WordPress（ワードプレス）―導入方法、セキュリティ設定、移設方法など

WordPressの導入方法、セキュリティ設定、移設方法など構築面についてまとめています。

WordPressとは

WordPressは、世界でもっとも利用されているPHPベースのCMSの1つです。

参考）ワードプレス

ワードプレスとはホームページを運用するための便利なツールです。初心者向け中心にワードプレスの情報をまとめています。

詳細

補足

CMSとは？
サイトの更新を管理するシステムのことです。 Webページを構成するHTMLやCSS、画像など、配置や編集からサイト管理まで管理画面の操作で簡単に行える機能が備わっています。
PHPベースとは？
PHPでコーディングされて出来ているプログラムのことです。

WordPressのインストール（レンタルサーバの場合）

WordPressのインストールサービスが利用できるサービスを選んでボタン操作で行えます。

レンタルサーバを使用したWordPressの解説は以下にUPしています。

ホームページの作り方―レンタルサーバ戦略！＆WordPressの活用
ホームページの作り方をテーマにしたコンテンツです！URLが変わらないで（SEOの基本）を考慮したレンタルサーバ戦略の流れで、WordPressサイトの作り方を紹介していきます。

WordPressのインストール（VPSや専用サーバの場合）

MySQLを使いますのでMySQLを構築してからWordPressのインストールを行います。

CentOSの場合

WordPress パッケージをダウンロードして、解凍。

http://ja.wordpress.org/から日本語版のWordPressパッケージをダウンロードし、解凍。

MySQLを用意しデータベースとユーザの作成

サーバー上に、WordPress 用のデータベースと、そのデータベースへの全アクセス権・編集権を持つMySQLユーザを作成。

MySQLのインストール（Linux）

# yum -y install mysql-server
# /etc/rc.d/init.d/mysqld start
# mysql -u root
set password for root@localhost=password('＜ルートパスワード＞');
quit

WordPress 用のデータベースとユーザ作成

# mysql -u root -p
CREATE DATABASE データベース名;
GRANT ALL PRIVILEGES ON データベース名.* TO データベースユーザ名@＜ユーザが接続するホスト＞ IDENTIFIED BY '＜パスワード＞';
FLUSH PRIVILEGES;

wp-config.php の設定

wp-config-sample.php ファイルの名前を wp-config.php に変更。

テキストエディタで wp-config.php を開き、 wp-config.php ファイルの編集記事の説明に従いデータベース情報と秘密鍵の値を記入。データベーステーブルの接頭辞も念のため変更しておきます。

MySQLの接続情報変更箇所

/** WordPress のためのデータベース名 */
define('DB_NAME', 'database_name_here');

/** MySQL データベースのユーザー名 */
define('DB_USER', 'username_here');

/** MySQL データベースのパスワード */
define('DB_PASSWORD', 'password_here');

/** MySQL のホスト名 */
define('DB_HOST', 'localhost');

秘密鍵の値変更箇所

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

WordPress FTPなしでプラグインダウンロードできる設定

SSHのみでFTPが利用できない場合など、FTPなしでプラグインがダウンロードできるように以下を最下部あたりに追加します。

/** WordPress FTPなしでプラグインダウンロードできる設定 */
define('FS_METHOD', 'direct');

データベーステーブルの接頭辞の変更箇所

$table_prefix  = 'wp_';

ファイルをアップロード

サーバー上の希望の場所に、WordPress ファイルを設置。

ドメインルート (http://example.com/ など) にWordPress を置きたいときは、サーバーのルートディレクトリに解凍した Wordpress の中身 (ディレクトリを自体を除く全ファイル) をアップロードします。
ウェブサイト上の WordPress 用サブディレクトリ (http://example.com/blog/ など) に WordPress を設置したいときは、解凍した wordpress フォルダを好きなサブディレクトリ名に変更し、丸ごとサーバーのルートにアップロードします。

インストールスクリプトの実行

ブラウザで wp-admin/install.php へアクセスし、インストールスクリプトを実行。ユーザー名にadminやサイト名など推測されやすいものは使わないように注意します。

ルートディレクトリに設置したなら： http://example.com/wp-admin/install.php
blog というサブディレクトリに設置したなら： http://example.com/blog/wp-admin/install.php

インストール時に行っておきたいセキュリティ対策

後で行うとどこに影響するか確認が大変！WordPressインストール時など、はじめに行っておきたい！セキュリティ対策についてまとめてみました。

使わないプラグイン、テーマの削除
はじめに消さないと怖くて誰も消さなくなります。使わないプラグイン、テーマははじめに消したいです。
｢WordPress本体やテーマ・プラグインは、最新版にしておく
これも更新の影響があるので後でUPDATEはしにくくなってきます。

基本的なHTTPヘッダーの設定

これもテスト前に入れないとです。 .htaccessに記述します。この設定自体行っていないサイト結構あります。

<ifModule mod_headers.c>
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options DENY
Header always set X-Download-Options: noopen
Header always set X-Powered-By: ""
</ifModule>

<IfModule mod_php5.c>
php_flag session.cookie_httponly on
php_flag session.cookie_secure On
</IfModule>

「wp-config.php」にアクセスさせない設定
.htaccessに記述します。
```
<Files wp-config.php>
order allow,deny
deny from all
</Files>
```
RSSを使用しない場合は「xmlrpc.php」もアクセスさせない設定
.htaccessに記述します。
```
<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
</Files>
```
「wp-config.php」のアクセス権限を「400」に設定
サーバ―内の別のアカウントのユーザにDBの接続先が見られないようにしておきたいです。
その他、ログイン画面のパス変更、ログイン試行回数の設定を行っておきたいです。

出来れば、サイト構築中は全体にBASIC認証を設定とIP制限を設定しておきたいです。そして、運用時はwp-login.phpに制限しておきたいです。

パスワードファイル作成は以下で行えます。

htpasswd -c .htpassword ＜ユーザ名＞

.htaccessに以下の設定を追加します。

テスト時は、.htaccessに以下を記述。

#ip制限する場合
order deny,allow
deny from all
allow from ＜許可するIPアドレス＞

<Files wp-login.php>
#Basic認証の場合
AuthUserFile ＜パス＞/.htpassword
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
</Files>

運用時はwp-login.php、.htaccessに以下を記述。

<Files wp-login.php>
#ip制限する場合
order deny,allow
deny from all
allow from ＜許可するIPアドレス＞

#Basic認証の場合
AuthUserFile ＜パス＞/.htpassword
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
</Files>

バージョン情報などの情報を出さないようにテーマのfunction.phpに以下を記述

remove_action('wp_head', 'wp_generator');
foreach ( array( 'rss2_head', 'commentsrss2_head', 'rss_head', 'rdf_header', 'atom_head', 'comments_atom_head', 'opml_head',
'app_head' ) as $action ) {
        remove_action( $action, 'the_generator' );
}

function remove_cssjs_ver( $src ) {
        if( !is_user_logged_in() && strpos( $src, '?ver=' ) )
                $src = remove_query_arg( 'ver', $src );
        return $src;
}
add_filter( 'style_loader_src', 'remove_cssjs_ver', 10, 2 );
add_filter( 'script_loader_src', 'remove_cssjs_ver', 10, 2 );

function knockout_author_query() {
    // disable author rewrite rule
    global $wp_rewrite;
    $wp_rewrite->flush_rules();
    $wp_rewrite->author_base = '';
    $wp_rewrite->author_structure = '/';
    // for author query request
    if (isset($_REQUEST['author']) && !empty($_REQUEST['author'])) {
        $user_info = get_userdata(intval($_REQUEST['author']));
        if ($user_info && array_key_exists('administrator', $user_info->caps) && in_array('administrator', $user_info->roles)
) {
            wp_redirect(home_url());
            exit;
        }
    }
}
add_action('init', 'knockout_author_query');

管理画面のログインユーザIDがわからないように表示名を変更しておく
管理画面のプロフィールのところで表示名はユーザIDにしないように設定しておきたいです。

WordPressの移行方法

WordPress関連のファイル一式コピー＆移設先に配置

①以降前の環境
tar zcvf wpfile.tar.gz ＜WordPress関連ファイル配置ディレクトリのルートパス＞

②移設先に配置
cd ＜配置先＞
tar zxvf wpfile.tar.gz

MySQLのダンプ採取と以降先にリストア

①移行前のDBダンプ
$ mysqldump -h DBサーバホスト -u DBユーザ -p hostDB > ホスト名.dump
Enter password:

②以降ものとDBにリストア
$ mysql -h DBサーバホスト -u DBユーザ -p dev_hostDB < ホスト名.dump
Enter password:

移行ツールで移行

ダウンロード

https://interconnectit.com/products/search-and-replace-for-wordpress- databases/より、Search-Replace-DB-master.zipをダウンロードします。

配置

WordPress配置先の上位パスに解凍してできたSearch-Replace-DB-masterを配置します。

実施

DB変更箇所検索＆置き換えツール表示
https://＜hostname＞/Search-Replace-DB-master/にアクセスします。

必要事項入力

replace：移行前ホスト
with:移行後ホスト

実施
live runボタンクリックをクリックします。

後始末

必ず移行ツールは削除します。DBの接続情報が見れたり、残ると非常に危険です。

$rm -Rf Search-Replace-DB-master

知識を深めるための参考

イベント駆動アーキテクチャ

WordPressは、イベント駆動アーキテクチャを採用したシステムです。以下の書籍でイベント駆動アーキテクチャについて紹介していました！興味がある方は、参考にしてください。

Amazon）WordPressによるWebアプリケーション開発

戻る

サイト内のページ

言語
C・C++ /HTML /Java /JavaScript /PHP /シェルスクリプト

開発環境
Ant /Eclipse /gcc /gdb /g++ /JDK /JUnit /ZAP

技術・仕様
Ajax /CORBA /Java EE（旧称J2EE） /JNI

ライブラリ／Framework／CMS
jQuery /Lucene /MyBatis /Spring /Struts /Seasar2 /WordPress

ITインフラ OSとミドルウェア
Linux /Windows /シェル
 Apache／Tomcat /MySQL /Redis /Solr /vsftpd

ITインフラ PC 製品
ZOTAC

ITインフラサーバー
Web公開サーバー構築

ITインフラネットワーク
プログラミング /機器 /構築

ITインフラセキュリティ
公開サーバーのセキュリティ

SI
ホームページの作り方 /小さな会社のISMS

その他
IT用語 /ITスキル体系 /トレンド履歴

スポンサーリンク

関連サイト内検索ツール

zealseedsおよび関連サイト内のページが検索できます。

IPアドレス確認ツール

あなたのグローバルIPアドレスは以下です。

54.162.118.107

HTMLの表示色確認ツール

パスワード生成ツール

文字数のプルダウンを選択して、取得ボタンを押すと「a～z、A～Z、0～9」の文字をランダムに組み合わせた文字列が表示されます。

ここに生成されます。

スポンサーリンク