WordPress初心者が知っておくべきこと:初期設定と.htaccessでセキュリティ強化&おすすめプラグイン

「お名前.com」「ロリポップ」を利用し、WordPressでブログやWebサイトを運営する場合の初期設定を、順を追って詳しく解説していきます。他のドメイン取得サービスやレンタルサーバーでも共通するところが多くあるので、参考にしてみてください!
スポンサーリンク

独自ドメインの取得

お名前.comがオススメです。取得する手順と、自動更新をする際の注意点については、以下のブログ記事をご覧下さい。

お名前.comで独自ドメインを取得する方法&自動更新の注意点
独自ドメインを取得するお名前.comにアクセスしたら、取得したいドメインを検索してみましょう。欲しいアドレスが見つかったら、カートに入れて「次へ進む」をクリックします。「情報入力」に遷移するので、初めての方はお名前IDを発行し、既にお...

他のドメイン取得サービスも検討したい方は、次のブログ記事を参考にしてください。

独自ドメインを取得する時におすすめの会社 7選 サービスの特徴と料金比較
独自ドメインは、会社によって「新規取得の初年度費用」と「更新費用」が異なる場合があるので注意が必要です。独自ドメインを取得する時にオススメな会社7選(お名前.com、ムームードメイン、バリュードメイン、スタードメイン、エックスドメイン、ゴンベエドメイン、名づけてねっと)
スポンサーリンク

レンタルサーバーと契約する

初心者の方は、低料金のロリポップ!がオススメです。本格的に始める方は、エックスサーバーをオススメします。Xserverは料金が割高な分、サーバーが安定していてページの読み込み速度も早く、性能が良いです。

PageSpeed Insights

Googleのページ読み込み速度テストツールです。「サイト速度」を調べることができます。

PageSpeed Insights

その他のレンタルサーバーについては、下記のブログ記事にまとめられています。比較検討してみてください。

レンタルサーバーのおすすめ会社 9選 プラン一覧&料金表
レンタルサーバーを選ぶ時に気をつけたいポイントと、各社のプラン・スペック・料金表の比較。おすすめレンタルサーバー 9選(エックスサーバー、ロリポップ!、さくらのレンタルサーバ、コアサーバー、エクスリア、お名前.comレンタルサーバー、ヘテムル、ミックスホスト)
スポンサーリンク

DNS設定:ドメインとサーバーを結びつける

独自ドメインとサーバーを紐付けます。まず初めに、お名前.comの「ネームサーバーの変更」で「他のネームサーバーを利用」を選択し、「ロリポップDNS(ドメイン・ネーム・システム)」を次のように入力します。

  • プライマリネームサーバー:uns01.lolipop.jp
  • セカンダリネームサーバー:uns02.lolipop.jp

この「ロリポップDNS」は、ロリポップユーザー専用ページの「独自ドメイン設定」で確認できます。これでお名前.comでの作業は完了です。

スポンサーリンク

サーバーにWordPressをインストールする

ロリポップの「WordPress簡単インストール」という機能を利用すると、その名の通り簡単です。

サイトのタイトル、ユーザー名、パスワード、メールアドレスを入力するだけでディレクトリが作成されて、そこにWordPressが自動でインストールされます。

スポンサーリンク

WordPressの初期設定とセキュリティ強化

ロリポップでは無料で独自SSL(Secure Socket Layer)設定ができます。インターネット通信の暗号化(https化)をすることで、安全な情報の送受信ができます。

2014年8月にGoogleが「HTTPSを検索順位を決定する際の判断指標に利用する」と公式に発表していることからも、設定した方がよいです。

ロリポップユーザー専用ページにログインし、「証明書お申し込み・設定」を開きます。「SSLで保護されていないドメイン」が表示されたら、「設定する」をクリックするだけで作業は完了します。

スポンサーリンク

.htaccessを活用してSEO対策とセキュリティ強化

.htaccessとは、Webサーバーをディレクトリ単位で制御するためのファイルで、 リダイレクトやBASIC認証、404エラーページの作成を行えます。

今回ここでは、セキュリティ強化https化www.の有無index.html(index.php)の有無の設定をします。設定方法と詳しい解説は次のブログ記事をご覧下さい。

【.htaccess】httpからhttpsへリダイレクト、wwwありなし統一、index.html(php)ありなし統一の設定方法&記述内容の意味
www.の有無。http://、https://暗号化の有無。index.html(index.php)の有無。これらを .htaccessファイルで設定することにより、URLの正規化を行うことができます。その設定方法と記述内容の意味を解説します。

WordPressのauthorを非表示にしてセキュリティ強化する方法

何も設定してない状態では、投稿した記事下にauthor(投稿者・作成者)の名前が表示されてしまいます。WordPress管理画面で「ユーザー」→「あなたのプロフィール」からニックネームを入力して「ブログ上の表示名」を変更しても、URLを見るとauthor名が分かってしまいます。

WordPressのログインIDとauthorの名前は同じです。つまり、author名が分かってしまうとセキュリティ上よろしくないということです。

「あなたのプロフィール」から画面下部にある「プロフィールページURL」に、作成した固定ページやTwitter、Instagram等を設定すれば記事下のauthor名のURLを変更することができます。しかし、これだけではまだ問題があります。

https://○○/?author=1

あなたのURLを○○に当てはめてください。以下のようなURLにリダイレクトし、“「○○」一覧”という投稿者アーカイブページに遷移します。

https://○○/author/ログインID/

functions.phpに下記ソースを追加すれば、投稿者のアーカイブページの生成を無効化することができます。アクセスした場合は、「404エラー」ページになります。

add_filter( 'author_rewrite_rules', '__return_empty_array' );

適用させるには「管理画面」→「設定」→「パーマリンク」の「変更を保存」を押します。

ただ、「404エラー」では美しくないので、URLにアクセスがあった場合はTOPページの「https://○○/」に遷移するように設定します。

.htaccessに命令文を付け加えます。https化、www.の有無、index.html(index.php)の有無の設定を記述したところの一番下に、赤文字の部分を追加します。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteCond %{THE_REQUEST} ^.*/index.(html|php)
RewriteRule ^(.*)index.(html|php)$ https://%{HTTP_HOST}/$1 [R=301,L]
RewriteRule ^author/(.*)? / [R=302,L]
</IfModule>

プラグインで対応する

function.phpを弄るのが怖い人は、プラグイン「Edit Author Slug」を使うことで、投稿者アーカイブページを非表示にさせる方法もあります。

プラグインをたくさん入れるのはWordPressが重くなってページ表示速度が遅くなる原因になるので、バックアップを取りながらfunctions.phpと.htaccessで対応した方がよいと思います。

スポンサーリンク

最低限入れておきたいおすすめプラグイン

  • Akismet Anti-Spam
  • Invisible reCaptcha for WordPress
  • EWWW Image Optimizer
  • Google XML Sitemaps
  • SiteGuard WP Plugin
  • WebSub/PubSubHubbub
  • WP Multibyte Patch

Akismet Anti-Spam

「Akismet Anti-Spam」と「Invisible reCaptcha for WordPress」のどちらか一つは入れておきましょう。どちらもスパムコメントをある程度自動除去してくれるプラグインです。

わたしも使っているWordPressテーマ「Cocoon」では、「Akismet Anti-Spam」を推奨しているようです。

Invisible reCaptcha for WordPress

reCaptchaは、Googleが提供しているサービスです。v2とv3というバージョンがあります。

v2は、ユーザーが画像の中から「信号機・お店・車」などをチェックしてロボットではないことを判定するものです。

v3は、それらの手間が省かれ自動的にスパム判定してくれるようになり、ユーザビリティが改善されたものです。かつてベータ版として一般公開されていた「Invisible reCAPTCHA」がv3です。

v3をWordPressで使うには、プラグイン「Invisible reCaptcha for WordPress」が簡単なのでオススメです。Invisible reCaptchaは、WordPressのログイン、登録、コメント、パスワード再発行フォームの他に、サイト管理者へのメールフォーム作成プラグイン「Contact Form 7」などにも対応しているので便利です。

「Invisible reCaptcha for WordPress」の設定方法

Googleにログイン後、「reCAPTCHA」でWebサイトを登録し、Site KeyとSecret Keyを取得する必要があります。

次に、プラグイン「Invisible reCaptcha for WordPress」をインストールして基本設定を行います。

Settings

取得したSite KeyとSecret Keyを入力します。

  • Language
    表示言語の設定です。「Automatically detect」で自動判別、日本語だけなら「Japanese」を選択します。
  • Badge Position
    reCAPTCHAのアイコンをどこに表示させるかの設定です。Bottom Rightは(ページ右下)、Bottom Left(ページ左下)、lnline(フォームに埋め込み)になります。Inlineが操作の邪魔にならずオススメです。
WordPress
  • Enable Login Form Protection(ログインフォーム)
  • Enable Registration Form Protection(登録フォーム)
  • Enable Comments Form Protection(コメントフォーム)
  • Enable Forgot Password Form Protection(パスワードフォーム)

全部チェックしておけば問題ありません。

Contact Forms

お問い合わせフォームでreCAPTCHA v3を適用させたい場合、「Contact Form 7」や「Gravity Forms」といったプラグインにも対応しているので、チェックを入れるだけで設定することができます。

EWWW Image Optimizer

画像をロスレス圧縮することで画像サイズを縮小し、画像を劣化させることなく最適化してくれるプラグインです。アップ時に自動で画像サイズを圧縮してくれるので便利です。

Google XML Sitemaps

記事の公開・更新の度にXMLサイトマップを自動生成し、Google Search Consoleから自動で検索エンジンに更新内容を通知することが可能です。これを行うことで、新規作成サイトでも、Googleのクローラーが巡回してもらいやすくなります。

SiteGuard WP Plugin

WordPressの管理画面・ログイン画面を簡単に保護することが可能な、シンプルなセキュリティプラグインです。

WebSub/PubSubHubbub

Googleなどの検索エンジンに「投稿記事のURL」を通知することで、素早くインデックスしてもらえる仕組みを提供します。

WP Multibyte Patch

WordPressはアメリカで開発されたソフトウェアなので、シングルバイト文字である英語表示を基本としています。そのため、日本語の平仮名や漢字といったマルチバイト文字では、文字化けなどの不具合を起こしてしまう可能性があります。

「WP Multibyte Patch」は、文字化けなどの不具合が起こらないようにするためのプラグインです。

コメント