WordPressのインストール方法・セキュリティ重視 3つのポイント
2014/12/07
WordPressのインストール方法解説
WordPressをインストールするための準備
WordPressのインストール方法は、ググっていただくと大量に出てきます。
同じことを書いても意味がありませんので、この記事ではやや趣を変えて、セキュリティを強化するための設定を初期設定で行いながらインストールする方法を解説していきます。
また、WordPressはデータベースを利用しますので、データベースに接続する情報を事前に用意しておくと設定がスムーズに進みます。
レンタルサーバを契約した時にメールや郵送で送られてきた設定情報の中に書かれていると思います。
データベースに関しては「WordPress初心者向け講座・詳細解説データベースとは何か?」という記事も書いていますので、良ければ参考にしてみてください。
また、WordPressをインストールし、今後運用していくには FTPソフトやテキストエディタなどが必要となります。
それらの紹介記事を「WordPressで使うおススメ FTP、テキストエディタ、圧縮解凍ソフト」に書いていますので、良ければ参考にしてみてください。
ちなみに、Windowsにアプリケーションをインストールすると設定ファイルが OSに組み込まれたりしますが、WordPressは WordPressのフォルダ+データベースだけで動いていますので、インストール失敗しても WordPressのフォルダを削除すれば元に戻ります。
何かに躓いたり、失敗しても、何度でも消して再インストールを試せますので、安心してインストールすればいいでしょう。
WordPressのダウンロード・ファイルのアップロード
WordPressオフィシャルサイト・日本語版
http://ja.wordpress.org/
WordPressのオフィシャルサイトから、WordPressの最新版をダウンロードします。
ダウンロードして取得した ZIPファイルを解凍し、wordpressフォルダの中のフォルダ、ファイルをすべてサーバにアップします。
wordpressフォルダの中身というのは、「wp-admin」「wp-content」「wp-includes」などのフォルダや同じ階層にあるファイル一式です。
ただし、アップロードするフォルダには一工夫しておいた方がいいでしょう。
WordPressや baserCMSなどは、動作をするうえで「.htaccess」というサーバ内でのアクセスの制御を行う設定ファイルを利用しています。
ですが、このファイルはアクセス制限を行う Basic認証にも利用していまして、ロリポップなどのレンタルサーバのコントロールパネルの機能を使って Basic認証の設定などを行うと WordPressで使用している記述まで改変、削除してしまう可能性があるため、同じ階層で利用しない方がいいという問題があります。
詳しくは「ロリポップでWordPress+Basic認証で不具合発生!回避方法解説」に書いていますので参考にしてください。
WordPressインストール
WordPressのファイルをサーバにアップしたら、さっそく WordPressのファイルをアップロードした場所にブラウザでアクセスしてみましょう。
「wp-config.php ファイルが見つかりません。」と出てきますが、正常な動作です。
「設定ファイルを作成する」をクリックします。
表示される内容を読んで、「さあ、始めましょう!」をクリックします。
データベースへの接続情報とインストールする WordPressで利用するデータベースのテーブル名の接頭辞を決めます。
データベース名称、ユーザ名、パスワード、ホスト名は、レンタルサーバの契約時に送られてきた資料などを見ながら入力します。
セキュリティ向上ポイント・テーブル接頭辞を変更する
ここで一つ目のセキュリティを向上させるポイントがあります。
それが「テーブル接頭辞の変更」です。
WordPressが利用するテーブル名は決まっています。
そして、テーブル接頭辞は「wp_」がデフォルトで設定されています。
そのため、デフォルトのまま設定をしてしまうと、テーブル名称が誰にでも分かってしまう状況になってしまいますので、セキュリティ上のリスクを高めます。
そのため、WordPressをインストールする際に、テーブル接頭辞であるこの「wp_」部分を好きなものに変更しておきましょう。
「wp_」の部分を、例えば「s_giken_」や「blog_」といった文字列に変えておくといった感じです。
これだけで、テーブル名称が簡単には分からなくなりますので、リスクはぐっと小さくなります。
後からも無理やり変更することはできますが、不具合の原因になりますのであまりお勧めはできません。できる限り、インストール時に対応を行っておきましょう。
テーブルの接頭辞の説明やインストール後に変更する手順などが書いてありますので、参考になります。
http://goo.gl/0bcy7R
WordPressを複数インストールする際のポイント
WordPressを一つのレンタルサーバに複数個インストールすることも可能です。
ただし、その場合は、ここで設定する「テーブル接頭辞」をインストールする WordPressごとに設定する必要があります。
例えば、1個目のブログには「blog1_」として、2個目のブログには「blog2_」とするといった感じです。
それだけで複数の WordPressをインストールして管理することができます。
話をインストールに戻します。
「インストール実行」をクリックします。
「サイト名」「ユーザ名」「パスワード」「メールアドレス」を入力します。
「サイト名」「パスワード」「メールアドレス」は後から変更できますので仮のもので全く問題ありません。
「ユーザ名」「パスワード」は WordPressの管理画面にログインするための情報です。
なるべく長めの文字列で設定した方がいいでしょう。
メールアドレスは公開される情報ではありません。
インストールの完了の連絡や、WordPressのバージョンアップの連絡や、コメント投稿があった場合の連絡などに使われるメールアドレスですので、正しいアドレスを入力しましょう。
セキュリティ向上ポイント・ユーザ名に adminを使わない
2つ目のセキュリティ向上ポイントは、ユーザ名に「admin」を使わない」ということです。
WordPressでは、デフォルトで「admin」が設定されていますが、決してそれをそのまま利用してはいけません。
なぜなら、WordPressユーザの多くは「admin」のまま使っていることもあり、そのまま使っていることで不正アクセスをされる原因になるためです。
詳しくは、「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」を参照してください。
また、上記のページを見ていただくと分かりますが、ユーザ名は後からでも設定できますので、運用中に「ユーザ名が漏えいした!ユーザ名を変更したい!」という場合なども参考にしていただければ、と思います。
※最新版の WordPress 3.9.2で確認したところ、デフォルトで「admin」が編集されてはおらず、ブランクで表示されていました。
あまりにも「admin」のまま使うユーザが多いために変更したのかもしれません。
セキュリティ向上ポイント・プライバシー設定
3つ目のセキュリティ向上ポイントは、「プライバシー設定」です。
ここは「検索エンジンによるサイトのインデックスを許可する。」と書いてある通り、検索エンジンにインデックスを許可するか、否かの設定を行う部分です。
ですが、WordPressをインストールした直後から公開して OKという場合は少なく、各種設定や調整を経て公開するという流れだと思います。
ですが、「検索エンジンによるサイトのインデックスを許可する。」にチェックを入れておくと、WordPress設定終了直後から検索エンジンが来てしまうこともあるため、このチェックは外しておきましょう。
ここでチェックを外してインストールしても、公開後に「検索エンジンによるサイトのインデックスを許可する。」にチェックをすることもできますので問題ありません。
公開後の対応については「Smart Update PingerでWordPressのPing・更新情報サービスを拡張する」に記事を書いていますので参考にしてください。
各情報を入力したのち、「WordPressをインストール」をクリックするとインストールが開始されます。
データベースのテーブル構築をはじめ各ファイルの設定を行いますので、30秒程度かかりますが、インストールが終了すると上記の画面が表示されます。
これで WordPressは正常にインストールされました。
これ以降は、ログイン画面から管理画面にログインする流れになりますので、「ログイン」をクリックします。
これがログイン画面です。
URLは↓こんな感じだと思います。
http://{WordPressをインストールしたURL}/wp-login.php
今後もこの URLが管理画面の URLになりますので書き留めておくか、お気に入りに入れておきましょう。
ID、PASSを入力して「ログイン」をクリックするとログインして、ダッシュボードが表示されます。
これ以降は、各種の設定を行い、WordPressでのサイト運営が始まります。
ちなみに、管理画面はブラウザのウインドウの横サイズによってメニューの表示のされ方が変わります。
上記の画面は左メニューがアイコンだけしか表示されていませんが、ウインドウの横サイズが十分にある場合は、メニューにはテキストも含めて表示されます。
WordPressセキュリティに関する記事
WordPressを運用するに当たって必要なセキュリティに関する記事をいくつか書いていますので、あわせてそちらも参考にしてみてください。
WordPressのユーザ名を後から変更する方法。adminの使用は危険。
WordPressの管理画面ログインURLの変更方法解説
WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説
Basic認証をファイル単位・URL単位で設定する方法の解説
Basic認証の.htaccess、.htpasswd生成ツールと解説
GoogleAdwords
GoogleAdwords
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!
関連記事
-
-
WordPressの一般設定 投稿設定 表示設定 ディスカッション メディア
基本的な設定を行う「設定」の解説です。ブログサイトを構築する際に必要な設定内容を一般設定、投稿設定、表示設定などの各項目を説明しながら設定内容を提示しています。
-
-
BackWPupでバックアップ・設定したJobの実行、ファイル一覧
BackWPupその4。バックアップ設定した Jobを実行する方法、ログの一覧、保存されたファイル一覧の解説です。
-
-
WordPress初心者向け講座・詳細解説データベースとは何か?
データベースとは何か?を言葉の意味の説明なども含めエクセルと比較しながら説明しています。
-
-
WordPressのサイトマップ生成ツールPS Auto Sitemapの使い方
サイトマップを PS Auto Sitemapで自動生成する方法を説明します。このプラグインは Google用のサイトマップではなく一般ユーザが見るためのサイトマップページを作ります。
-
-
WordPressに Favicon(ファビコン)を設定する(プラグイン必要なし)
WordPressに Favicon(ファビコン)をプラグインなしで設定する方法をサンプルソース付きで説明します。
-
-
WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する
ログインURLは誰でも知っています。そのまま使うとリスクが高まりますのでログインURLを変更し Basic認証で二重チェックをする方法を解説。
-
-
WordPressの不正ログインを Edit Author Slugで回避
WordPressのセキュリティ強化に Edit Author Slugを使う理由と設定方法の解説をしています。
-
-
WordPressのコメントスパム対策 3つのプラグイン
対策なしではコメントスパムがやってきます。その対策方針としてプラグインを提示しながら解説します。いずれかの対策は必須です。
-
-
FC2からWordPressに引越しの際のデータ加工方法の解説
FC2からWordPressに引越しの際にデータを加工する必要がありますが、その加工方法の詳細を解説。秀丸の正規表現による置換を使い作業時間も軽減する方法や加工のポイントも解説。
-
-
Smart Update PingerでWordPressのPing・更新情報サービスを拡張する
WordPressの Ping機能、更新情報サービスのプラグイン Smart Update Pingerの使い方と問題点。