WordPressを導入したら最初にすること

WordPressをセットアップしたら、まずセキュリティ対策と公開するまでのガードをしておく。
チェックリストな目的で書き留めるもの。
各プラグインなどについては、ネット上に数多く解説されているので必要に応じて参照されたい。

公開までブログをガードする

サイトを工事中にする

1. Maintenanceプラグインの導入

   Maintenanceプラグインを導入し、まずはサイトを工事中としておく。
   プラグインをインストールするだけで、WordPressへログインしていないユーザへはメンテナンス画面を表示する。
   メンテナンス画面での表示文字列などを、管理画面から調整しておく。

サイト情報の登録

1. サイトタイトルと、キャッチフレーズ（任意）の設定

   『設定』→『一般』→『サイトタイトル』

セキュリティ設定

1. 最新バージョンへアップデート

   本体はもちろん、テーマやプラグインは常に最新版に保つこと（あたりまえ）。

2. 常識的な処理

   以下に示すような基本的な対策を検討する。

   ・wp-config.phpはアクセス不可に設定
   ・wp-login.phpの名前を変更しておく
   ・データベースのプレフィックスはデフォルトから変更しておく
   ・デフォルトユーザの「admin」は使わない（削除しておく）
   ・ログイン画面はSSL通信にする
   ・二段階認証などの導入を検討する
   ・『設定』→『ディスカッション』の「この投稿に含まれるすべてのリンクへの通知を試みる」必要があるか？を考える
   ・同様に「他のブログからの通知（ピンバック・トラックバック）を受け付ける」必要があるか？を考える

   Akismetプラグインを導入

   Akismetプラグインは、コメントスパムなどを判定し、除去してくれるプラグイン。

3. Jetpackプラグインを導入

   様々な機能があるが、この「プロテクト」を有効にすることで、ログインページへの総当り攻撃をガードしておく。
   クラウドベースのツールで、このプラグインを導入している世界中のユーザのログイン試行の失敗が追跡されており、短時間で同一IPによる試行の失敗が多数あった場合、このプラグインを導入しているすべてのサイトへ当該IPからのログインがブロックされるようになっている。

4. SiteGuard WP プラグインを導入

   いわゆるCAPCHAと同じだが、日本語のキャプチャが現れる。
   プラグインを有効化するだけでデフォルト設定で有効となる。

5. Crazy Bone プラグインを導入

   ログイン履歴を保持する。『ユーザー』画面に『ログイン履歴』画面が追加される。
   複数端末（PCとスマホなどのIPが異なる環境）でログインしたとき、警告が表示されるので驚く。

6. Disable XML-RPC Pingback プラグインを導入
   Pingbackを悪用したDDoS攻撃対策を行なう。

その他、大切なデータを扱うならば「All In One WP Security & Firewall」や「Ccunetix WP Security」プラグインなどの導入を検討する。