WordPressだとバレないよう隠すための設定・改造方法

こんにちは、日本で最も利用されているWordPressのサーバー移転＆保守管理サービス『サイト引越し屋さん』です。

弊社のクライアントさんからもたまにご相談いただきますが、WordPressを運用中またはこれから運営を開始される方の中には、WordPressのセキュリティに不安を感じ「WordPressサイトだとバレないよう隠したい」と考える方もいると思います。

WordPressは無料かつ高機能なだけあって利用者数も年々増加しており、その分WordPressへのサイバー攻撃をたくらむ人たちも多くいます。

そういった方達からWordPressを守るために、本記事では、運用しているWebサイトがWordPressだとバレないよう隠す方法をプロの視点から解説していきます。

WordPressだとバレないための設定・改造方法

WebサイトがWordPressだとバレないための対策を５つ紹介していきます。

1. ログインページ変更
2. カテゴリーページURLの変更
3. パーマリンクの変更
4. 画像フォルダの変更
5. ヘッダー内の記述を削除

どれもWordPressの特徴を細工する形になるので、WordPressとはバレにくくなります。

1.ログインページ変更

まずはログインページの変更です。WordPressのログインページは基本的に、下記２つのどちらかとなっています。

• ドメイン名/wp-admin.php
• ドメイン名/wp-login.php

そのため、ドメイン名の後に上記のURLを入れるとWordPressのログインページが表示されてしまい、サイトがWordPressで構築されているとバレてしまいます。

それを隠すためにログインページのURLを変更しておきます。

やり方は「SiteGuard WP Plugin」というプラグインにより実装します。詳しくはこちらの記事が参考になります。

2.カテゴリーページURLの変更

WordPressの特徴的なURLとしてカテゴリーページも挙げられます。WordPressのカテゴリーページURLはデフォルトで「ドメイン名/category/カテゴリー名/」という形式になっており、これもWordPressだとバレる原因の１つになります。

このURL形式に対する対処としては、「/category」部分を削除し、カテゴリー名だけを表示すればWordPressとは分からなくなります。そのために使うのが「No Category Base」プラグインです。

こちらのプラグインはインストールして有効化すればすぐに適応されます。ちなみに、当サイト（サイト引越し屋さん）でも使用しています。

3.パーマリンクの変更

WordPressだとバレる原因の１つにパーマリンクも挙げられます。たとえば、URL形式が「?=○○」のような形になっている場合、WordPressだと推察される可能性があります。それ以外の形式であればリスクは低くなります。

お勧めの形は、個別でパーマリンク名を決めていく「%postname%」かIDが自動で当てられる「%post_id%」です。語尾に「.html」などを付けるとさらにバレにくくなります。

4.画像フォルダの変更

以外に見落とされがちな箇所として、画像フォルダのURLも挙げられます。WordPressのデフォルト画像フォルダは「ドメイン名/wp-content/uploads/～」です。この中でWordPressだとバレてしまう原因は「wp-content」というフォルダ名にあります。

ですので、このフォルダ名を違う格納先に変更することでWordPressとはバレなくなります。

※以下では具体的な設定変更の解説をしておりますが、ここでご紹介しているのは今後アップロードされるメディアファイルが対象になります。過去にアップロードしたファイルが存在する場合は、別途パス書き換え等が必要になります。

やり方は、まずFTPソフトでWordPressが格納されているサーバーに繋いで、ドメイン直下（wp-contentのフォルダがある階層）に新しい画像格納用フォルダを任意の名称で作成します。

今回は「images」というフォルダ名で作成してみました。
パーミッション（フォルダへのアクセス許可設定）は755にしてください。
該当フォルダへ右クリック⇒プロパティへ進み、パーミッションのところで変更可能です。

次に、WordPressが画像を保存する際の保存先設定を変えていきます。
「ドメイン名/wp-admin/options.php」へアクセスしてください。

WordPressの「すべての設定」ページを表示が表示されます。
アルファベット順になっています。下記の項目に入力しましょう。

• upload_path：先ほど作成した画像フォルダ名
  ※今回の例だと「images」
• upload_url_path：先ほど作成した画像フォルダ名までの完全なパス
  ※今回の例だと「https://site-hikkoshi-test.com/images」

入力できたらページ最下部までいき「変更を保存」を押して変更完了です。
これで今後アップロードされる画像類はオリジナルフォルダに格納されるようになりました。

5.ヘッダー内の記述を削除

WordPressの一部バージョンでは、ヘッダー（タグ内）にWordPressのバージョン情報を記載している場合があります。これではWordPressだとバレバレです。なおかつ、バージョン毎に存在するセキュリティの弱点を攻撃される可能性さえあります。

バージョン情報の記載を無くす方法として、functions.phpファイルを用いて表示を制御します。
WordPress管理画面の「外観」>「テーマエディタ」に進み、右側にたくらん並んでいるファイル名から「functions.php」を選択します。

functions.phpを開いたら、最終行に下記のコードを追加してください。

remove_action('wp_head', 'wp_generator');

これでヘッダー内のWordPressのバージョン情報が非表示になります。

＝＝＝

WordPressのメンテナンスや管理にお困りではないですか？
サイト引越し屋さんにてWordPressの保守管理を代行可能です。

>>詳しいサービス紹介はこちらをクリック

施策の際はURL変更に注意

さて、WordPressだとバレないための対策は以上になりますが、最後にURL変更に関する注意点をお伝えしておきます。

今回ご紹介した方法の多くは、サイト全体または一部のURL変更が伴います。そのため、カテゴリーページや個別記事ページのURLが変わることになり、SEO評価にも影響が出る可能性があります。

もしもSEO的に大きな評価を得ているページや集客に大きく寄与しているページのURLが変更となる場合には、「Redirection」プラグインなどを活用し、元URLから新URLへ、ちゃんとリダイレクトしておくようにしましょう。

WordPressサイトの改ざん/乗っ取り対策

そもそもあなたのサイトはWordPress改ざん（乗っ取り）の対策ができていますか？

WordPressだと分からないようにしたとしても、もしセキュリティが甘ければ見つかると簡単に改ざんや乗っ取りをされる可能性があります。

過去にサイト引越し屋さんにご相談いただいたセキュリティ事故事例では、１つのサイトがハッキングされた際にサーバー内すべてのサイトに被害が広がり、最終的には全サイトをサーバー移転しなければいけなくなったケースもあります。

そのため、WordPressを隠す対策に加えて、セキュリティ面も強化しておくことをお勧めします。

データのバックアップ対策も忘れずに！

Webサイトを安全に運営していくうえで大事なことの１つにバックアップがあります。バックアップとは、Webサイトのデータを手元に保存しておくことです。

WordPressはWebシステムですから、サーバーの環境によって誤作動が起きたり、間違ってサイトを壊してしまうこともあります。そんな時にバックアップがあればサイトを復旧可能です。

詳しくはこちらを参考にバックアップを行うようにしてください。