WordPressの初期設定

WordPressをインストール後の設定は何をすればいいの？
ということで、どのようなサイトを作るかは人それぞれですが、
必ず設定した方がよいセキュリティ周りについて説明します。

私が初期時に設定した内容です。
※変更した場合は修正したいと思います。

この記事の続きです。

ポイント

WordPressの初期設定をします

WordPress初期設定

それでは、WordPressインストール直後から見ていきます。

※インストール直後の画面

プラグインの追加

WordPressのセキュリティを確保するため「All in One WP Security & Firewall」のプラグインを追加します。

【プラグイン】にカーソルをあてます。
【新規追加】を選択します。

All in One WP Security & Firewallのインストール

「All in One WP Security & Firewall」のプラグインをインストールします。

キーワードに【All in One WP Security】と入力します。
【今すぐインストール】を選択します。

All in One WP Security & Firewallの有効化

プラグインを有効化します。

【有効化】を選択します。

有効化の確認

【プラグインを有効化しました。】メッセージを確認します。
【WP Security】タブが増えてることを確認します。

WordPressのバージョン情報(WP Version Info)

ブラウザからソースコードを開くとWordPressのバージョンが表示されます。
バージョンが分かることにより、より攻撃者から攻撃される可能性もあるため表示しないようにしておきます。

【WP Security】を選択します。
【Settings】を選択します。
【WP Version Info】を選択します。
【Remove WP Generator Meta Info】にチェックを入れます。
【Save Settings】を選択します。

WordPressのバージョン情報(WP Version Info)(修正前)

修正前はWordPressのバージョンが表示されています。

WordPressのバージョン情報(WP Version Info)(修正後)

修正後は同じ個所の文字列が消えていることが分かります。

ログイン名(WP Username)

設定出来そうな風に見えますが、実際は変更できないようです。

WordPressのインストール時に変更しておきましょう。

【WP Security】を選択します。
【User Accounts】を選択します。
【WP Username】を選択します。
【Edit User】を選択します。

【Edit User】を選択すると、「ユーザ」 > 「あなたのプロフィール」に遷移します。

※直接「あなたのプロフィール」を選択しても構いません。

【ユーザー名】は「ユーザー名は変更できません。」

表示名(Display Name)

ブログ上の表示名は初期設定ではユーザー名(ログイン名)になっています。ユーザー名が分かるとより攻撃者から攻撃される可能性もあるため変更します。

【WP Security】を選択します。
【User Accounts】を選択します。
【Display Name】を選択します。
【あなたのユーザ名】を選択します。

ユーザ > あなたのプロフィールに遷移します。

※直接「あなたのプロフィール」を選択しても構いません。

【ニックネーム(必須)】に任意の名前を入力します。(ここでは【やま雪】と入力しました)
【ブログ上の表示名】に今入力した名前が選択できます。(ここでは【やま雪】を選択しました)
【プロフィールを更新】を選択します。

表示名(Display Name)(修正前)

「ミチャダメ」の箇所にユーザー名(ログイン名)が表示されています。

表示名(Display Name)(修正後)

修正後は、入力した【やま雪】と表示されています。

不正ログイン対策(Login Lockdown)

連続でログイン失敗したらアカウントをロックします。いわゆるブルートフォースアタック(パスワード総当たり攻撃)を回避します。

ロックダウンの設定値はデフォルトのままでよいでしょう。
「Instantly Lockout Invalid Usernames」は存在しないユーザと分かってしまうのでチェックなしでよいでしょう。

【WP Security】を選択します。
【User Login】を選択します。
【Login Lockdown】を選択します。
【Enable Login Lockdown Feature】にチェックを入れます。
【Save Setting】を選択します。

ユーザ登録承認の手動化(Manual Approval)

ユーザ登録画面において、新規登録されたユーザに対して手動認証をします。

他の人にユーザ登録させるようなことがなければいらないと思います。
ひとまず、手動だけチェックして様子見してみます。

【WP Security】を選択します。
【User Registration】を選択します。
【Manual Approval】を選択します。
【Enable manual approval of new registrations】にチェックを入れます。
【Save Setting】を選択します。

基本的なファイアウォール(Basic Firewall Rules)

基本的には有効でよいと思います。

「Completely Block Access To XML RPC」は無効にしていますが、XML RPCを使用しないなら有効にしましょう。

XML RPCを使用しない場合

「Completely Block Access To XML RPC」にチェックします。
「Disable Pingback Functionality From XMLRPC」はどちらでも。(XML RPCが無効になっているので)

【WP Security】を選択します。
【Firewall】を選択します。
【Basic Firewall Rules】を選択します。
【Enable Basic Firewall Protection】にチェックを入れます。
【Disable Pingback Functionality From XMLRPC】にチェックを入れます。
【Block Access to debug.log File】にチェックを入れます。
【Save Basic Firewall Settings】を選択します。

追加のファイアウォールルール(Additional Firewall Rules)

追加のファイアウォールルールを設定します。
こちらも基本的に有効にしてあります。

【WP Security】を選択します。
【Firewall】を選択します。
【Additional Firewall Rules】を選択します。
【Disable Index Views】にチェックを入れます。
【Disable Trace and Track】にチェックを入れます。
【Forbid Proxy Comment Posting】にチェックを入れます。
【Deny Bad Query Strings】にチェックを入れます。
【Enable Advanced Character String Filter】にチェックを入れます。
【Save Additional Firewall Settings】を選択します。

6Gブラックリストファイアウォール(6G Blacklist Firewall Rules)

6Gは5G互換なので6Gのみチェックしておきましょう。

【WP Security】を選択します。
【Firewall】を選択します。
【6G Blacklist Firewall Rules】を選択します。
【Enable 6G Firewall Protection】にチェックを入れます。
【Save 5G/6G Firewall Settings】を選択します。

ログインページの変更(Rename Login Page)

ログインページはデフォルトのままだと攻撃者から攻撃を受けやすくなるため、ログインページのパスを変えておきましょう。
ログインページは忘れないようにブックマークしときましょう。

【WP Security】を選択します。
【Brute Force】を選択します。
【Rename Login Page】を選択します。
【Enable Rename Login Page Feature】にチェックを入れます。
【Login Page URL】にログインページのパス(任意の文字列)を入力します。
【Save Settings】を選択します。

ログインページの変更(Rename Login Page)(修正後)

デフォルトの「/wp-admin/」にアクセスすると「Not avaiable.」と表示されるようになります。

ログインページにハニーポット(Honeypot)

ログインページにロボットのみに見えるハニーポットフィールドを追加します。

【WP Security】を選択します。
【Brute Force】を選択します。
【Honeypot】を選択します。
【Enable Honeypot On Login Page】にチェックを入れます。
【Save Settings】を選択します。

コメントスパム(Comment SPAM)

現在コメントは付けてないのでこの設定は必要ありませんが、コメントある方のご参考になればと思います。

captchaフィールドはコメントしてくれる方が面倒くさそうなので無効にしています。

【WP Security】を選択します。
【SPAM Prevention】を選択します。
【Comment SPAM】を選択します。
【Block Spambots From Posting Comments】にチェックを入れます。
【Save Settings】を選択します。

フレーム(Frames)

あなたのコンテンツを他のサイトにまるまる流用されるのを防ぎます。

【WP Security】を選択します。
【Miscellaneous】を選択します。
【Frames】を選択します。
【Enable iFrame Protection】にチェックを入れます。
【Save Settings】を選択します。

ユーザ列挙(Users Enumeration)

ユーザ情報を表示されるのを防ぎます。

【WP Security】を選択します。
【Miscellaneous】を選択します。
【Users Enumeration】を選択します。
【Disable Users Enumeration】にチェックを入れます。
【Save Settings】を選択します。

ユーザ列挙(Users Enumeration)(修正前)

「/?author=1」にアクセスすると、「/author/ユーザ名(ログインID)」に転送されます。

ユーザ列挙(Users Enumeration)(修正後)

修正後、「/?author=1」にアクセスするとURLは転送されず「Accessing author info via link is forbidden」と表示されるようになります。

REST API(WP REST API)

今は下記理由により無効にしています。

: Contact Form 7でメールが送信できない場合の対処
Contact Form 7でメールが送信できない場合の対処法です。今回対処を行うバージョンは以下になります。 Contact Form 7 v5.1.4 Contact Form 7 ...
続きを見る

REST APIを使用する予定がなければ有効にしておきましょう。

【WP Security】を選択します。
【Miscellaneous】を選択します。
【WP REST API】を選択します。
【Disallow Unauthorized REST Requests】にチェックを入れます。
【Save Settings】を選択します。

REST API(WP REST API)(修正前)

「/wp-json/wp/v2/users」にアクセスすると以下のような画面が表示されます。
このため、ユーザ名(ログインID)がばれてしまいます。

REST API(WP REST API)(修正後)

修正後、「/wp-json/wp/v2/users」にアクセスするとユーザ情報は表示されず「You are not authorized to perform this action.」と表示されるようになります。

よりよいWordPress生活を！