WordPressの必須設定10個のコト
SUNYSIDE(サニーサイド)でWordPressサイトを構築する際に、共通して設定するコトをまとめます。
WordPressのイケてるプラグイン
Cloudflare(CDN)でサイトをキャッシュして爆速にする
https://increment-log.com/cloudflare-wordpress-plugin/
1ドメインであれば完全無料で利用できるCDNなので、とてもオススメです。
導入するとGTmetrixなどの評価もかなり改善されます。
サイトの表示速度を改善すると、Googleの検索順位にもプラスに影響します。
Autoptimizeでファイルを圧縮して高速化する
https://akki-road.com/archives/1892
InstantClickでページの読み込み速度UP
https://worklog.be/archives/3505
Pz-LinkCardでブログリンクをカード表示にする
https://netaone.com/wp/pz-linkcard/
同じくWordPressを用いているページ(外部サイト含む)へのリンクが、カード表示になって記事が読みやすくなります。
Google XML SitemapsでSEO対策する
https://bazubu.com/google-xml-sitemaps-27067.html
Work dot.も、このプラグインを利用した直後から、Googleが検索で拾ってくれるようになりました。かなり効果抜群です。
UpdraftPlus – Backup/Restoreでバックアップ
https://iwaki-kosodate.net/how-to-use-updraftplus/
WordPressのセキュリティ対策
Login rebuilderでログインページを特定させない
https://elearn.jp/wpman/column/login-rebuilder.html
ログインIDとパスワードが漏れなければ、基本的にはサイト乗っ取りは不可能です。ただし、念には念をいれておいて損はないと思います。
WordPressのログインページは、デフォルトで /wp-login.php と固定されています。そのURLを変更して、ログインページを外部からわからなくする対策です。
ログインユーザー名を特定させない
https://fit-jp.com/loginsecurity/
WordPressはデフォルト設定のままだと、ドメインの後ろに「/?author=1」をつけると、最初に作成したユーザーページが表示されます。
ほとんどのユーザーが、「/?author=1」のユーザー名で運営を行うため、ログインIDが外部に筒抜けの状態になっています。もし、想定されやすいパスワードを設定していたとしたら、簡単にサイトの乗っ取りが可能となってしまうワケです。
WP Security Audit Logでもしものときにログを残す
https://hacknote.jp/archives/50397/
コメント欄は無効にする(不要であれば)
https://shiritai.net/comment_stop/
“フォーム”や”コメント欄”は、WordPressの中でも脆弱性が発見される頻度が高いです。実際、過去に某企業サイトで攻撃を仕掛けられたときがありましたが、この部分でした。
また、掲示板などのコメント欄には、悪意のあるサイトのURLを投稿される可能性があります。投稿表示を承認制にもできますが、運用コストが増えるので無効にするのが手っ取り早いです。
あとがき
WordPressのセキュリティ対策はイタチごっこの側面があるため、常に新しい対策を取り入れていかなければいけません。
この労力を考えると、有料サービスを利用したり、静的にサイト構築した方が楽に感じる面もありますが、条件さえ合致すればまだまだ便利なシステムです。
お客さまのサイト構築にWordPressを使う際、セキュリティ対策や便利な機能を自分ゴト化して考えられるよう、SUNYSIDEでは自社サイトでもWordPressを導入すべきと考えました。
本サイト(WORK dot.)は、WordPressを用いて構築していますので、本サイトの運用で得たノウハウは、随時こちらで共有していきます。
画像引用:WordPress
SUNYSIDE Inc.
- 前の記事
国税庁法人番号公表サイトに会社の英語表記を登録する│SUNYSIDEの起業体験 2019.08.15
- 次の記事
法人登記するとDMがたくさん届くのはなぜか? 2019.08.17