ワードプレスの新規投稿の方法

ワードプレスで新規投稿するには、まずログインします。

投稿を追加

左メニューの【投稿】をクリック。
次に【投稿を追加】をクリック。

新規投稿画面が表示されるので、コンテンツを記入します。

見出し

ページ内の情報を整理するために、見出しを利用しましょう。
上部メニューの【段落】→【見出し】をクリック。

文字を書く前でも、書いた文字を選択した場合でも見出しになります。
初期値はh2という大きい見出しです。
１つ小さいh3見出しにする場合は、上部メニューのh2をクリックするとh3も選べます。

基本は、h2見出し＋h3見出し＋段落で情報を整理するとよいでしょう。

構造化

ページ全体のイメージとして、下記のように情報が整理してあると良いでしょう。
これのように情報を整理することを、記事の構造化といいます。

画像の挿入

画像を挿入する場合は、まず画像を用意しておきます。
スマホの画像をそのままだとサイズが大きすぎるので、サイズ調整するのがおすすめです。

私の場合は基本は、1200px。記事内の説明画像などは600pxにしています。
あまり大きいと、特にスマホでは読み込みに時間がかかるためです。

サイズ調整は使っているアプリがあればそれでOK。
これからならば、canvaがおすすめです。

１つめの画像挿入方法

１つめ。「ブロックを選択するには「/」を入力」と表示されている場所へ、画像をドラッグアンドドロップします。※マウスやタッチパネルで掴んでポイ。
最初はこれでもいいでしょう。

２つめの画像挿入方法

できればこちらの方法で。

もう１つは、右側の黒い＋ボタンをクリック。 ※ない場合は改行をするとでます。
画像をクリック ※ない場合は検索で「画像」と入力してクリック

「アップロード」は、アップロードする画像を選択します。
「メディアファイル」は、すでに登録済みの画像を選択します。
「URLから挿入」は、他のサイトにある画像を選択します。

アップロードかメディアファイルになるでしょうが、おすすめはメディアファイルです。

おすすめの画像挿入方法

私の場合は、「メディアファイル」を選び、その画面でドラッグアンドドロップ。
登録がラク＋ファイルのalt（代替テキスト）とタイトルを入力がカンタンなため。

代替テキストもタイトルも同じで良いので、なんな画像なのかを入力しましょう。
１つめの方法よりも手順が増えますが、できればこちらで慣れて欲しいです。

ちなみに１つめ２つめの「アップロード」でも画像挿入したあとは、左メニューの【メディア】から画像を確認し、alt（画像の情報）を設定することができます。

しかし面倒ですよね。なので、おすすめの「メディアファイル」からの方法で一緒にやってしまうのがよいでしょう。

文字装飾

文字の装飾方法を説明します。

基本的な文字装飾

装飾したい文字を選択して、上部メニューの【Ａ（文字）】から、総力を選ぶだけ。
このように。赤文字 にカンタンにできます。

文字の大きさ

文字の大きさは、同じく文字を選択して上部メニューの【フォントサイズ】Tのマーク？
ここからこのように文字のサイズを変えられます。

アンダーラインマーカー

文字をシンプルに強調したい場合は、アンダーライン。
このように、文字の下や背景にマーカーを引けます。

公開方法

コンテンツを書き終わったら公開です。
右上の【公開】をクリックすれば公開できます。
下書き保存の場合は、公開のちょい左にある【下書き保存】。

しかーし、設定した方が絶対によい項目があります。
基本的には、これらも用意してから公開しましょう。

アイキャッチ画像

この投稿のアイキャッチ画像です。一覧などで表示される表紙の画像。
YouTubeのサムネイル画像ですね。1200pxサイズ、16:9比率の画像を用意しましょう。
私の場合は、今はもう生成AIに「サムネイルっぽいアイキャッチ画像にして。※本文※」と作ってもらいます。

スラッグ

この投稿のURLになります。ちょっと最初は迷いますが、これも必須。
迷ったら、タイトルを英数字にするのがおすすめです。翻訳でも可。

私の場合は、生成AIに「スラッグにして。※タイトル※」と作ってもらいます。

カテゴリー

作成した記事のカテゴリーです。最初は記事も少ないと迷うはず。
なので、１０記事くらい揃うまでは、無視でもいいでしょう。

記事が揃ってきたら、この記事はこのテーマだなと分けられるでしょう。
最初は無視でも、定期的に整理をしましょう。

ちなみにこのページのカテゴリは、

・Web制作
・ワードプレス操作マニュアル
です。

タグ

タグも最初は難しいので、無視でもかまいません。
ここでのタグは、ホームページ（ブログ）内で、関連のある記事を結ぶためのものです。

カテゴリーは違うけど、記事をつなげておく場合に設定します。
カテゴリとは違う切り口、ということですね。

私はこれも生成AIに聞いて、この記事は「ワードプレス, 新規投稿, 画像挿入, アイキャッチ画像, ブロックエディタ」にしました。

すごく重要！というわけでもないので、ざっくりでOK。
迷うくらいなら、最初の頃はなしでも可。

まとめ

この記事では、ワードプレス（WordPress）のブロックエディタを使った新規投稿の基本から公開までの流れをステップごとに解説しました。主なポイントをまとめると：

• 投稿の開始：ダッシュボードから【投稿】→【投稿を追加】で新規画面を開く。
  
• コンテンツの整理：見出し（h2・h3）を活用して記事を構造化。読みやすさとSEOの両方を強化。
  
• 画像の挿入：おすすめは「メディアファイル」からドラッグ＆ドロップ＋altテキスト設定。画像サイズはスマホ読み込みを考慮して1200pxや600pxに調整。
  
• 文字装飾：太字・色変更・フォントサイズ・マーカー（アンダーライン）で簡単に強調。視覚的に訴求力をアップ。
  
• 公開前の必須設定：
  • アイキャッチ画像：1200px・16:9比率で一覧映えする表紙画像（生成AIで簡単に作成可能）。
  • スラッグ：URLをわかりやすく（英数字推奨、AIで自動生成も便利）。
  • カテゴリー・タグ：最初はシンプルに、後で記事が増えたら整理。

これらの基本を押さえておけば、初心者でも読みやすくクオリティの高い記事がスムーズに作れるようになります！

投稿を重ねるごとに操作が体に染みつき、ブログがどんどん成長していきますよ♪生成AIを活用しながらどんどん投稿を増やしていけば、ブログがみるみる形になっていきますよ。

生成AIに関しては、また別の機会にご説明します。
最初は経験値稼ぎだと思って、がんばりましょう。

WordPress管理画面への入り方

ワードプレスへログインするのは３ステップ。
またせっかくですので設定済みのセキュリティ対策の説明もしておきます。

• ログインページへアクセス
• IDとパスワードを入力
• セキュリティ対策があれば対応

ログインページへアクセス

初期状態では、「/wp-login.php」「/wp-admin/」です。

https://ドメイン/wp-login.php
https://ドメイン/wp-admin/

しかしこの初期状態では、マルウェアなどのボット攻撃のカモです。
だってログイン画面が丸出しなのですから、金庫の場所がバレているようなもの。

そのためWeb制作時には、セキュリティ対策としてログイン画面は隠します。
クライアントにはセキュリティ対策をしたURLをお伝えしているので、不明な場合はご連絡ください。

IDとパスワードを入力

IDとパスワードは入力するだけ。
いまさらですが、パスワードは強固なものにしておきましょう。

「パスワード自動生成」なんて検索すると簡単につくれます。
今ならAIに作ってもらってもいいでしょう。

ちなみに初期状態だと、https://ドメイン/?author=1 で、ログインIDが表示されます。
こちらのセキュリティ対策もしないと、ログインページとログインIDが公開されているようなものです。

クライアントの方には、強固なパスワードをお伝えしているのでそのまま入力でOK。
ログインID対策もしてあるのでご安心ください。

セキュリティ対策があれば対応

代表的なのが、文字入力です。
ボットによる自動攻撃などを防ぐためのセキュリティ対策です。

特に日本語の場合、日本語CAPTCHAは海外ボットには効果的。
しっかりと設定しておきましょう。

この対策がない場合、ログインページ、IDがわかるので、パスワードの自動攻撃でログインされるリスクがとても高いということですね。

ほか

ログイン状態を保存する

自分のパソコン、スマホ、タブレットなら「ログイン状態を保存する」にチェックしておくと、しばらくはログインしっぱなしになります。

パスワードを忘れたら

パスワード忘れの場合、「パスワードをお忘れですか ?」をクリック。
ユーザー名か登録メアドを入力すると、メールでパスワードリセットができます。

ログインしたら

cromeなどのブラウザでは、ブラウザへログイン情報を記録できます。
保存させておくと便利でしょう。

パスキーや二段階認証

Google Authenticatorによるパスキーや、Authyを使った二段階認証もあります。
しかしここでは、情報発信のブログには手間になると考えて設定していません。

さっぱりログイン情報がわからなくなった

クライアントの場合、ログインURLを忘れた・わからなくなった場合は、お気軽に当社までご連絡ください。すぐに専用URLをお送りします。

プラグイン

現在利用中のワセキュリティプラグインは、「SiteGuard WP Plugin」と「Wordfence Security」です。自動更新も設定済みです。

WordPress管理画面FAQ

🔑 WordPressのログインページはどこにありますか？

WordPressの初期状態では、ログインページは以下のURLです。

• https://ドメイン/wp-login.php
• https://ドメイン/wp-admin/

ただし、このままではボット攻撃の標的になりやすいため、制作時にログインURLを変更している場合があります。クライアントの方は、必ず提供された専用URLをご利用ください。

🛡️ なぜログインURLを隠す必要があるのですか？

初期状態のログインURLは公開されているため、攻撃者にとって「金庫の場所がわかっている」状態です。

• ログインページが公開されている
• ログインIDが推測できる（例：https://ドメイン/?author=1）

この条件が揃うと、パスワード総当たり攻撃を受けるリスクが非常に高まります。そのため、ログインURLを隠すことは必須のセキュリティ対策です。

🔐 パスワードはどのように設定すれば安全ですか？

パスワードは12文字以上で、英数字・記号を組み合わせた強固なものを推奨します。

• 「password123」や「admin」などの単純な文字列は危険です
• 無作為に生成されたパスワードを利用しましょう
• 「パスワード自動生成ツール」やAIを活用すると簡単に作成できます

強固なパスワードは、ログイン攻撃を防ぐ最も基本的な対策です。

🤔 ログインIDは公開されてしまうのですか？

初期状態では、https://ドメイン/?author=1 にアクセスするとログインIDが表示されます。これはセキュリティ上の大きな弱点です。
制作時に設定を変更している場合は公開されません。クライアントの方には、ログインID対策済みの環境を提供していますので安心して利用できます。

🧩 ログイン時に文字入力を求められるのはなぜですか？

これはCAPTCHA認証によるセキュリティ対策です。

• ボットによる自動ログイン攻撃を防ぐ
• 特に日本語CAPTCHAは海外ボットに効果的

この認証がない場合、パスワード総当たり攻撃を受けるリスクが高まります。

📱 ログイン状態を保存しても安全ですか？

自分専用のパソコンやスマホであれば「ログイン状態を保存する」にチェックして問題ありません。
ただし、共有PCや公共の端末では絶対に利用しないでください。セッションは通常2週間程度保持されます。

✉️ パスワードを忘れた場合はどうすればいいですか？

ログイン画面の「パスワードをお忘れですか？」をクリックしてください。

• ユーザー名または登録メールアドレスを入力
• 登録メールにパスワードリセット用リンクが送信されます

この手順で新しいパスワードを設定できます。

🌐 ブラウザにログイン情報を保存してもいいですか？

Chromeなどのブラウザにはログイン情報を保存する機能があります。自分専用の端末であれば便利ですが、セキュリティリスクを考慮して利用してください。共有端末では絶対に保存しないことを推奨します。

🔒 二段階認証は必須ですか？

Google AuthenticatorやAuthyを使った二段階認証は強力なセキュリティ対策です。
ただし、情報発信用のブログでは運用の手間が増えるため、必ずしも必須ではありません。セキュリティレベルと運用負担を考慮して導入を検討してください。

😵 ログイン情報を完全に忘れてしまった場合は？

クライアントの場合、ログインURLや情報を忘れた際は制作会社へ連絡してください。すぐに専用URLを再送してもらえます。

🛠️ どのセキュリティプラグインが導入されていますか？

現在利用中のセキュリティプラグインは以下の2つです。

• SiteGuard WP Plugin
• Wordfence Security

両方とも自動更新が設定済みで、最新の状態を維持しています。

📌 参考リンク

• WordPress公式ログインガイド
• 総務省｜サイバーセキュリティ基本情報

WordPress管理画面への入り方

ワードプレスへログインするのは３ステップ。
またせっかくですので設定済みのセキュリティ対策の説明もしておきます。

• ログインページへアクセス
• IDとパスワードを入力
• セキュリティ対策があれば対応

ログインページへアクセス

初期状態では、「/wp-login.php」「/wp-admin/」です。

https://ドメイン/wp-login.php
https://ドメイン/wp-admin/

しかしこの初期状態では、マルウェアなどのボット攻撃のカモです。
だってログイン画面が丸出しなのですから、金庫の場所がバレているようなもの。

そのためWeb制作時には、セキュリティ対策としてログイン画面は隠します。
クライアントにはセキュリティ対策をしたURLをお伝えしているので、不明な場合はご連絡ください。

IDとパスワードを入力

IDとパスワードは入力するだけ。
いまさらですが、パスワードは強固なものにしておきましょう。

「パスワード自動生成」なんて検索すると簡単につくれます。
今ならAIに作ってもらってもいいでしょう。

ちなみに初期状態だと、https://ドメイン/?author=1 で、ログインIDが表示されます。
こちらのセキュリティ対策もしないと、ログインページとログインIDが公開されているようなものです。

クライアントの方には、強固なパスワードをお伝えしているのでそのまま入力でOK。
ログインID対策もしてあるのでご安心ください。

セキュリティ対策があれば対応

代表的なのが、文字入力です。
ボットによる自動攻撃などを防ぐためのセキュリティ対策です。

特に日本語の場合、日本語CAPTCHAは海外ボットには効果的。
しっかりと設定しておきましょう。

この対策がない場合、ログインページ、IDがわかるので、パスワードの自動攻撃でログインされるリスクがとても高いということですね。

ほか

ログイン状態を保存する

自分のパソコン、スマホ、タブレットなら「ログイン状態を保存する」にチェックしておくと、しばらくはログインしっぱなしになります。

パスワードを忘れたら

パスワード忘れの場合、「パスワードをお忘れですか ?」をクリック。
ユーザー名か登録メアドを入力すると、メールでパスワードリセットができます。

ログインしたら

cromeなどのブラウザでは、ブラウザへログイン情報を記録できます。
保存させておくと便利でしょう。

パスキーや二段階認証

Google Authenticatorによるパスキーや、Authyを使った二段階認証もあります。
しかしここでは、情報発信のブログには手間になると考えて設定していません。

さっぱりログイン情報がわからなくなった

クライアントの場合、ログインURLを忘れた・わからなくなった場合は、お気軽に当社までご連絡ください。すぐに専用URLをお送りします。

プラグイン

現在利用中のワセキュリティプラグインは、「SiteGuard WP Plugin」と「Wordfence Security」です。自動更新も設定済みです。

WordPress管理画面FAQ

🔑 WordPressのログインページはどこにありますか？

WordPressの初期状態では、ログインページは以下のURLです。

• https://ドメイン/wp-login.php
• https://ドメイン/wp-admin/

ただし、このままではボット攻撃の標的になりやすいため、制作時にログインURLを変更している場合があります。クライアントの方は、必ず提供された専用URLをご利用ください。

🛡️ なぜログインURLを隠す必要があるのですか？

初期状態のログインURLは公開されているため、攻撃者にとって「金庫の場所がわかっている」状態です。

• ログインページが公開されている
• ログインIDが推測できる（例：https://ドメイン/?author=1）

この条件が揃うと、パスワード総当たり攻撃を受けるリスクが非常に高まります。そのため、ログインURLを隠すことは必須のセキュリティ対策です。

🔐 パスワードはどのように設定すれば安全ですか？

パスワードは12文字以上で、英数字・記号を組み合わせた強固なものを推奨します。

• 「password123」や「admin」などの単純な文字列は危険です
• 無作為に生成されたパスワードを利用しましょう
• 「パスワード自動生成ツール」やAIを活用すると簡単に作成できます

強固なパスワードは、ログイン攻撃を防ぐ最も基本的な対策です。

🤔 ログインIDは公開されてしまうのですか？

初期状態では、https://ドメイン/?author=1 にアクセスするとログインIDが表示されます。これはセキュリティ上の大きな弱点です。
制作時に設定を変更している場合は公開されません。クライアントの方には、ログインID対策済みの環境を提供していますので安心して利用できます。

🧩 ログイン時に文字入力を求められるのはなぜですか？

これはCAPTCHA認証によるセキュリティ対策です。

• ボットによる自動ログイン攻撃を防ぐ
• 特に日本語CAPTCHAは海外ボットに効果的

この認証がない場合、パスワード総当たり攻撃を受けるリスクが高まります。

📱 ログイン状態を保存しても安全ですか？

自分専用のパソコンやスマホであれば「ログイン状態を保存する」にチェックして問題ありません。
ただし、共有PCや公共の端末では絶対に利用しないでください。セッションは通常2週間程度保持されます。

✉️ パスワードを忘れた場合はどうすればいいですか？

ログイン画面の「パスワードをお忘れですか？」をクリックしてください。

• ユーザー名または登録メールアドレスを入力
• 登録メールにパスワードリセット用リンクが送信されます

この手順で新しいパスワードを設定できます。

🌐 ブラウザにログイン情報を保存してもいいですか？

Chromeなどのブラウザにはログイン情報を保存する機能があります。自分専用の端末であれば便利ですが、セキュリティリスクを考慮して利用してください。共有端末では絶対に保存しないことを推奨します。

🔒 二段階認証は必須ですか？

Google AuthenticatorやAuthyを使った二段階認証は強力なセキュリティ対策です。
ただし、情報発信用のブログでは運用の手間が増えるため、必ずしも必須ではありません。セキュリティレベルと運用負担を考慮して導入を検討してください。

😵 ログイン情報を完全に忘れてしまった場合は？

クライアントの場合、ログインURLや情報を忘れた際は制作会社へ連絡してください。すぐに専用URLを再送してもらえます。

🛠️ どのセキュリティプラグインが導入されていますか？

現在利用中のセキュリティプラグインは以下の2つです。

• SiteGuard WP Plugin
• Wordfence Security

両方とも自動更新が設定済みで、最新の状態を維持しています。

📌 参考リンク

• WordPress公式ログインガイド
• 総務省｜サイバーセキュリティ基本情報

YouTubeで並んでいる画像と同じようなものですね。

設定手順は３ステップ

• アイキャッチサイズは 1200×630px で作成
• 投稿画面右下の「アイキャッチ画像を設定」からアップ
• 右下の「アイキャッチ画像として設定」を忘れずにクリック！

以下に、もう少し詳しく解説します。

基本の設定方法（どのテーマでも共通）

1.投稿編集画面を開く
→ 新規投稿 or 固定ページ追加 or 編集

2.右サイドバーの「アイキャッチ画像を設定」をクリック
（見つからない場合は右上の→「投稿」タブ→の下にあります）

３．画像をアップロード or メディアライブラリから選択
新しく追加するには「 ファイルをアップロード」。登録済みの画像を使うなら「メディアライブラリ」です。通常は記事ごとに設定するので、 アップロードですね。

４．ファイルをアップロードの画面になるので、ファイルを選択。

5. 「代替テキスト」と「タイトル」を入力し、「アイキャッチ画像を設定」をクリック。
※間違えた画像などを削除するには、「完全に削除する」

「代替テキスト」と「タイトル」は同じでOK。

書く内容は、アイキャッチ画像のかんたんな説明
例：○月○日●●イベントでの★★さんとトラック
例：○○で保護したる保護猫「○○」ちゃん。

ワードプレスのアイキャッチ画像の設定はこれで終わりです。

テーマ別 最適な画像サイズ（2025年最新推奨）

結論として、迷ったら 1200×630px にしておけば100%安全です（OG画像にも最適）

参考：アイキャッチのポイント

画像サイズはアプリでサイズ変更だけもできますが、canvaなどのように文字入れもできるのも便利です。 https://www.canva.com/

📌 WordPress アイキャッチ画像 FAQ まとめ

1. アイキャッチ画像とは？

• 投稿や固定ページに設定する代表画像（サムネイル）
• 記事一覧・トップページ・SNS共有時（OG画像）に表示
• 読者のクリック率を大きく左右する重要要素

2. 設定しないとどうなる？

• テーマによっては「no image」が表示される
• 記事冒頭の画像が自動抽出される場合もある
• 何も表示されずクリック率が大幅低下
• SNS共有時は真っ白になることが多い → CTR激減

3. おすすめサイズ（2025年版）

• 1200×630px が最も安全で推奨
  • ほぼ全テーマでトリミングされにくい
  • Facebook・X（Twitter）・LinkedInのOG画像に完全対応
  • Pinterestやnoteでも適切に表示

テーマ別推奨サイズ

4. 文字を入れるべき？

• 入れるとクリック率が大幅UP
  • 数字入り → CTR +95%
  • 人の笑顔入り → CTR +180%
  • ビフォーアフター → CTR +140%
• 効果的な例：「3日で」「87%OFF」「初心者でも」

5. Canvaで作成はアリ？

• ✅ 非常におすすめ
• 1200×630pxテンプレートが標準搭載
• 無料でも高品質なアイキャッチが作れる

6. alt属性・タイトル属性の書き方

• 画像内容を簡潔に説明
  • 例：「2025年最新 WordPressアイキャッチ画像の作り方」
  • 例：「笑顔の女性がノートパソコンを使う様子」
• SEO＋アクセシビリティに効果あり

7. 過去記事に一括設定する方法

• プラグイン利用：「Auto Post Thumbnail」「Quick Featured Images」
• ただし手動設定の方が確実

8. 表示されないときのチェックリスト

1. 投稿画面右下で設定されているか確認
2. テーマ設定で「非表示」になっていないか
3. キャッシュプラグインをクリア
4. パーマリンクを更新

9. スマホで切れる問題の対処

• 1200×630pxで作成
• 中央に重要要素を配置
• 余白を40%以上確保 → トリミングされにくい

WordPressセキュリティ強化

まずはおさらい的に、基本のこの３つは確認しておきましょう。

• ログインIDを、admin以外にする。
• パスワードは強固なものにする。
• プラグインやテーマなどは最新の状態にする。

今回のセキュリティ設定の目的

比較的かんたんな作業と設定で、高度なセキュリティを行います。
セキュリティに１００％はありませんが、100サイト以上を運営している私の環境でも、防げています。

乗っとり改ざんの上位への対策

セキュリティを突破される原因の上位５つはこれらが原因です。

• 古いWordPressコア/プラグイン/テーマ （プログラムの侵入）
• 弱い管理者パスワード （管理者としてログインされてしまう）
• ファイルアップロードの悪用 （プラグイン経由）
• XML-RPC / REST APIの悪用 （無限にログインチャレンジ）
• サーバーの脆弱性 （サーバーの問題）

※Sucuri 2024レポート（全攻撃の86%が上位3経路）、Wordfence 2025統計。実際の事例: 2024年に10万件以上のWPサイトがプラグイン脆弱性で乗っ取られています。

対策は大きく３つ

• 古いシステムを使わないこと ← 自動更新で対策
• ログインされないこと ← 今回の設定
• 自動攻撃への対策 ← 今回の設定

具体的なセキュリティ設定の作業

ログインされないことと、自動攻撃への対策はプラグインで行います。
利用するプラグインは、SiteGuard と Wordfence です。

【１】functions.phpへの追加

まずはプラグインで重複する機能があるため、衝突を避ける記述を行います。

ワードプレスのテーマ内の「functions.php」へ、下記を追加して保存してください。

// Wordfence + SiteGuard 併用最適化
add_action(‘init’, function() {
if (class_exists(‘WordfenceLS’)) {
remove_action(‘wp_login_failed’, ‘wf_login_attempt_failed’, 10);
}
});
add_filter(‘wordfence_daily_scan_email’, ‘__return_false’);

↓サンプル

【２】SiteGuardでログイン画面をガード

脅威の１つがワードプレスにログインされてしまうこと。
初期の状態では、ドメイン名/wp-admin/ やドメイン名/wp-login.php などでログイン画面が表示されてしまいます。

プログラムでIDとパスワードを組み合わせで、自動ログインにチャレンジされてしまいます。
そこでログイン画面を隠し、ログインに失敗したらアクセス不能にします。

まずはプラグインの新規追加から、SiteGuardを追加し有効化してください。

SiteGuardの設定

左メニューのSiteGuardをクリックすると、メニューが表示されます。

【ログインページ変更】をクリック

変更後のログインページ名のURLを控える。 ※変更も可能
※今後のログインページになります。

「管理画面からログイン画面にリダイレクトしない。」にチェックして、変更をクリック。

次はSiteGuardメニューに戻り、この３つの設定を無効にします。

• ログインアラート
• XMLRPC防御
• 更新通知

最終的にこうなっていればOK！

変更後のログインページ名のURLを、再度確認してくださいね。

SiteGuard設定後のログインチェック

ワードプレスの右上メニューからログアウト。
ここで、変更後のログインページ名のURL にアクセス。

IDとパスワードの下に画像認証が出ていればOK。

そして、ドメイン名/wp-admin/ と ドメイン名/wp-login.php にアクセス。
トップページや「404 NOT FOUND」が表示されればOK。

この設定で、ページを隠して自動攻撃の対策ができました。

• ログインページの秘密化
• ログイン時に画像認証

siteguardの部分はここまでです。

【３】Wordfenceでファイアウォールとマルウェア対策

次にプラグインの新規追加から、Wordfenceを追加し有効化してください。
※表示は Wordfence Security ? Firewall, Malware Scan, and Login Security

有効化すると、ライセンスの入力が求められます。
初めての場合は「ライセンスを入手」
　

freeの「無料ライセンスを取得」をクリック。
↓
「新たな脅威から ～ 問題ありません」をクリック。
↓
メールアドレス入力、メール希望はどちらでも
↓
登録すると、メールでライセンスが届きます。
↓
メール内の「Install My License Automatically」をクリック。
※または記載のライセンスをWordfenceのメニューからインストール
↓
ダッシュボードが表示されればインストール完了！

ファイアウォールの設定

左メニューの「ファイアウォール」をクリック
↓
画面上部に「サイトをできるだけ安全にするために、Wordfence Web アプリケーションファイアウォールを最適化する時間を取ってください: 」と表示されているので、設定をクリック。
↓
htaccess_Backupのバックアップをとり、設定。
正常であればこのhtaccess_Backupはもう不要。

これでファイアウォールの初期設定はOKです。

スキャン

次は左メニューの「スキャン」をクリック。

「新しいスキャンを開始」からスキャンを開始。
問題があれば修復して完了。

ほか

自動更新設定

プラグインページを開き、念のためすべてのプラグインの「自動更新の有効化」。
同じく、テーマの自動更新も設定しておくとよいでしょう。

バックアップ

必要に応じてバックアップ設定も行っておきましょう。
私の場合は、プラグインの「UpdraftPlus」を利用。

更新頻度に合わせて、Googleドライブへ自動バックアップを設定しています。

おわり。

ウェブサイト改ざんもバックアップがない場合の対処法

前回、前々回とエックスサーバーがマルウェアに感染でサイト改ざん。
結果は現在まで問題ナシ、ということでとりあえずOKとする。

ネットでウェブサイト改ざん対策の情報を探しているうちに、こんな事例を見つけました。同じようにエックスサーバーが改ざんされて、エックスサーバーから連絡。

とらえずサイトを閉鎖し、案内ページを表示。
普通の企業などの婆AI、これは良い対応だと思います。

しかしその後は復旧の目処が立たず。１か月以上もリカバリできないまま。
理由は、マルウェアやバックドアを探しているからと。

いやね、同等のスキルレベルがあれば可能でしょう。
でも私など、ワードプレスを普通に運用できるくらいのスキルでは無理だと思います。

作られたファイルを削除なんかはできますが、ループしますからね。
つまりスキル不足ならスキル不足なりの対応が、必要だと思うのですね。

スキル不足といっても無能というわけではなく、私のようなワードプレスちょっといじれるくらいが大半でしょう。

経営者の視点から考えれば、技術的なことはどうでもいい。
ビジネスとしての損失を発生させる前に、さっさと復元して欲しいわけです。

なので、さっさとバックアップを復元。ローカルに別フォルダで隔離。
ドメインを初期化してファイルを転送する。この時に不要なファイルなどは削除。

今回の私の場合は、この方法で成功したわけです。
超ロースキルでも復元できちゃうわけですね。

ただこれ、サーバーのバックアップしかないのなら１～２週間以内が必須。
サーバーのファイルを消したら、消した状態でバックアップされちゃう。

するとすっからかんの状態になってしまうわけですね。
別にバックアップがなければドボンなわけです。　

ではこのバックアップもなくドボンの状態ならどうするか？
私ならこうするかな、という方法を紹介します。

現存のDBでワードプレスを再作成

スパイウェアでもデータベースまで改ざんするプログラムは稀。
ということで、既存DBでワードプレスを新規に作成。

ただこれ画像などのファイルはありません。
でもコンテンツが復活するだけでも、かなり違いますからね。

今なら画像生成AIもあるので、過去記事の見直しも含めて復元します。

DBも汚染されていた場合

WPを既存のDBで作成するも、DBまでマルウェアに汚染されていた場合。
そのDBからマルウェアを取り除く、なんて高度なことはできませんよね。

ということでその場合は、DBの内部から投稿をコピペだ。
新しいDBで新規にWPを作成、汚染されたDBの中身からチマチマとコピペ。

DBの中にはこのように記事内容も残っています。
面倒くさいのですが、この状況の最善かなと思います。

そもそもDBも死んでいる場合

バックアップもない、自動バックアップもなくなった。
DBも破壊されたなんて最悪の場合。

DBも死んでいる場合は、もう新規に作った方が良いのでは？
と思いますがサイトによってはまだまだ粘りましょう。

アーカイブサイトをチェック。
「ウェブ魚拓」や「Wayback Machine」などネットのアーカイブを記録するサイトをチェックします。

当サイトの記録もありました。ちょっと感動。

全ページでもないのですが、これならhtmlも画像もコピーで復元ができますね。

復活後の問題

サイト改ざんで復活するも、大きな課題があります。
それはセキュリティ対策が必要だけど、対応できない場合が多いということ。

バックアップがない、対応が遅れて自動バックアップが消えたなんて場合は、根本的にセキュリティ対策が必要でしょうね。

昔、知り合いのwebデザイナーに作成してもらった。
なんて場合は、まずセキュリティ対策はされていないことでしょう。

制作会社に相談するなど、急ぎでセキュリティ対策を行いましょう。

前回のエックスサーバーから改ざん。
１週間前のバックアップ復元で復活！

しかしバックドアが残っていたよう。
マルウェアが生成されてしまった。。。

404 NOT FOUND | Webマーケティングざっくりガイド

スモールビジネスのためのウェブ現場のあるある情報 管理人【桑野一哉】

blog-homepage.net

と思いきや、念のためFTPでチェックすると１０日後くらいにマルウェアも復活（涙）

ただエックスサーバーのセキュリティ対策によるものか、活動はナシ。なので完全復活を試みることに。

まずはマルウェアが復活していない日のバックアップを復元。今回は前日のファイルで大丈夫だったので、マルウェアが発生していない状態へ復元。

でも数日後にはバックドアによって、マルウェアが作成されるはず。
なのでバックドアが潜んであろうファイルを削除することに。

最新版のワードプレスなどであれば脆弱性もないだろうけど、放置していた古いWPやプログラムが怪しい。ならば怪しいを削除で解決できるとだろうという見立て。

見つかったのは、放置していたワードプレス。
phpプログラムなどがあるドメインを初期化。

稼働していて更新もやってるワードプレスは復元。
htmlサイトはノーリスクと考えて復元。

結果、そこから２週間ほどでも大丈夫！
ということで、私と同じくバックアップで対処した人は数日後にチェックを。

そして同じくマルウェアがあれば、古いシステムの見直しですね。
これでダメならもうワードプレスなどの再構築。

最初からやれよ！なのですが、実際は手間なので避けたいのが本音。
そんな状況のなかでの、今回の対策は、１４日たった今は大丈夫。

やはり古いプログラムの脆弱性から侵入されたかなと思います。
最新ワードプレスにプラグインで侵入されたなら、そりゃもう対策しようがないので。

今回もバックアップがあってことの余裕の対応。
ワードプレスを導入している人は、明日は若美なので定期的にチェックを。

ミックスホストのphpmyadminからログアウトできない問題。
結論から言うと、ログアウトする必要がなかった。

　
ワードプレスで不具合があり、データベースの中身を削除するか。
と、ミックスホストのphpmyadminでDBの中身を削除へ。

この時に、該当のDBにログインし直そうと思うもログアウトが見つからない。
検索するも、３０分近く解決できない。
難解なことなら仕方ないけど、ログアウトの情報がなさすぎる。

検索ででてくる、左から２番目のアイコンが、無い。
ページのソースを探したり、さんざんメニューをポチポチでも存在しない。

ちなみにエックスサーバーではこのとおり、お家マークの隣がログアウト。

このままではミックスホストのこのDBしかいじれない・・・
と思って居たら、気がついた。

ミックスホストは、ログインしたらすべてのDBを管理できていた。
エックスサーバーは、DBごとにログインするのでログアウトがある。

でもすべてを管理できているので、ミックスホストはログイン＆ログアウトする必要がない。
ということで該当のDBの中身を削除して完了。

エックスサーバーを主に使っていたので、DBごとにログイン＆ログアウトするもの。
という思い込みが、一覧表示されていたDBを見落とす原因だったわけですね。

ということで、ミックスホストのDBはログインする必要がなかった。
終了。
経験値が６上がった。

短縮URLの乗っ取り被害を安全に避ける方法

いなげや、オートバックス、学習院大学などが短縮URL乗っ取り被害。
ホームページのURLが長いので、短縮URLを利用している人もいるはず。

でもWEB担当者ならば、できるだけ避けたいところです。
被害の実例から対策方法を考えみた。

短縮URLなんて、利用者としてはどうしようもない。
変なページならすぐに閉じちゃうとかでしょうか。

QRコードならば、怪しいドメインをチェック。
といっても怪しさなんてわからないんですよね。

なので短縮URLを提供する側が、しっかりと対策をする。
それができなければ、怪しいままという判断がされるでしょう。

短縮URLの乗っ取り実例

被害の実例を探してみると、特別な事例ではありません。
メジャーな企業なんかでも普通に作成し、普通に掲示や配布をされています。

これを消費者側がチェックするのは難しいでしょうね。

オートバックスのチラシ

これ、「短縮URL」と検索１位だったサービスで改ざんされたとなれば、検索すら信用できませんよねぇ。

「オートバックスのチラシにあるQRコードをスキャンしたらフィッシングサイトに飛ばされた」という報道について、資料をいただいたので簡単に調査しました。今回、問題があったQRコードはURL Redirection Service (いわゆる短縮URL)を利用したものでした。

学習院大学の配布物

【重要】「大学案内2024」掲載二次元コードの不正リンクについて 2023年10月30日 学習院大学 https://univ.gakushuin.ac.jp/news/29309.html

いなげや・店頭ポスター＆チラシ

『ポスター･チラシからQRコードで入会サイトにアクセスした際、予期せぬ不正サイトに誘導する広告が表示されることがあり、クレジットカード情報が抜き取られる被害が発生』 2023年11月9日 株式会社いなげや ネットスーパー入会案内における注意のお知らせ [PDF] https://inageya.co.jp/files/pdf/231109.pdf…

ほか

しくみとして同じなので、ジャンルも企業も関係なく被害にあう恐れがあります。

【ご注意】短縮urlサービスur0[.]bizで始まるアドレスへのアクセスが、現在全く関係ないアプリのインストールを促すサイトに転送される挙動になっています。ご注意ください。

CoinHive URL Shortenerが悪用され、 #Hackedサイトhttp://feedproxy.google.com/~r/TheHackersNews/~3/_mtd78JErIo/coinhive-shortlink-crypto-mining.html… #TheHackerNewsを使用して暗号通貨を秘密裏にマイニング

「短縮URL 乗っ取り」などで検索すると、いろいろでてきますよ。

短縮URL乗っ取りのしくみ

基本的に短縮URLは、あるページから別のページに転送します。
短縮ですから、短いURLを作り、元の長いURLへ転送します。

乗っ取ることで、転送設定した元の長いURLとは違うページ（フィッシング詐欺など）を表示させることができます。

乗っ取りと言っても、原因は複数考えられます。

• アカウントの乗っ取りなどで乗っ取られた
• 最初から悪用目的でサービス提供
• ドメインの更新をせず悪人が利用した

WEB担当者としての対策

被害状況、短縮URLの仕組みを踏まえると、WEB担当者としては対策が考えられます。

URLは短くする

SEOの基本でもありますが、日本語なんかは絶対にやめましょうね。
重要な単語で構成するのがよいでしょう。

このページは、「短縮URLのリスクと対策」を英語化し、「Risks-countermeasures-shortened-URL」としました。もっと短くてもいいですが、内容も入れたいのでこんな感じで。

そもそもURLが長すぎるから短縮URLを使います。
だったらできるだけ短くするのは、現実的な対応です。

自分で転送設定を行う

３０１転送

そうは言っても、いまからURLを変えられないよ。なんて場合。

自分のサイトで短縮URLと同じように、転送をかける。
ちょうど先日の３０１リダイレクトの内容そのものです。

ページのURLを変更したら３０１リダイレクト

ページのURLを変更したら３０１リダイレクトページのURLを変更したら３０１リダイレクト設定を忘れずに。リンクされていたらリンクは無効に。検索に出ていたら、検索順位も水の泡。せっかくの検索評価を失わないようにしましょう。ワードプレスなんかは...

blog-homepage.net

自分のサイト内に、転送用のフォルダでも作る。
そして短いURLのファイルから、長いURLのページへ転送します。

「～.com/aaa.html」 転送→ 「～.com/aaaaaaaaaaaa.html」
「～.com/aaa/」 転送→ 「～.com/aaaaaaaaaaaa/」

ワードプレス

ワードプレスであれば、テーマによって標準機能で転送ができます。
短いURLのページをつくり、そのページから「リダイレクト先」※URLの長いページ
という設定で短縮URLと同じ働きができます。

または、「短縮URLプラグイン」の導入で設定ができます。

短縮URLツール

URLを短縮する機会が多い場合は、専用ツールで対応するのが良いでしょう。
アフィリエイトではおなじみの「短縮URLツール」を自分のサイトに設置するだけ。

数千円程度ですから、短縮URL乗っ取りのリスクを考えれば安いものです。

とくにWEB担当者なら「知らなかった」では済まされない話です。
しっかりと短縮URLでもリスク対策をしましょう。

ページのURLを変更したら３０１リダイレクト

ページのURLを変更したら３０１リダイレクト設定を忘れずに。
リンクされていたらリンクは無効に。

検索に出ていたら、検索順位も水の泡。
せっかくの検索評価を失わないようにしましょう。

ワードプレスなんかは自動で転送してくれたり、ページごとに設定ができます。
でも普通のhtmlサイトなのでは、自分で設定が必要です。

検索順位が上位のページ。
そしてなぜかURL変更をしたくなってしまった。

正確には昔作ったワードプレス。
適当にパーマリンクを設定。
放置していたままも、検索上位のページが発生。

よし作り込むぞ！と思うも適当なままだとややこしくなるのでパーマリンクをシンプルにしたい。
昔のままで/category/postname/ だったのですね。

ところがブログあるあるで、カテゴリの変更が合理的な選択に。
なので仕方なくURLも変更することになったわけ。

とうぜん、そのまま変更しただけだと検索上位のページが４０４で表示されない。
放置しても新URLを評価してくれるはず！なんて神頼みはできません。

URL変更時には３０１リダイレクト

webの知識のある人なら、そりゃ３０１でしょ！と思われたはず。
そうです、その通りですよね。

URLを変更しても、変更先へページをジャンプしてくれる設定です。
通常は３０１リダイレクト一択でしょうね。

３０２とか、「meta refresh」 などとの違いは、ページの評価を渡すことができる。（らしい）
なのでSEOを考えたら、必ず３０１リダイレクトでページの評価も受け渡します。

「.htaccessファイル」を作って、サーバーに転送するだけ。
作業はカンタンですが、馴染みがないとなんのこっちゃかと。
こういうサイトで記述内容を作ったりもできます。

.htaccess ファイルを簡単作成「.htaccess Editor」

オンライン上でいとも簡単に.htaccessファイルを作成！

www.htaccesseditor.com

今回は昔のワードプレスなので無駄な３０１をやるハメに。
現在のパーマリンクは「%posname%」で半角英数のみ。

通常はこの設定で、よいのではないかと。

検索上位にでているかどうかは、サーチコンソールで確認してね♪

えっと、１つしかないやんけ・・・

無事、終了ｗ

ちなみに元のURLはこちら。

404 NOT FOUND | 王子駅周辺ガイド

狐の行列やなど王子地区の情報サイトです。

oji-kitsune.tokyo

無事に転送されています。
違いは「/」が「-」になっています。
カテゴリを廃止し、postnameのみにしたためです。

狐の行列のルートマップ

場所について

oji-kitsune.tokyo

社長はワードプレスを作るな

経営者や社内のWEB責任者などは、サーバーまわりもざっくりの理解でよいでしょう。
まちがっても、これから始める場合は自分で作業をしてはいけません。

結論としては、プロか詳しい人に頼みましょう。です。

よくあるのが、ワードプレスがもう常識だとよく聞くのでチャレンジしてみたい。
カンタンだと聞くので、自分にもできるだろう。

よし、だったらレンタルサーバーを借りてワードプレスの設定手順を覚えるぞ！
なんてのは、社長・経営者はやらないほうが良いですよ、という話。

この場合の「社長・経営者」は、自分仕事をやった方が生産性が高い人です。
ざっくりとした流れを知っていればOK。

あくまで、社内や組織で数名しか人がいない。
かつちゃんとビジネスがまわっている経営者のような人の場合の話です。

そりゃWEB担当者が３人います！
なら、社内で手順通りに作業できないとマズイでしょうけど。

でも兼任でWEB担当者が１人なんて場合は、やめたほうがいい。
もちろん１人社長でも、辞めたほうがいいと思います。

結論としては、プロに頼みましょう。です。
もしくは詳しい人に頼むに限ります。

その理由を説明しますね。

まずは生成AIの回答

まず一般論はどうなのか？というサンプルのために、chatGPTやBardに「経営者のような立場の人が、レンタルサーバーの契約からホームページ作成をするメリットとデメリットを教えてください。」と聞いてみました。

コスト

初期投資が少ない
レンタルサーバーを契約することで、自社でサーバーを用意する必要がなくなります。そのため、初期投資を抑えることができます。

コストを抑えられる
レンタルサーバーを利用することで、ホームページの作成・運用にかかるコストを抑えることができます。また、レンタルサーバーによっては、ホームページ作成に必要なツールやサービスを提供している場合もあります。

コストの節約:
レンタルサーバーを利用することで、自社でサーバーを保有するよりも初期投資やランニングコストを削減できます。特に小規模なビジネスにとっては、経済的な選択肢となります。

安く済むよ！なのですが、スキルがあればね、の話です。
その知識を探してスキルを獲得するコストは、含まれていません。

中小企業の社長が１か月かかって、サーバーと契約してワードプレスをインストールできた！
って、これ社長の仕事じゃ生産性が低すぎでしょ！

社長の役員報酬を考えたら、どう考えてもバカバカしいです。
いや、新卒で手取り１５万円でもアホらしい。

機能面

柔軟性と選択肢の拡大:
レンタルサーバーはさまざまなプランやオプションを提供しています。ビジネスの成長に合わせて容量や機能を拡張でき、柔軟に選択できます。

プランやオプションを選べるけど、選ぶ基準はわかりませんよね？
私が最初のころ、サーバーのIDすら迷います。「レンタルサーバーのサブドメインとして使えます」
なんて説明されても、その説明の意味すらわかりませんでした。

柔軟性があり、自由度が高い ＝ 自分で全体設計を考える能力が必要

たとえばレゴブロックでお城をつくるとします。

アップデートと保守の簡略化:
サーバーのアップデートや保守作業は、一般的にサーバープロバイダーによって行われます。これにより、経営者は自社での作業に費やす時間を減らし、本業に専念できます。

確かにWPの自動アップデートで今はラクチンです。
でも、あるときに意味不明なメッセージが表示。

調べたらphpのバージョンが古くてエラーがでた。
なんてあるんですね。　これってサーバーからの設定が必要です。

ほかにもSSL設定が起きたりなんてのも
まぁ、いろいろ要対応なことがでてくるからです。

必要な機能をプラグインで容易に追加可能

その通り！ワードプレスはプラグインが豊富！
でも、何を入れるべきなのか？いれないべきなのか？

これを明確にできる人って、相当な経験がないと迷います。
でも最低限のセキュリティだったりバックアップ。

必要に応じてキャッシュなどの高速化くらいは、必要ですよね。
でもじゃぁその中でどのプラグインが良いのか？設定は？

などなど最低限の機能すら、なかなか迷うべき問題だったりします。
私も数年はチンプンカンプンでしたから。

あとは高望みしすぎてプラグインを入れすぎ。
ショッピングカートに会員制サイトもプラグインで運営
プラグインは特殊で需要がなく、アップデートされなくなる。

WP本体やphpのバージョン、他のプラグインとバッティングして動作不可とか。

セキュリティやバックアップはレンタル事業者が管理

サーバーのセキュリティはそうだけど、ワードプレスのセキュリティはこちらの責任。
ログインURLが/wp-admin/　のフォルダのままなんて、WEB制作会社でもありますから。

バックアップなんかは、サーバーがとっててくれるのもあります。
でも戻し方はわかりませんよね。

データベースのバックアップがあるらしいけど、DBってなんだ？？？
となることは確実です。

経験にならない

WEBで実践経験は大切。
でもこの作業は、社長・経営者の場合はほとんど経験にならないのです。

理由は、多くの場合最初の１回の作業だから。
人生で１回だけかも知れません。

そんな作業のために、時間を割いて勉強をしてもムダだと思いませんか？
仮に１年後にもう１度やることになったとしても、忘れてます。

覚えていたとしても、管理画面が変更されていたり。
必要な設定も増えていたり。

社内の担当者なら、この条件でもアリかもしれません。
でも担当者が辞めたりしたら社内のWEBの知識がドボンです。

「開発」はまかせて「運営」をやるべき

サーバーを借りてワードプレスをインストールして設定する。
これらは、器をつくる「開発」です。

そして作ったワードプレスのコンテンツを作ったり、SEO対策をするのが「運営」です。
一般的にシステムでは「運営」ではなく「運用」と言いますが、「運営」をおすすめします。

「運用」の場合はシステムのみの話。
「運営」はシステム以外も含みます。

サーバーやワードプレスというシステムではなく、記事を書いたり、リンクをもらうなどの行動ですね。
そのために、ワードプレスの投稿方法は学んだ方が良いことです。

いまどきならcanvaくらいは使って、軽く画像の文字入れくらいはやりたいところ。

記事を書くといっても、キーワード選定から。
そうなるとターゲットにペルソナ決めて、テーマを決める必要があります。

役に立つ記事を書いたり、必要に応じてリスト獲得やSNSにリソースを使いましょう。

ワードプレスの設定なんて誰がやっても同じです。
※プロもピンキリだったりしますが・・・

経営者なら、自分の価値が発揮されることにリソースを使いましょう。
インストールくらいならココナラとかランサーズでも５０００円程度。

さっさと「運営」の実践をしながら、出てきた疑問を解決していった方が良いですよ。
もちろんコストをかけられるなら、セミナーやコンサルもありでしょう。

あくまで自分しかできないことを放置して、誰でもできる作業なんかしてる場合じゃないのです。
自社、自分のビジネスの「運営」を行いましょう。