まります。
ちなみに、管理画面はブラウザのウインドウの横サイズによってメニューの表示のされ方が変わります。
上記の画面は左メニューがアイコンだけしか表示されていませんが、ウインドウの横サイズが十分にある場合は、メニューにはテキストも含めて表示されます。
WordPressセキュリティに関する記事
WordPressを運用するに当たって必要なセキュリティに関する記事をいくつか書いていますので、あわせてそちらも参考にしてみてください。
WordPressのユーザ名を後から変更する方法。adminの使用は危険。
WordPressの管理画面ログインURLの変更方法解説
WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説
Basic認証をファイル単位・URL単位で設定する方法の解説
Basic認証の.htaccess、.htpasswd生成ツールと解説
GoogleAdwords
GoogleAdwords
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!
関連記事
-
WordPressのCrayon Syntax Highlighterの使い方
PHP、HTMLなどのソースコードを紹介する際に見やすく編集してくれる Crayon Syntax Highlighterの設定の方法、利用方法の解説です。
-
BackWPupでバックアップ・Jobの設定・保存する情報の設定
BackWPupその2。Jobのバックアップの基本部分と対象の設定についての解説。
-
テキストエディタ秀丸で正規表現による置換の方法の解説
秀丸で正規表現による置換を行うポイントを紹介。置換をしながら特定のキーワードは置換せずに置換結果に残す方法を実例を上げながら解説しています。
-
WordPressの送信メールが協定世界時(UTC・グリニッジ標準時)の問題対応
WordPressから送信されてくるメールが9時間ずれている。その不具合の解消方法と根本原因の解説です。date_default_timezone_set();の設定を変更で対応できます。
-
WordPress投稿にPHPを記述するショートコードの使い方add_shortcode
WordPressの投稿ページで PHPの処理を行うには add_shortcode関数を使ったショートコードという機能を利用します。
-
WordPressのユーザ名を後から変更する方法。adminの使用は危険。
運用中のユーザ名を変更する方法を解説。かつてのデフォルト設定だった「admin」は誰もが使うIDのため非常に危険です。今からでも変更しましょう。
-
WordPressのバージョンアップをしたら「the_content」でコンテンツが表示されなくなった
「the_content」でコンテンツが表示されないのは仕様が変更されたためでプログラムの修正が必要です。
-
XAMPP環境で WP-DBMANAGERでの復元でDBが壊れる
XAMPP環境で WordPressの WP-DBMANAGERを利用して DBの復元をしたら DBが壊れた。
-
WordPressのメディアの設定解説・uploadsフォルダの変更方法
メディアの設定に関する解説。管理画面から変更できなくなったuploadsフォルダの変更方法についても解説。
-
BackWPupでバックアップ・リストア(復元)の具体的手順
BackWPupその9。バックアップファイルからのリストア(復元)の手順です。