WordPress Security
Really Simple SSL 設定手順と
初心者が見落とす重要ポイント
無料プラグインで達成率70%まで高める完全ガイド
WordPressでサイトを立ち上げたばかりの頃は、記事を書くことに夢中で、セキュリティ設定まで手が回らないことが多いものです。しかし、実際には基本的な設定を見直すだけで、サイトの安全性は大きく向上します。
この記事では、Really Simple SSLというプラグインを使って、転送設定やユーザー名の保護、ボット対策まで、具体的な手順とともに解説していきます。設定画面のどのボタンを押せばいいのか、なぜその設定が必要なのか、初心者の方でも迷わず進められるように順を追って説明します。
目 次
WordPress管理画面でセキュリティの現状を把握する
WordPressにセキュリティプラグインを導入すると、管理画面の左側メニューに「セキュリティ」という項目が追加されます。そこをクリックすると、ダッシュボードと呼ばれる画面が開き、現在のサイトの安全性がパーセンテージで表示されます。たとえば「作業状況56%」と出ていれば、推奨される設定のうち半分ほどが完了している状態を意味します。
このダッシュボードには「警告」と「作業待ち」という2種類の通知が並んでいます。警告は、すでに何か問題が検出された場合に赤い文字で表示されるもので、たとえば「ボットが大量の404エラーを引き起こしている」といった内容が含まれます。一方、作業待ちは、まだ設定が完了していない項目を示しており、黄色いアイコンで表示されることが多いです。
| 🔴 警告 | 🟡 作業待ち |
|---|---|
| 問題が検出された場合に赤い文字で表示される | 未完了の設定項目を黄色いアイコンで示す |
| 「詳細」ボタンで問題点と解決策を確認可能 | 今すぐサイトに悪影響が出る危険は低い |
| 優先度:高い — まず対応すべき項目 | 優先度:警告の後 — 将来のトラブル防止に |
ダッシュボードに表示される作業状況とは何か
作業状況のパーセンテージは、Really Simple SSLが推奨する設定項目のうち、どれだけが完了しているかを視覚的に示す指標です。初期状態では30%や40%といった低い数値が表示されることもあり、これはSSL証明書の導入や転送設定、ユーザー名の保護など、基本的なセキュリティ対策がまだ不十分であることを意味します。
パーセンテージを上げるには、ダッシュボードに表示されている各項目の右側にある「表示」や「詳細」ボタンを押して、指示に従って設定を進めていく必要があります。たとえば、SSL証明書がすでに有効化されていれば、その項目には緑色のチェックマークが付き、パーセンテージも自動的に上昇します。
設定を進めるうちに、56%から70%へと数値が上がっていくのを見ると、自分のサイトが着実に安全になっていく実感が湧いてきます。最終的に90%や100%に近づけば、一般的なサイト運営において必要なセキュリティ対策はほぼ完了していると考えて問題ありません。
📊 作業状況の変化イメージ
警告と作業待ちの違いを理解する
警告は、プラグインが何か異常を検知したときに表示されます。たとえば「ログイン名と表示名が同じになっている管理者アカウントを検出しました」という警告が出た場合、これは外部から見たときに管理者のログイン名が推測されやすい状態にあることを意味します。
こうした警告には、通常「詳細」というボタンが付いており、クリックすると具体的な問題点と解決方法が表示されます。問題が解決されると、警告は自動的に消えるか、手動で「×」ボタンを押して消すことができます。
作業待ちは、まだ手を付けていない設定項目を示すものです。たとえば「301転送をhtaccessで有効にする」や「メールアドレスの検証を完了する」といった項目が該当します。これらは警告とは異なり、すぐにサイトに悪影響が出るわけではありませんが、早めに対応しておくことで、将来的なトラブルを未然に防ぐことができます。
警告と作業待ちの両方を順番に片付けていくことで、ダッシュボードがすっきりし、サイト全体の安全性が高まります。どちらから手を付けるべきか迷ったときは、まず警告を優先し、その後で作業待ちに取り組むのが基本的な流れです。
ポイント
警告と作業待ちは、対応の優先順位が異なります。警告を先に解決し、その後で作業待ちに取り組むことで、効率的にセキュリティを強化できます。
ユーザー名とニックネームの設定で情報漏洩を防ぐ
WordPressでは、ログインに使うユーザー名と、ブログ記事の著者として表示される名前を別々に設定することができます。しかし、初期設定のままだと、この2つが同じになってしまうことがあり、これがセキュリティ上の弱点となります。
たとえば、ログイン名が「ikizurasa」で、記事の著者名も「ikizurasa」と表示されている場合、第三者はあなたのログイン名を簡単に知ることができます。ログイン名が分かれば、あとはパスワードを推測するだけで不正ログインが可能になるため、ログイン名は極力隠しておくべき情報です。
ログイン名と表示名が同じだと危険な理由
ログイン名は、WordPressの管理画面にアクセスするための鍵のようなものです。この鍵が外部に漏れてしまうと、悪意ある第三者がパスワードを総当たりで試し、いつかはサイトに侵入できてしまう可能性があります。
特に、RSSフィードや記事の投稿者情報として、ログイン名がそのまま公開されている場合、攻撃者は何の手間もかけずにその情報を入手できます。これは、玄関の鍵の番号を家の外に貼り出しているようなもので、非常に危険な状態です。
Really Simple SSLは、こうした設定ミスを自動的に検出し、「ログイン名と表示名が同じになっている管理者権限のアカウントを検出しました」という警告を出してくれます。この警告が出たら、すぐにニックネームを変更する必要があります。
⚠️ 危険なパターン(現在の状態)
ログイン名
ikizurasa
記事の著者名(公開)
ikizurasa
→ 第三者がログイン名を知ることが容易になっている
✅ 安全なパターン(変更後)
ログイン名(隠し中)
ikizurasa
記事の著者名(公開)
心の調律師
→ ログイン名が公開されず、攻撃者には情報が漏れない
ニックネームを変更して外部に公開される名前を変える
ニックネームの変更は、WordPress管理画面の左側メニューから「ユーザー」を選び、自分のアカウント名をクリックすることで行えます。プロフィール編集画面が開いたら、「ニックネーム」という欄に新しい名前を入力し、その下にある「ブログ上の表示名」のプルダウンメニューから、今入力したニックネームを選択します。
ニックネーム変更の手順
管理画面の左側メニュー →「ユーザー」をクリック
自分のアカウント名をクリック → プロフィール編集画面へ
「ニックネーム」欄に新しい名前を入力
「ブログ上の表示名」プルダウンから、入力したニックネームを選択
「プロフィールを更新」ボタンで保存
ニックネームには、ログイン名とは全く関係のない名前を設定するのが望ましいです。たとえば、「心の調律師」や「人生を解放する案内人」といった、あなたのブログのテーマに沿った名前を付けることで、読者に親しみやすさを感じてもらいながら、同時にセキュリティも確保できます。
設定を保存すると、それ以降はブログ記事の著者名として新しいニックネームが表示されるようになります。ただし、プラグイン側の警告がすぐに消えないこともあります。これはプラグインが古い情報を参照しているためで、しばらく待つか、ダッシュボードを再読み込みすることで最新の状態に更新されます。
301転送をhtaccessで設定してサイト速度を改善する
WordPressでは、SSL証明書を導入してhttps通信を有効にした後も、訪問者がhttpのアドレスでアクセスしてくると、自動的にhttpsへ転送される仕組みが必要です。この転送には、WordPressのプログラムで行う方法と、サーバーの設定ファイルである.htaccessで行う方法の2種類があります。
Really Simple SSLは、初期状態では「301 PHP転送」という方法で転送を行っています。これはWordPressのプログラムが起動してから転送処理を行うため、わずかですが読み込みに時間がかかります。一方、.htaccessで転送を行えば、WordPressが起動する前の段階で転送が完了するため、サイトの表示速度が向上し、セキュリティも強化されます。
WordPressによる転送と.htaccess転送の違い
301 PHP転送は、訪問者がhttpでアクセスしてきたときに、WordPressのプログラムが「このアドレスは別の場所に移動しました」という指示を出し、httpsのアドレスへ誘導する仕組みです。この方法は設定が簡単で、ほとんどのサーバーで問題なく動作しますが、WordPressが起動するまでに数ミリ秒から数十ミリ秒の遅延が発生します。
一方、.htaccess転送は、サーバーが最初にリクエストを受け取った段階で転送処理を行います。これは、WordPressが起動する前の「サーバーレベル」での処理となるため、非常に高速で、かつ確実に転送が行われます。また、検索エンジンに対しても「このサイトは常にhttpsで運用されている」という情報を明確に伝えることができ、SEO上も有利に働きます。
ただし、.htaccess転送を有効にするには、サーバーの設定ファイルを直接編集する必要があるため、設定を誤るとサイトにアクセスできなくなる可能性があります。Really Simple SSLは、この設定を自動的に行ってくれるため、手動で編集する必要はありませんが、念のため設定を変更する前にバックアップを取っておくと安心です。
| 項目 | 301 PHP転送 | 301 .htaccess転送 |
|---|---|---|
| 処理タイミング | WordPress起動後 | サーバーレベル(起動前) |
| 速度 | 数ミリ秒〜数十ミリ秒の遅延あり | 非常に高速・遅延なし |
| 設定の簡単さ | 簡単・初期状態のまま | プラグインが自動設定 |
| SEO効果 | 特別ななし | 検索エンジンにhttps運用を明確に伝えられる |
| リスク | 低い | 設定誤りに注意(バックアップ推奨) |
転送方法を切り替える具体的な手順
転送方法を切り替えるには、まずWordPress管理画面の左側メニューから「セキュリティ」を選び、ダッシュボードを開きます。次に、画面上部にある「設定」タブをクリックし、左側のメニューから「SSL」または「Redirection」という項目を選びます。
.htaccess転送に切り替える手順
左側メニュー →「セキュリティ」→ ダッシュボード
「設定」タブ → 「SSL」または「Redirection」を選択
「転送方法」欄で「301 PHP転送」→ 「301 .htaccess転送」に変更
「保存して続ける」または「保存」ボタンを押す
httpでサイトにアクセスして、httpsに自動転送されるか確認
設定画面が開いたら、「転送方法」という欄を探してください。ここには、「転送なし」「301 PHP転送」「301 .htaccess転送」の3つの選択肢が表示されています。初期状態では「301 PHP転送」が選ばれているはずなので、これを「301 .htaccess転送」に変更します。
変更したら、画面を下にスクロールして「保存して続ける」または「保存」ボタンを押します。保存が完了すると、ダッシュボードに戻り、作業状況のパーセンテージが上昇します。また、「WordPressによる301転送が有効です」という警告も消えているはずです。
この設定を行った後、念のため自分のサイトにhttpでアクセスしてみて、自動的にhttpsに転送されるかどうかを確認しておくと安心です。もしエラーが出た場合は、再び設定画面を開き、「301 PHP転送」に戻すことで元の状態に復旧できます。
ポイント
.htaccess転送に切り替える前に、必ずバックアップを取っておくことが重要です。Really Simple SSLは自動で設定してくれますが、何らかの問題が発生した場合に戻せるようにしておくと安心です。
メール通知を有効化して異常を見逃さない仕組みを作る
WordPressのセキュリティプラグインは、サイトに異常が発生したときに管理者へメールで通知を送る機能を持っています。この通知機能を有効にするには、管理者のメールアドレスを登録し、そのアドレスが正しく受信できるかどうかを確認する必要があります。
Really Simple SSLの設定画面には、「Complete email validation and enable notifications」という作業待ち項目が表示されることがあります。これは、メールアドレスの検証がまだ完了していないことを意味しており、このままでは重要な通知が届かない可能性があります。
検証メールが届かないときの対処法
メールアドレスの検証を行うには、設定画面の「全般」タブを開き、「メール」というセクションを探します。そこに表示されているメールアドレスが正しいことを確認し、「メール検証送信」ボタンを押します。
ボタンを押すと、登録されているメールアドレスに検証用のメールが送信されます。メールには「Confirm」や「承認」といったボタンが含まれており、これをクリックすることで検証が完了します。ただし、サーバーの設定やメール送信プラグインの状態によっては、メールが届かないことがあります。
メールが届かない場合は、まず迷惑メールフォルダを確認してください。それでも見つからない場合は、WordPressのメール送信機能が正しく動作していない可能性があります。このような場合、設定画面に表示されている「Force confirm email」という青いリンクをクリックすることで、メールの到着を待たずに検証を完了させることができます。
検証メールが届かない場合の対処フロー
まず迷惑メールフォルダを確認する
見つからなければ、再送信ボタンを押してもう一度待つ
それでも届かなければ「Force confirm email」リンクで強制承認
強制承認を使ってタスクを完了させる
Force confirm emailは、メール送信がうまくいかない場合の救済措置です。このリンクをクリックすると、プラグインは「メールアドレスの検証が完了した」とみなし、作業待ちリストから該当項目が消えます。
強制承認を使った場合でも、実際にメールが届くかどうかは別の問題として残ります。そのため、後日時間があるときに、WordPressのメール送信設定を見直すか、SMTP設定を行うプラグインを導入しておくと、今後の通知を確実に受け取れるようになります。
強制承認を実行すると、ダッシュボードの作業状況が60%から70%へと上昇し、残りのタスク数も減ります。これにより、サイト全体のセキュリティ設定が着実に進んでいることが視覚的に確認できます。
覚えておくこと
強制承認はタスクの完了には役立ちますが、実際のメール受信問題は別途解決が必要です。SMTP設定プラグインの導入が、今後の通知を確実に受け取るための根本的な対策です。
ボットによる404エラーを理解して無駄な心配を減らす
ダッシュボードに「We detected suspected bots triggering large numbers of 404 errors」という赤い警告が表示されることがあります。これは、あなたのサイトに存在しないページへのアクセスが大量に発生していることを意味していますが、これは必ずしも攻撃を受けているわけではありません。
404エラーとは、訪問者が存在しないページにアクセスしようとしたときに表示される「ページが見つかりません」というメッセージです。通常、人間の訪問者が404エラーに遭遇するのは、古いリンクをクリックしたり、URLを間違えて入力したりしたときだけです。しかし、ボットと呼ばれる自動プログラムは、サイト内のあらゆるURLを試しながら、脆弱性を探そうとするため、短時間に大量の404エラーを発生させます。
404エラーが大量発生する理由
ボットは、世界中のサイトを自動的に巡回し、古いプラグインや脆弱性のあるファイルが残っていないかを調べています。たとえば、「wp-admin/install.php」や「wp-content/plugins/old-plugin/readme.txt」といったURLに次々とアクセスし、反応があるかどうかを確認します。
これらのファイルがサイトに存在しない場合、サーバーは404エラーを返します。ボットはこのエラーを受け取ると、次のURLを試し、また404エラーが返ってきます。この繰り返しが短時間に数十回、数百回と行われるため、アクセスログには大量の404エラーが記録されます。
Really Simple SSLは、このような異常なアクセスパターンを検知し、警告として表示します。警告が出たからといって、すぐにサイトが危険にさらされているわけではなく、むしろプラグインが正常に監視を行っている証拠です。ボットがアクセスを試みても、実際にはファイルが存在しないため、攻撃は成功しません。
| 順序 | ボットの動き | 結果 |
|---|---|---|
| ① | wp-admin/install.php へアクセス | 404エラー返信 |
| ② | wp-content/plugins/xxx/readme.txt へアクセス | 404エラー返信 |
| ③ | xmlrpc.php へアクセス | 404エラー返信 |
| … | 短時間に数十〜数百回の繰り返し | 攻撃は成功しない |
警告の詳細を確認して必要な対策を見極める
警告の右側にある「詳細」ボタンをクリックすると、どのIPアドレスから、どのURLにアクセスがあったかを確認できます。たとえば、海外のIPアドレスから「wp-login.php」や「xmlrpc.php」といったファイルへのアクセスが繰り返されている場合、これはログイン画面を探している可能性があります。
こうした情報を見ると不安になるかもしれませんが、Really Simple SSLはすでに基本的な防御機能を有効にしています。たとえば、ログイン試行回数の制限や、ファイアウォール機能などが働いているため、ボットが実際にサイトに侵入することは困難です。
もしさらに強固な防御を行いたい場合は、プラグインの有料版にアップグレードすることで、404エラーを繰り返すIPアドレスを自動的にブロックする機能を利用できます。ただし、無料版のままでも、基本的なセキュリティは十分に確保されているため、すぐにアップグレードする必要はありません。
警告を確認した後、特に心配すべき内容が含まれていなければ、右端の「×」ボタンを押して警告を消してしまっても問題ありません。これにより、ダッシュボードがすっきりし、作業状況のパーセンテージもさらに上昇します。
| 防御機能 | 無料版 | 有料版 |
|---|---|---|
| ログイン試行回数の制限 | ✅ | ✅ |
| ファイアウォール機能 | ✅ | ✅ |
| 404エラーIPの自動ブロック | — | ✅ |
| 高度な脅威検知 | — | ✅ |
おわりに
WordPressのセキュリティ設定は、一見すると難しそうに感じられますが、実際には管理画面のボタンをいくつか押すだけで、大きく安全性を高めることができます。ユーザー名とニックネームを分け、転送設定を最適化し、メール通知を有効にするだけで、サイトは格段に守られた状態になります。
ボットによる404エラーのような警告が出ても、それは必ずしも危険を意味するわけではなく、むしろプラグインが正常に監視を続けている証拠です。ダッシュボードのパーセンテージが70%を超えたら、基本的なセキュリティ対策はほぼ完了していると考えて大丈夫です。
あとは定期的にプラグインやWordPress本体を最新版に更新し、不審なアクセスがないかを時々確認するだけで、安心してサイト運営を続けられます。
この記事のまとめ
ダッシュボードの警告と作業待ちを把握し、警告を優先して対応する
ニックネームを変更し、ログイン名が外部に公開されない状態にする
転送方法を.htaccess転送に切り替え、速度とSEOを改善する
メール検証を完了し、通知を確実に受け取れるようにする
404エラーの警告は攻撃の証拠ではなく、監視が正常に動いている証拠
コメント