【完全版　セキュリティ強化】3ステップで下層ディレクトリへのWordPressのインストール【index.phpの書き方も紹介】

こんにちは。

ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。

このサイトは、IT関係について説明しています。

今回は、セキュリティ向上のためにWordPressを下層ディレクトリへインストールする方法について紹介します。

WordPressを下層ディレクトリにインストールする意味

WordPressを下層ディレクトリにインストールする意味は、ログイン画面へのブルートフォースアアタックを抑制するためのものです。

注）抑制であり、完全に防ぐことはできません。

ブルートフォースアタックとは、力づくでログイン画面を突破するものであり、パスワードを乱れ打ちすることでヒットするものを探す手法です。

ハッカーはWordPressのサイトを見つけると、http://example.com/wp-login.phpにアクセスし、ブルートフォースアタックを仕掛けます。

見事パスワードがヒットすれば、WordPressはハッカーに汚染されます。

しかし、任意のディレクトリにWordPressを配置することで、ログイン画面は次のURLになります。

http://example.com/設定したディレクトリ/wp-login.php

ここで未確定情報として、「設定したディレクトリ」がわからなければ、ログイン画面にたどり着けず、ブルートフォースアタックを仕掛けることができなくなります。

実際には、慎重にHTMLの構成を見ていけば、どのディレクトリにWordPressが設置されているかがわかり、ログインページのURLもわかるのですが、セキュリティの高い面倒なサイトは、ハッカーは意外と手を引きます。

彼らは、手っ取り早くセキュリティの貧弱なWordPressを数多く乗っ取り、何かしらの（怪しい）行為を行うためにハッキングを行うからです。

つまり、「このWordPressはセキュリティが高いから、いい加減手を引いてくださいな」とあきらめてもらう手法の一つといえるでしょう。

FTPが接続は可能ですか？

この記事では、FTP接続ができていることを前提条件とします。

FTP接続ができていない場合や、FTPについて知らない場合は、まずはそちらのほうを理解してください。

どうしても、下層ディレクトリに設置したWordPresをルートディレクトリで動作させるには、FTPが必要です。

→FFFTPのインストールと使い方

手順1：WordPressを任意の下層ディレクトリに設置する

まずは、wordpressディレクトリ内へ普通にWordPressをインストールします。

結局インストール方法は全く同じなんです。

下層ディレクトリへWordPressを設置した場合、WordPress設置ディレクトリと異なるディレクトリでWordPressが動作するようにする設定が必要なだけです。

WordPressの公式サイトより、WordPress本体をダウンロードいます。

WordPressは完全に無料なので安心してください。

→【公式】WordPressのダウンロード

そして、ダウンロードしたWordPressを解凍します。

ダウンロードが完了すると、ダウンロードフォルダの中に「wordpress-4.9.8-ja.zip」があります。

右クリックして「すべて展開」をクリックし、解凍します。

解凍には少し時間がかかります。

その間待ちましょう。

なお、4.9.8は、記事投稿時点での最新版のWordPressです。

ダウンロードするときには必ず最新版のWordPressをダウンロードしてください。

解凍したら、「wordpress-4.9.8-ja」フォルダ内の「wordpress」フォルダが開きます。

この「wordpress」フォルダを、そのままFFFTPでドメイン直下にアップします。

FFFTPは、ドラッグアンドドロップでアップロードできるので、wordpressフォルダを選択し、そのままFFFTPのサーバー側まで引っ張ればいいです。

FFFTPの使い方の詳細は、次の記事を参考にしてください。

→FFFTPの使い方

http://exapmle.com/wordpress/wp-login.phpにアクセスすると、データベースとの確立を行う5分間インストールの画面になるので、レンタルサーバーから必要な情報を取得して入力します。

ここでわからなくなった時には、5分間インストールの画面の設定方法をご覧ください。

→WordPressの5分間インストールの設定方法

手順2：WordPressの設定で「サイトアドレス」を変更する

次に、設置したWordPressにログインしてください。

ログインURLは、

http://example.com/wordpress/wp-login.php

となります。

そして、「設定」→「一般」と進みます。

「サイトアドレス」の欄で次のような変更を行います。

http://example.com/任意のディレクトリ/

↓↓↓

http://exapmle.com/

変更前はこのようになっています。

変更後はこうなります。

注意点としては、WordPressアドレスは絶対に変更しないでください。

サイトアドレスのみを変更します。

これで、一時的にサイトは表示されなくなりますが、そこは安心してください。

管理画面へは問題なくアクセスできるはずです。

手順3：FTPで必要なファイルをアップロードする

最後に、必要なファイルをFTPでアップロードします。

FFFTPにより、

http://example.com/wordpress/

にある、

.htaccess

を、

http://example.com/

へコピーします（移動ではありません。）。

次に、次のphpコードをコピーアンドペーストし、index.phpと保存しhttp://example.com/にFFFTPを使ってアップロードします。

文字コードはBOMなしのUTF-8です。

Windowsのメモ帳ではBOMなしのUTF-8が選択できないので、TeraPadにより作成してください。

TeraPadの使い方は、次の記事を参考にしてください。

→TeraPadのインストールと使い方

<?php
define('WP_USE_THEMES', true);
require( dirname( __FILE__ ) . '/wordpress/wp-blog-header.php' );

<?php

define('WP_USE_THEMES', true);

require( dirname( __FILE__ ) . '/wordpress/wp-blog-header.php' );

http://example.com/に、トップページが表示されていれば完成です。

まとめ

WordPressのインストール方法と、FTP接続ができるなら、比較的簡単にWordPressを仮想ディレクトリに設置できたと思います。

これにより、セキュリティプラグインに頼る前に、第一の壁ができるのと同じなので、WordPressのセキュリティを強化できるといえるでしょう。

以上、WordPressのインストール、セキュリティ強化の参考になれば幸いです。