WordPressのインストール方法・セキュリティ重視 3つのポイント
2014/12/07
WordPressのインストール方法解説
WordPressをインストールするための準備
WordPressのインストール方法は、ググっていただくと大量に出てきます。
同じことを書いても意味がありませんので、この記事ではやや趣を変えて、セキュリティを強化するための設定を初期設定で行いながらインストールする方法を解説していきます。
また、WordPressはデータベースを利用しますので、データベースに接続する情報を事前に用意しておくと設定がスムーズに進みます。
レンタルサーバを契約した時にメールや郵送で送られてきた設定情報の中に書かれていると思います。
データベースに関しては「WordPress初心者向け講座・詳細解説データベースとは何か?」という記事も書いていますので、良ければ参考にしてみてください。
また、WordPressをインストールし、今後運用していくには FTPソフトやテキストエディタなどが必要となります。
それらの紹介記事を「WordPressで使うおススメ FTP、テキストエディタ、圧縮解凍ソフト」に書いていますので、良ければ参考にしてみてください。
ちなみに、Windowsにアプリケーションをインストールすると設定ファイルが OSに組み込まれたりしますが、WordPressは WordPressのフォルダ+データベースだけで動いていますので、インストール失敗しても WordPressのフォルダを削除すれば元に戻ります。
何かに躓いたり、失敗しても、何度でも消して再インストールを試せますので、安心してインストールすればいいでしょう。
WordPressのダウンロード・ファイルのアップロード
WordPressオフィシャルサイト・日本語版
http://ja.wordpress.org/
WordPressのオフィシャルサイトから、WordPressの最新版をダウンロードします。
ダウンロードして取得した ZIPファイルを解凍し、wordpressフォルダの中のフォルダ、ファイルをすべてサーバにアップします。
wordpressフォルダの中身というのは、「wp-admin」「wp-content」「wp-includes」などのフォルダや同じ階層にあるファイル一式です。
ただし、アップロードするフォルダには一工夫しておいた方がいいでしょう。
WordPressや baserCMSなどは、動作をするうえで「.htaccess」というサーバ内でのアクセスの制御を行う設定ファイルを利用しています。
ですが、このファイルはアクセス制限を行う Basic認証にも利用していまして、ロリポップなどのレンタルサーバのコントロールパネルの機能を使って Basic認証の設定などを行うと WordPressで使用している記述まで改変、削除してしまう可能性があるため、同じ階層で利用しない方がいいという問題があります。
詳しくは「ロリポップでWordPress+Basic認証で不具合発生!回避方法解説」に書いていますので参考にしてください。
WordPressインストール
WordPressのファイルをサーバにアップしたら、さっそく WordPressのファイルをアップロードした場所にブラウザでアクセスしてみましょう。
「wp-config.php ファイルが見つかりません。」と出てきますが、正常な動作です。
「設定ファイルを作成する」をクリックします。
表示される内容を読んで、「さあ、始めましょう!」をクリックします。
データベースへの接続情報とインストールする WordPressで利用するデータベースのテーブル名の接頭辞を決めます。
データベース名称、ユーザ名、パスワード、ホスト名は、レンタルサーバの契約時に送られてきた資料などを見ながら入力します。
セキュリティ向上ポイント・テーブル接頭辞を変更する
ここで一つ目のセキュリティを向上させるポイントがあります。
それが「テーブル接頭辞の変更」です。
WordPressが利用するテーブル名は決まっています。
そして、テーブル接頭辞は「wp_」がデフォルトで設定されています。
そのため、デフォルトのまま設定をしてしまうと、テーブル名称が誰にでも分かってしまう状況になってしまいますので、セキュリティ上のリスクを高めます。
そのため、WordPressをインストールする際に、テーブル接頭辞であるこの「wp_」部分を好きなものに変更しておきましょう。
「wp_」の部分を、例えば「s_giken_」や「blog_」といった文字列に変えておくといった感じです。
これだけで、テーブル名称が簡単には分からなくなりますので、リスクはぐっと小さくなります。
後からも無理やり変更することはできますが、不具合の原因になりますのであまりお勧めはできません。できる限り、インストール時に対応を行っておきましょう。
テーブルの接頭辞の説明やインストール後に変更する手順などが書いてありますので、参考になります。
http://goo.gl/0bcy7R
WordPressを複数インストールする際のポイント
WordPressを一つのレンタルサーバに複数個インストールすることも可能です。
ただし、その場合は、ここで設定する「テーブル接頭辞」をインストールする WordPressごとに設定する必要があります。
例えば、1個目のブログには「blog1_」として、2個目のブログには「blog2_」とするといった感じです。
それだけで複数の WordPressをインストールして管理することができます。
話をインストールに戻します。
「インストール実行」をクリックします。
「サイト名」「ユーザ名」「パスワード」「メールアドレス」を入力します。
「サイト名」「パスワード」「メールアドレス」は後から変更できますので仮のもので全く問題ありません。
「ユーザ名」「パスワード」は WordPressの管理画面にログインするための情報です。
なるべく長めの文字列で設定した方がいいでしょう。
メールアドレスは公開される情報ではありません。
インストールの完了の連絡や、WordPressのバージョンアップの連絡や、コメント投稿があった場合の連絡などに使われるメールアドレスですので、正しいアドレスを入力しましょう。
セキュリティ向上ポイント・ユーザ名に adminを使わない
2つ目のセキュリティ向上ポイントは、ユーザ名に「admin」を使わない」ということです。
WordPressでは、デフォルトで「admin」が設定されていますが、決してそれをそのまま利用してはいけません。
なぜなら、WordPressユーザの多くは「admin」のまま使っていることもあり、そのまま使っていることで不正アクセスをされる原因になるためです。
詳しくは、「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」を参照してください。
また、上記のページを見ていただくと分かりますが、ユーザ名は後からでも設定できますので、運用中に「ユーザ名が漏えいした!ユーザ名を変更したい!」という場合なども参考にしていただければ、と思います。
※最新版の WordPress 3.9.2で確認したところ、デフォルトで「admin」が編集されてはおらず、ブランクで表示されていました。
あまりにも「admin」のまま使うユーザが多いために変更したのかもしれません。
セキュリティ向上ポイント・プライバシー設定
3つ目のセキュリティ向上ポイントは、「プライバシー設定」です。
ここは「検索エンジンによるサイトのインデックスを許可する。」と書いてある通り、検索エンジンにインデックスを許可するか、否かの設定を行う部分です。
ですが、WordPressをインストールした直後から公開して OKという場合は少なく、各種設定や調整を経て公開するという流れだと思います。
ですが、「検索エンジンによるサイトのインデックスを許可する。」にチェックを入れておくと、WordPress設定終了直後から検索エンジンが来てしまうこともあるため、このチェックは外しておきましょう。
ここでチェックを外してインストールしても、公開後に「検索エンジンによるサイトのインデックスを許可する。」にチェックをすることもできますので問題ありません。
公開後の対応については「Smart Update PingerでWordPressのPing・更新情報サービスを拡張する」に記事を書いていますので参考にしてください。
各情報を入力したのち、「WordPressをインストール」をクリックするとインストールが開始されます。
データベースのテーブル構築をはじめ各ファイルの設定を行いますので、30秒程度かかりますが、インストールが終了すると上記の画面が表示されます。
これで WordPressは正常にインストールされました。
これ以降は、ログイン画面から管理画面にログインする流れになりますので、「ログイン」をクリックします。
これがログイン画面です。
URLは↓こんな感じだと思います。
http://{WordPressをインストールしたURL}/wp-login.php
今後もこの URLが管理画面の URLになりますので書き留めておくか、お気に入りに入れておきましょう。
ID、PASSを入力して「ログイン」をクリックするとログインして、ダッシュボードが表示されます。
これ以降は、各種の設定を行い、WordPressでのサイト運営が始まります。
ちなみに、管理画面はブラウザのウインドウの横サイズによってメニューの表示のされ方が変わります。
上記の画面は左メニューがアイコンだけしか表示されていませんが、ウインドウの横サイズが十分にある場合は、メニューにはテキストも含めて表示されます。
WordPressセキュリティに関する記事
WordPressを運用するに当たって必要なセキュリティに関する記事をいくつか書いていますので、あわせてそちらも参考にしてみてください。
WordPressのユーザ名を後から変更する方法。adminの使用は危険。
WordPressの管理画面ログインURLの変更方法解説
WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説
Basic認証をファイル単位・URL単位で設定する方法の解説
Basic認証の.htaccess、.htpasswd生成ツールと解説
GoogleAdwords
GoogleAdwords
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!
関連記事
-
WordPressのウィジェットにGoogle+ページのバッジ編集方法
Google+ページの特徴(Facebook、Mixiとの違い)や構築のメリット(Google対策)、登録、バッジの編集方法の解説。
-
シンタックスハイライトの5システム比較のまとめ・WordPressでも使える
シンタックスハイライト5種の比較検討のまとめ記事。WordPressで使う目的だがプラグインの比較検討ではないのでどのサイトでも導入可能。
-
WordPressの不正ログインを Force email loginで回避
WordPressのセキュリティ強化に Force email loginを使う理由と設定方法の解説をしています。
-
WordPressのウィジェットでショートコードを使う方法add_filter
WordPressのウィジェットでショートコードを利用するには add_filter、do_shortcodeの関数を利用する必要があります。
-
get_categories、get_termsでカテゴリとタクソノミーのターム一覧の編集方法
get_categories()関数やget_terms()関数を使ってタクソノミーのタームを取得し検索処理の部品を作るプログラム作りその解説をしています。
-
BizVektor環境の引越しでメニュー、バナーが消える不具合の対応方法解説
BizVektor環境の引越し方法と不具合が発生しやすい箇所の解説です。引っ越し作業をする際にURLやファイルのパスを置換する際の手順解説と対応方法についての解説です。
-
ロリポップでWordPress+Basic認証で不具合発生!回避方法解説
ロリポップサーバでWordPressを使いBasic認証を設定する際には注意しないとWordPressが動かなくなる場合も!その回避方法を解説します。
-
AdminerはWordPressのデータベース管理プラグインの決定版!
データベース管理プラグインはAdminerがあれば他に必要ありません。なぜならDB管理ツールAdminerと同じものをプラグインとして提供しているからです。
-
BackWPupでWordPressのDBもファイルもバックアップ
BackWPupその1。BackWPupとWordPressのバックアップについての解説。
-
WordPress csvインポート、エクスポートのプラグイン
WordPressから csvファイルをエクスポート、インポートする方法を紹介しています。