- サイト乗っ取り(改ざん)
運営中のサイトがWordPressだとバレたくない時の設定・改造方法
WordPressを運用中またはこれから運営を開始される方の中には、WordPressのセキュリティに不安を感じ「できればWordPressサイトだとバレたくない」と考える方もいると思います。
WordPressは無料かつ高機能なだけあって利用者数も年々増加しており、その分WordPressへのサイバー攻撃をたくらむ人たちも多くいます。
そういった方達からWordPressを守るためには、そもそもWordPressだとバレないようにしておくのも1つの手です。
「自社サーバーからレンタルサーバーへ引越したい。」
「自分で作業すると失敗しそうで不安。」
そんなときはサイト引越し屋さんにお任せください。
プロのエンジニアがサーバー移転作業を代行いたします。
些細なご質問などでもお気軽にご相談くださいませ^^
>>無料ご相談窓口はこちら
目次(クリックで飛べます!)
WordPressサイトの改ざん/乗っ取り対策を検討しよう
本題に入る前に、そもそもあなたのサイトはWordPress改ざん(乗っ取り)の対策ができていますか?
WordPressだと分からないようにしたとしても、もしセキュリティが甘ければ見つかると簡単に改ざんや乗っ取りをされる可能性があります。
まずはWordPressを隠す対策の前に、セキュリティ面の強化もチェックしておくことをお勧めします。
WordPressだとバレないための設定・改造方法
ではここからは本題、サイトがWordPressだとバレないための対策を5つ紹介していきます。
どれもWordPressの特徴を細工する形になるので、WordPressとはバレにくくなります。
ログインページ変更
まずはログインページの変更です。WordPressのログインページは基本的に、下記2つのどちらかとなっています。
- ドメイン名/wp-admin.php
- ドメイン名/wp-login.php
そのため、ドメイン名の後に上記のURLを入れるとWordPressのログインページが表示されてしまい、サイトがWordPressで構築されているとバレてしまいます。
それを隠すためにログインページのURLを変更しておきます。
やり方は「SiteGuard WP Plugin」というプラグインにより実装します。詳しくはこちらの記事が参考になります。
カテゴリーページURLの変更
WordPressの特徴的なURLとしてカテゴリーページも挙げられます。WordPressのカテゴリーページURLはデフォルトで「ドメイン名/category/カテゴリー名/」という形式になっており、これもWordPressだとバレる原因の1つになります。
このURL形式に対する対処としては、「/category」部分を削除し、カテゴリー名だけを表示すればWordPressとは分からなくなります。そのために使うのが「No Category Base」プラグインです。
こちらのプラグインはインストールして有効化すればすぐに適応されます。ちなみに、当サイト(サイト引越し屋さん)でも使用しています。
パーマリンクの変更
WordPressだとバレる原因の1つにパーマリンクも挙げられます。たとえば、URL形式が「?=○○」のような形になっている場合、WordPressだと推察される可能性があります。それ以外の形式であればリスクは低くなります。
お勧めの形は、個別でパーマリンク名を決めていく「%postname%」かIDが自動で当てられる「%post_id%」です。語尾に「.html」などを付けるとさらにバレにくくなります。
画像フォルダの変更
以外に見落とされがちな箇所として、画像フォルダのURLも挙げられます。WordPressのデフォルト画像フォルダは「ドメイン名/wp-content/uploads/~」です。この中でWordPressだとバレてしまう原因は「wp-content」というフォルダ名にあります。
ですので、このフォルダ名を違う格納先に変更することでWordPressとはバレなくなります。
※以下では具体的な設定変更の解説をしておりますが、ここでご紹介しているのは今後アップロードされるメディアファイルが対象になります。過去にアップロードしたファイルが存在する場合は、別途パス書き換え等が必要になります。
やり方は、まずFTPソフトでWordPressが格納されているサーバーに繋いで、ドメイン直下(wp-contentのフォルダがある階層)に新しい画像格納用フォルダを任意の名称で作成します。
今回は「images」というフォルダ名で作成してみました。
パーミッション(フォルダへのアクセス許可設定)は755にしてください。
該当フォルダへ右クリック⇒プロパティへ進み、パーミッションのところで変更可能です。
次に、WordPressが画像を保存する際の保存先設定を変えていきます。
「ドメイン名/wp-admin/options.php」へアクセスしてください。
WordPressの「すべての設定」ページを表示が表示されます。
アルファベット順になっています。下記の項目に入力しましょう。
- upload_path:先ほど作成した画像フォルダ名
※今回の例だと「images」 - upload_url_path:先ほど作成した画像フォルダ名までの完全なパス
※今回の例だと「https://site-hikkoshi-test.com/images」
入力できたらページ最下部までいき「変更を保存」を押して変更完了です。
これで今後アップロードされる画像類はオリジナルフォルダに格納されるようになりました。
ヘッダー内の記述を削除
WordPressの一部バージョンでは、ヘッダー(タグ内)にWordPressのバージョン情報を記載している場合があります。これではWordPressだとバレバレです。なおかつ、バージョン毎に存在するセキュリティの弱点を攻撃される可能性さえあります。
バージョン情報の記載を無くす方法として、functions.phpファイルを用いて表示を制御します。
WordPress管理画面の「外観」>「テーマエディタ」に進み、右側にたくらん並んでいるファイル名から「functions.php」を選択します。
functions.phpを開いたら、最終行に下記のコードを追加してください。
remove_action('wp_head', 'wp_generator');
これでヘッダー内のWordPressのバージョン情報が非表示になります。
施策の際はURL変更に注意
さて、WordPressだとバレないための対策は以上になりますが、最後にURL変更に関する注意点をお伝えしておきます。
今回ご紹介した方法の多くは、サイト全体または一部のURL変更が伴います。そのため、カテゴリーページや個別記事ページのURLが変わることになり、SEO評価にも影響が出る可能性があります。
もしもSEO的に大きな評価を得ているページや集客に大きく寄与しているページのURLが変更となる場合には、「Redirection」プラグインなどを活用し、元URLから新URLへ、ちゃんとリダイレクトしておくようにしましょう。
データのバックアップ対策も忘れずに!
Webサイトを安全に運営していくうえで大事なことの1つにバックアップがあります。バックアップとは、Webサイトのデータを手元に保存しておくことです。
WordPressはWebシステムですから、サーバーの環境によって誤作動が起きたり、間違ってサイトを壊してしまうこともあります。そんな時にバックアップがあればサイトを復旧可能です。
詳しくはこちらを参考にバックアップを行うようにしてください。
「万が一に備えてバックアップ機能を実装しておきたい。」
「自分では設定方法が分からないため代行して欲しい。」
そんなときはサイト引越し屋さんにお任せください。
プロのエンジニアが設定作業を代行いたします。
些細なご質問などでもお気軽にご相談くださいませ^^
>>無料ご相談窓口はこちら
この記事を書いた人
サイト引越し屋さん編集部
日本で最も利用されているサーバー移転&保守代行サービス『サイト引越し屋さん』の中の人です。 サイト引越しに関わる技術情報をはじめ、WordPressやその他のWebサービスに関するノウハウを発信しています。 全日本SEO協会所属。日本ウェブ解析士協会(WACA)所属。
