レンタルサーバでWordPressを運用する際のコツと注意点〜第1回〜

概要

30分で出来る!WordPress簡単カスタマイズ方法」という連載で、WordPressサイトの作り方、カスタマイズ方法などを掲載しておりましたが、記事の掲載から年数が経ち、WordPressサイトのカスタマイズなどで気をつけるポイントも変化してきているため、内容を刷新してWordPressサイトの立ち上げからレンタルサーバで運営するコツ、設定方法などを連載記事としてお届けしてまいります。

さくらのレンタルサーバでWordPressサイトを立ち上げよう

さくらのレンタルサーバではWordPressを利用するのに便利な機能が盛りだくさん。PHPモジュールモードも利用可能になり、より高負荷なサイトも月額515円からと低価格で利用できるようになりました。連載第1回では、WordPressサイトのクイックインストールから初期設定までをご紹介いたします。

WordPressのインストール

まずはレンタルサーバにWordPressをインストールします。データベースの作成→クイックインストール→WordPressの初期設定の順番で進めていきます。実際の流れはサポートサイトに掲載されています。

クイックインストール以外にも、さくらのレンタルサーバはSSHに対応しておりますのでターミナルなどからアクセスしてwgetでダウンロードしたWordPressを任意のフォルダに展開することもできますし、PCへダウンロードしたファイルをFTPでアップロードすることもできます。この場合、フォルダのパーミッションは755か705にする必要がありますのでご注意ください。それ以外の権限設定にするとPHPの実行権限が無いため500(Internal Server Error)エラーが発生してサイトが閲覧できません。

これから新規でサイトを始める方は、httpsで始まるSSL暗号化対応をしておくことを強くおすすめします。さくらのレンタルサーバでは無料でSSLが設定できる無料SSL機能をご用意していますので、WordPressインストール前に設定しておきましょう。詳しい設定方法はサポートサイトに掲載しています。SSLについては連載第2回で取り上げる予定です。

WordPress初期設定

インストールが完了したら初期設定をしていきます。WordPressの初期設定についてはサポートサイトに記載の通り普通に設定することで特に問題はありません。クイックインストールで入れていればデータベース設定も済んでいるはずです。1点だけ注意しておきたいのがパスワードです。

WordPressは世界で最も利用者の多いサイト構築ツールのため、攻撃にさらされる機会が非常に多くなっています。攻撃者は辞書に基づいたIDとパスワードの組み合わせを何度も試してサイトを乗っ取り、ページの改ざん、メールの不正送信などを行います。覚えやすいからといって1234passwordなどの簡単な単語や数字だけの簡単なパスワードを利用すると一瞬でサイトが乗っ取られてしまうので注意しましょう。

WordPressの現行バージョンは大文字小文字記号数字混じりの非常に長いパスワードを初期設定しますのでこれをそのまま使うのも良いですし、ご自分で非常に長いパスワードを作るのも良いです。パスワードは記憶しようとせずに、Google Chromeのパスワードマネージャなどを利用して自分だけがログインできるようにしておきます。万一パスワードを忘れた場合もWordPressはメールアドレスからパスワードをリセットすることが可能です。とにかく簡単なパスワードを設定することは絶対に避けましょう。

WordPressではログイン画面に2段階認証を追加したり、総当たり攻撃を防御したりといったプラグインがたくさんありますが、さくらのレンタルサーバではベーシック認証の設定ができますので実はこれが一番お手軽でサーバへの負荷も低くなります。WordPressの管理画面の入ったフォルダである wp-admin と、wp-login.php にベーシック認証をかけることでよりセキュリティを高めることができます。詳しい設定方法はサポートサイトをご覧ください。これもパスワードマネージャを使うことで複雑なパスワードを記憶せずに使えます。

さくらのレンタルサーバでは国外IPアドレスフィルタという機能が初期設定でONになっています。このためWordPressの管理画面を含むいくつかのファイルへは国外からアクセスできません。必要に応じて解除することはできますが、より攻撃にさらされるリスクが高くなりますのでご注意ください。また、不正アクセスなどを防ぐウェブアプリケーションファイアウォールは、初期設定では無効となっております。必要に応じてサイトの設定が終わったら有効化しましょう。

初期設定が完了したらwp-config.phpのアクセス権限を変更することでよりセキュリティを高められます。クイックインストールを利用すると644になっていますので、600等に変更することが可能です。ただし、wp-config.phpを編集するプラグインなどを利用するときにエラーが出ることがありますので、パーミッションを変更する場合は注意してください。

さて、ここでさくらインターネットからのお願いです。WordPressは初期設定でマイナーバージョン(4.9.5の最後の5の部分)については自動更新が設定されています。この自動更新機能は本当に必要でない限りオフにしないでください。また、4.8→4.9のようなメジャーバージョンアップは自動で行われません。WordPressのダッシュボードで更新してくださいと表示されている場合、更新を行ってください。プラグイン等の動作に不安がある場合は、バックアップ&ステージング機能でステージング環境を作成して動作のテストをすることができます。PHPのバージョンも複数切り替えてテストできますので合わせて活用してください。

WordPressのバージョンが古いまま放置され、脆弱性を突かれて改ざんなどの被害にあうサイトが跡を絶ちません。WordPressは常に最新版で利用頂くようお願いいたします。

インストールから初期設定のチェックポイント

  • インストールはクイックインストール推奨ですが手動アップロードも可
  • フォルダ、ファイルのパーミッションに注意
  • サイトがSSL前提の場合は先にSSL設定を済ませておく
  • WordPressのパスワードは非常に複雑なものにする
  • ログイン画面と管理画面フォルダにBASIC認証をかけるのも有効
  • 必要に応じてウェブアプリケーションファイアウォールの有効化を検討する
  • 自動アップデートを無効化しない
  • メジャーバージョンアップはリリースされたら極力実施する
  • 動作検証などにはステージング機能が有効

さて、初期設定が完了したらサイトにアクセスできるようになっていると思います。第1回はここまで。第2回ではサイトの常時SSL化にまつわる設定、SSL化する際のポイントなどをご紹介したいと思います。