WordPressの運用

WordPressをインストールする前と直後に決めなければならない事

2017.10.05

隠す

WordPressでサイトを制作する時、インストール前とインストール直後に決めておいた方がいいことがあります。作りにもよりますが、後で変更するのが大変だからです。

後々のセキュリティー対策や運営面にも影響を及ぼしますので、はやる気持ちを抑えて、まずは、決める事を決めちゃいましょう。

インストールディレクトリを決める

インストール前に決めることはインストールディレクトリをどにするか決める事だけです。なんとなくとか適当な理由で決めちゃダメですよ!

公開領域直下が望ましい

WordPressをインストールするディレクトリは、セキュリティ的に公開領域直下が望ましいと考えます。データベースの接続情報などを記述するwp-config.phpを一つ上の階層に置けるからです。

一つ上の階層は非公開領域です。

つまり非公開領域にwp-config.phpを格納することで、大事な情報への不正アクセスを防ぎ、セキュリティ的に望ましい階層構造を作ることができます。

ちなみにWordPressは一つ上の階層にあるwp-config.phpは特に何も設定しなくても読みに行ってくれます。

wp-config.phpを上の階層に上げられない場合

サーバーや運営上の都合で、wp-congig.phpを上の階層に上げられない場合は、wpなどの安直なネーミングを避け、ディレクトリ内に格納することを、オススメします。ディレクトリが散らからないですし、後述の隠蔽のセキュリティを行うことができます。

WordPressのパスを隠すか決める

インストール後に決めることはWordPressのパスを隠すかどうかです。
WordPressのパスを隠すと

  • 隠蔽のセキュリティーが行える
  • ファイルのパスが冗長にならない

メリットはあまり多くもなく、効果も・・・・なのですが私はいつもやっています。隠蔽のセキュリティはともかく、ファイルパスが冗長になるのは、制作者として抵抗があるからです!

隠蔽のセキュリティーとは

先ほどからちらほら上がっている隠蔽のセキュリティーとはその名の通り隠すことによりセキュリティ効果を高めることです。

色々議論され意味がないとも言われていますが、少なくとも攻撃者に与える情報を最小限に抑えることができますし、多数をターゲットにした無差別なアタックには有効だと考えます。

メデイアのアップロードパスの設定

WordPressを隠蔽するのなら、メデイアのアップロードパスの変更は必須です。アップロードパスの変更はoptions.phpから行います。以下がパスです。

インストール先/wp-admin/options.php

upload_pathupload_url_pathを変更します。

例えば、https://example.jp/images/をアップロードディレクトリにするなら以下のように設定します。

upload_path images
upload_url_path /images

インストール直後は、その他にも設定する項目は山ほどありますが、後は構築していきながら、設定と対策を施していけば大丈夫です。

セキュリティにもトレードオフが伴う

人間のすることなので、セキュリティーはやってやりすぎってことはないのですが、隠蔽のセキュリティーは作業量に見合う効果はないのかもしれません。まぁその辺はこだわりと、工数のトレードオフですよね。どちらにしろ、ここで上げたことはインストール前後に確定することがベターなのに変わりありません。

WEBSITE DESIGN REQUEST

ホームページ制作依頼について

W・D・Sでホームページ制作をご希望の方はお気軽にご相談ください。
制作内容、ご予算、納期をお知らせいただくとスムーズです。

ホームページ制作を相談する