【2019年版】WordPressでのブログの始め方と、必須の初期設定
レンタルサーバーを契約して、ドメインを取得。そしてWordPressをインストールしてブログを始める。
これだけでブログは開設できるのですが、個人的に、「この設定は最初にやっておけばよかったなー」と感じたものが結構あります。
ここでは、その設定を適切な箇所に挿入しつつ、順番に説明していきたいと思います。
できれば!ここに掲載した初期設定は、初日にやっておきたいです!
ブログ開設
まず前提条件であるブログ開設からですね。簡単に説明します。
レンタルサーバーと独自ドメインの紐付け
レンタルサーバーと契約し、ドメイン登録サービスから独自ドメインを取得します。
私の場合はエックスサーバーのキャンペーンにより、ドメインを1つ無料で貰えました! ありがとうエックスサーバー!
単純に独自ドメインの取得だけで言ったら、「お名前.com」が安くておすすめです。
このサーバーとドメインを紐づけます。方法は省略!(ネットに溢れるほど解説がありますのでね)
WordPressのインストール前に注意すること
次はWordPressのインストールですが、注意すべき点があります。
ズバリ、ユーザー名の登録です。
ユーザー名の登録は、下の項目を読んでからにしましょう。
後から変更もできますが、結構めんどくさいです……。(体験済み)
ユーザー名は丸見え前提のものとして設定する
私は、「大小英数字+記号+スペース」でランダム生成したユーザー名にしております。
気をつけたいのは、自分にとって意味のある文字列を含めない、という点です。
あくまで、他人に見られる前提のユーザー名にしましょう。
WordPressのインストール
レンタルサーバーの管理ページにログインし、サーバーにWordPressをインストールします。
エックスサーバーの場合、サーバーパネルにログインしたら「WordPress簡単インストール」という項目があるので、そこからインストールします。簡単ですね。
必須設定のhttps化(常時SSL化)でセキュリティ強化
この設定をすることで、「http://~」へのアクセスが自動的に「https://~」にリダイレクト(転送)され、通信の安全性が常に確保される訳です。
個別の記事で「https化」を取り上げたものは無数にありますけど、ブログ開設の手順として組み込んでる記事はあまり見ないですよね。
私も、エックスサーバーを選んだ理由のひとつが「無料独自SSL」だったので、当然やるつもりはあったんですが、適したタイミングを分かっていなくて後回しになっちゃったんですよね。
思い返すと、このタイミングでやっておけばよかった。と思ったので、これから運営される方は、参考にしてください。
エックスサーバーでの「https化」設定
まずはエックスサーバーのサーバーパネルにログインしましょう。
エックスサーバーでは、初期状態から独自SSLの設定がされていると思います。
確認方法は、「ドメイン」項目内の「SSL設定」から見ることができます。
自分で行う設定は、「ホームページ」項目内の「.htaccess編集」から、下の記述を追加します。
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
参考にしたXSERVER公式マニュアルへのリンクを貼っておきます。
「Webサイトの常時SSL化」
「.htaccessの編集」
WordPressでの「https化」の設定
「設定」>「一般」から、
「WordPressアドレス(URL)」と、その下の「サイトアドレス(URL)」の両方を編集します。
「http」になっている部分を「https」に変えれば完了です。
試しに自分のサイトに「http://~」からアクセスしてみましょう!
「https://~」に繋がったら成功です!
エックスサーバーなら、WAFをオンにしましょう(セキュリティ強化)
「WAF」とは、「Webアプリケーションファイアウォール」のことです。悪意のある不正アクセスから、サイトを守ってくれるものですね。
エックスサーバーならWAF設定というのが「セキュリティ」項目にあるので、全部オンにしておきましょう。
公式マニュアルに注意点が書かれているので、読んでおきましょう。
「WAF設定(XSERVER)」
WordPressにログインしてみよう
常時「https化」ができたところで、一旦WordPressをログアウトし、ログイン画面に行きましょう。
アドレスは(→https://あなたのサイト/wp-login.php)です。後にこのログインページは変更するかもしれませんが(プラグインで)、とりあえずブックマークしておくと便利です。
【注意】WordPressのユーザー名、丸見えです
ご自身のサイトのトップページを表示し、そのURLの末尾に「/?author=1」を追加してアクセスしてみてください。
アドレスバーに、WordPressのユーザー名が表示されていませんか?
つまり、(さっきあなたがブクマした)ログインページのユーザー名が、他者にバレてしまう状況なのです。
あとはパスワードだけでログインされてしまいます。明らかに危険ですね。
今のうちに対策しておきましょう。
不正ログインの防ぎ方、隠し方
防ぐ方法、あるいは隠し方には大きく3通りあります。
オススメは、プラグインの「XO Security」を使う方法です。
「functions.php」の編集によるリダイレクトを使った隠し方
隠し方などでググると上位に出てきたりしますが、オススメしません。
理由は、上記の「/?author=1」以外にも「/wp-json/wp/v2/users」を追加する方法や、コメント欄からバレてしまうからです。
この対策は、とても限定的なんです。
できれば、それ以前にログインページ自体も隠したいですよね。
WordPressに「IPアドレス制限」をかける
これはもう、ユーザー名がバレようが関係ないです!
でも固定IPアドレスじゃないと実現できないのです!
詳しくはこちらをどうぞ→「WordPressのログイン・管理画面へのアクセスを制限する方法」
私は諦めて次に紹介する方法を採りました。
プラグインの「XO Security」ならオールインワン!
「XO Security」の強みを、簡単にまとめます。
・ログイン試行回数制限。
・ログインページのURLを変更。
・メールアドレスによるログインを無効にする。
・「REST API」を無効化することにより、ユーザー名を隠すことができる。
他にも機能や設定項目はいろいろあります。
詳しくはこちらのページをご覧ください→「XO Security プラグイン」(製作された方のページです)
有名な2つのプラグインである「Edit Author Slug」でユーザー名を隠し、「SiteGuard WP Plugin」で不正ログインから守る、という方法もあります。
実際、両方あるいはどちらかを「必須」と謳っているブログもたくさんあります。
ですが「XO Security」が登場した現状では、これひとつあれば充分だと思います。
「XO Security」ならユーザー名を隠せますし、そもそも、それ以前に「ログインページのURLを変更」することによって、「ログイン画面(URL)」へ辿り着かせない、という妨害ができます。
「ログイン画面」は、ユーザー名を隠していても、「http://ドメイン/wp-admin」や、「http://ドメイン/wp-login.php」で見つけられてしまいますからね。
WordPressの必須設定(2つ)
最後の項目です! ここは簡単なのでサクサクッといきます!
紹介するのは「一般設定」と「パーマリンク設定」です。
他ブログでは「投稿設定(更新情報サービスの登録)」も加えて3つとしていることが多いのですが、個人的に不要だと思うので省略します!
一般設定
ダッシュボードの「設定」>「一般」を選びます。
サイトのタイトル、キャッチフレーズ、メールアドレスを入れます。
終わりです!
パーマリンク設定
同じく「設定」から「パーマリンク設定」を選びます。
これは「投稿名」に設定します。迷う必要なしです。
SEO的に強いから、という理由ですね。
おつかれさまです!
以上が、ブログ開設初日にやっておきたい必須設定集でした!
思ったより長くなってしまいましたが、ここまでは最初に頑張りたいですね。
次はWordPressの「テーマ」や「プラグイン」選びです。楽しいところですねー!
もう心に決めた「テーマ」がある人はどんどん進んじゃいましょー!
では今回はこの辺で。ありがとうございました!