サイト制作のポイント・まとめ（2）手動WordPressインストール編

WordPressインストール編（WordPress手動インストール）

いつも、自動インストールではなく、手動でWordPressをインストールしています。
記載しているのはさくらインターネットを使ったWordPress手動インストールの方法ですが、エックスサーバーでも概ね同じ感じで対応できますので、参考になりましたら幸いです。

WordPressを手動インストールにしている理由はセキュリティ対策のためです。
「自分で設定できるので、推測されにくいデータベース名・データベースの接頭辞・WordPressログインIDとパスワードの設定ができる」「WordPress側で初期でインストールするプラグインを除いて、使わないプラグインが追加されない」という利点があります。

(注)ドメインとサーバーの連携については、別途レンタルサーバー（例：さくらインターネット、エックスサーバー）またはドメイン管理サービス（ムームードメイン）のヘルプページをご確認ください。
(注)後々面倒になるので、先にSSL化設定をしておいてから作業することをオススメします。やり方は別途レンタルサーバーのヘルプページをご確認ください。
(注)なるべくどのサーバーでも使える情報を心がけて作成していますが、

WordPress手動インストール手順（1）php.iniの設定をします

(注)エックスサーバーはphp.iniではなく、サーバーパネル内の設定から対応してください。基本はデフォルトの設定で問題なしです。
(注)「upload_max_filesize」「post_max_size」は512MBにしていますが、任意に指定可能です。
(注)ONにして挙動がおかしくなったケースがあったので、念のため、zlib.output_compressionはOFFで指定しています。
(注)session.nameの「適当な英数字の文字列」は、推測されにくい文字列にしてください。例の通りに入力しないようにご注意ください。（例：sessionnamecode）

default_charset = UTF-8
date.timezone = Asia/Tokyo
mbstring.internal_encoding = UTF-8
mbstring.language = neutral
upload_max_filesize = 512M
post_max_size = 512M

zlib.output_compression = Off

allow_url_include = Off
allow_url_fopen = Off
expose_php = Off
display_errors = Off
disable_functions = On
output_buffering = On
session.cookie_httponly = On
session.cookie_secure = On
session.name = 適当な英数字の文字列

WordPress手動インストール手順（2）データベースを新規追加します

レンタルサーバーの管理画面、データベースの新規追加から、画面に従って作成ください。
エックスサーバーの場合はデータベースのユーザー名も設定してください。

ここで設定したパスワードを忘れないようにご注意ください。

WordPress手動インストール手順（3）FTPクライアントソフトでWordPressのZIPファイルを任意のディレクトリにアップロードします

私自身はメインパソコンのOSがWindowsのため、FTPクライアントソフトは「WinSCP」を使用しています。
エックスサーバーと相性が悪いことがあるので、エックスサーバーご利用の方はOS問わず「FileZilla」をご利用いただくと良いと思います。（FileZillaはWindows版もあります）

レンタルサーバーのファイルマネージャーからもアップロードはできますが、レンタルサーバー側ではファイルのアップロード容量制限を設定しているためか、基本的にうまくいかないことが多かったので、FTPクライアントソフトでアップロードする方が楽だと思われます。

(注)「解凍してから少しずつ（または一気に）ファイルをアップロードして」と書かれている記事がありますが、アップロードエラー等が分かりにくいことから、クリエイトアコード（夜空きり）では推奨していません。（アップロードエラーなく対応できるなら方法は何でも大丈夫です）

(注)余談：メインで使用しているOSはWindowsですが、MacOSでZIPファイルに圧縮するときに「.__MACOSX ディレクトリ」「.DS_Store ファイル」が生成されるため、できる限り、サーバー上かWindowsで圧縮するようにしています。（生成しないで圧縮する方法もありますが、あまり初心者向けとは言えないため、不安もあるので……）

窓の杜

窓の杜 「WinSCP」SCP/SFTP/FTPS対応のFTPクライアント

(注)「FileZilla Client」を選んでください。
(注)日本語版ではなく公式サイトを共有したのは、日本語版のWebサイトからダウンロードしたときにうまくいかないことがあったためです。

使い方が分からなくてお困りの方は「Web技術サポート・Webコンテンツサポート」をご利用ください。

オススメサービス

サービス クリエイトアコードお困りごと・お悩み事解決サポートサービス クリエイトアコードは、サポーターの知識と技術×提供側の「心」と「価値」で、お客様のWebやITに関するお…

WordPress手動インストール手順（4）サーバーのファイルマネージャーからZIPファイルを右クリックで「リモートで解凍」をします

ZIPファイルの解凍はサーバーのファイルマネージャーで行います。（他にも対応する方法はありますが、サーバーに機能があるので、サーバーの機能を使った方が楽です）

WordPress手動インストール手順（5）インストールしたいディレクトリにファイルをリモートで「WordPressインストールフォルダ直下」に移動します（メニュー例：指定の場所に移動）

右クリックでメニューを選ぶ又はドラッグ&ドロップで対応できます。
詳細は、レンタルサーバーのファイルマネージャーのヘルプページをご確認ください。

この工程は、FTPクライアントソフトからでもOKです。

WordPress手動インストール手順（6）ZIPファイルと残った空のフォルダを削除します

この工程は、FTPクライアントソフトからでもOKです。

間違って必要なファイルまで削除しないように、ご注意ください。

WordPress手動インストール手順（7）（MacOS利用ユーザー向け）念のため「.__MACOSX ディレクトリ」「.DS_Store ファイル」を確認してください。該当ファイルがあったら削除しておきます。

この手順通りに対応していた場合は生成されていないはずですが、念のため御確認ください。
どちらも隠しファイル扱いになっている可能性があるので、隠しファイルを表示しておきます。
怪しいファイルも見つけやすくなるので設定しておくと良いでしょう。

(注)WinSCPはWindowsOSのみの提供ツールのため、FileZillaだけ掲載しています。他のツールを使っている方は、ブラウザの検索エンジンで「（FTPクライアントソフト名） 隠しファイル表示方法」で検索してみてください。

WordPress手動インストール手順（8）「wp-config-sample.php」をダウンロードして「wp-config.php」を作成します

WordPress手動インストールの工程はあともう少しです！

1. テキストエディタ（Visual Studio Codeがオススメ。文字コードと改行コードが変えられるテキストエディタ推奨）で開いてコメントに従ってデータベースの情報を入力します。（注1、注2）
2. ファイルの名前を「wp-config.php」に変更します。

(注)1…入力するものは「データベース名」「データベースのユーザー名」「データベースのパスワード」「データベースのホスト名」「データベーステーブルの接頭辞」です。
(注)2…データベースの接頭辞は推測されないように、wpが入らず、短すぎないものにしてください。末尾は「_」でしておくと良いです。（後々困ったときにデータベース名が検索しにくくなります）

WordPress手動インストール手順（9）8のファイルをアップロードします

アップロードするのは「wp-config-sample.php」と同じ場所（WordPressインストールフォルダ直下）です。

WordPress手動インストール手順（10）WordPressインストールページ（WordPressのサイトURLにしようと思っているURL）にアクセスし、情報を入れる【完了！】

ここまでで問題なく設定できていれば、WordPressのサイト名・ユーザー名・パスワードの入力画面が表示されますので入力して進んでください。これで、WordPress手動インストール作業が全工程完了となります。お疲れ様でした！

サーバー側でインストールしてくれるのは、上記の工程のほとんどが対応してくれているので、とても有り難いですよね！

欲を言うなら、もう少し特定されないようなデータベース名にしていただけたらと……。

WordPressのインストールが完了した後は、WordPress管理画面メニュー「設定」の「一般」内にある項目「キャッチフレーズ」の文章を入力することを忘れないようにしてくださいね！

WordPressインストール完了後に対応すること（1）セキュリティ対策

WordPressの自動インストール、WordPress手動インストール問わず、可能であればセキュリティ対策は対応してください。

（1）コメント不要な場合は「設定＞ディスカッション」で全部チェックを外す

コメントが必要な場合は、この工程をスキップしてください。
（コメントはスパムが来やすいので、コメントスパム防止プラグイン等で対策を取ることを強くオススメいたします）

「WordPressに最初からインストールされているAkismet Anti-Spamじゃダメなの？」と思いますよね？
無料でAPIキーが取得できるのですが、無料版は商用利用ができないので、商用利用に当てはまらないブログであれば無料のまま問題なく利用できます。
企業の公式サイト、コーポレートサイト、アフィリエイトサイトの場合は、商用利用とみなされる可能性があるので、クリエイトアコードでは「Akismet Anti-Spam」の利用はオススメしていません。
（コメント機能はスパム対策のコストへの懸念と利用者数の減少から、有効にすること自体、あまり推奨はしていません）

WordPress管理画面の「設定」から、ディスカッション内にある『コメント内で許可されないキーワード』に入れる方法があります。
もう一つは「reCaptcha」の導入です。「Invisible reCaptcha for WordPress」プラグインがあるようなのですが、最終更新日が2年前（2022年8月1日確認時点）だったので、あまりオススメしにくいです……。

スパム対策をするコストが高いので、クリエイトアコードではコメント機能をOFFにすることを勧めています。

（2）スパムコメントとか来ても困るので、少なくとも最初の投稿記事（デフォルトで生成されるサンプル記事）は基本的に削除する

デフォルトで生成される最初の記事はコメント機能が有効になっているので、放っておくとスパムコメントが来ます。そんなに見られていないサイトでもお構いなしです。サンプルとして参考にした後は残しておく意味もないので削除しておきましょう。

（3）セキュリティ対策プラグイン等のプラグインを導入・設定しておく

個人的なオススメは「SiteGuard WP Plugin」ですが、他にもセキュリティ対策プラグインはあるので、使いたいプラグインを使うと良いと思います。

ブログブートキャンプ

【2024年最新】SiteGuard WP Pluginの使い方・設定方法まとめ SiteGuard WP Pluginは、不正アクセスからWordPressを守るプラグインです。ログイン画面には誰でもアクセスできるため、不正アクセスのターゲットになりやすく、セキュリテ…

WordPressインストール完了後に対応すること（2）htaccess（ドット・エイチ・ティ・アクセス）ファイルを使ったURL正規化とキャッシュの設定

(注)この項目は、対応必須ではありません。
(注)クリエイトアコード（夜空きり）のやり方を載せていますが、プラグインもあるので、プラグインで設定すると安心かもしれません。
(注)コメントアウトするときは#（半角シャープ）を使います。
(注)このコードはエックスサーバーには対応していません。可能ならプラグインやサーバーの設定側で必要なものを個別で対応すると良いでしょう（特に圧縮と「wlwmanifest.xml」のアクセス禁止はエックスサーバー側で対応しているため、設定が重複した結果、干渉してしまう可能性があります）
(注)URL正規化は基本的には各レンタルサーバー側から設定が可能です。レンタルサーバー側で設定をした場合はURL正規化部分のコードは使わないでください。

2024年2月28日修正。
コンテンツ圧縮の記述を削除しました。
削除理由は「今でも通用するコードのつもりで書いていたが、更新もあるプラグインに配信制御をお任せした方が良いと判断したため」です。

2023年10月16日修正。
robot.txtをアクセス禁止としていたのですが、近年はアクセス禁止の方が不都合が大きいのではないかと考えたため、アクセス禁止対象から外しました。wp-mail.phpも共通ではないと判断して外しています。今のアクセス禁止対象になっているファイルも、今後も仕様変更により対象から外す可能性はあります。
メール投稿を使わない場合は「wp-mail.php」、コメント機能を使わない場合は「wp-comments-post.php」をアクセス禁止対象に加えておくと良いでしょう。

2022年12月1日修正。
WordPressのサイトヘルスチェックでキャッシュ周りの設定について推奨メッセージが出るようになった関係でプラグインでの対応に置き換えた結果、設定が干渉してしまうので干渉するキャッシュ周りの設定を削除しました。

#
# URL正規化
#

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>


#
# Security
#

#Indexを見せない
DirectoryIndex index.html index.cgi index.php .ht

<ifModule mod_headers.c>
SetEnvIf User-Agent "GoogleDocs" scraping
RewriteCond %{ENV:scraping} 1
RewriteRule ^.*$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]
</ifModule>

<FilesMatch "^(wp-config\.php|install\.php|\.ht|license\.txt|wp-config-sample\.php|readme\.html|wlwmanifest\.xml)">
Require all denied
</FilesMatch>

「#BEGIN WordPress」の上（「SiteGuard WP Plugin」プラグインを入れた場合は「#SITEGUARD_PLUGIN_SETTINGS_START」の上）に設置してください。
(注)他のプラグインのコードも入っている可能性もあるので、その場合は一番上に設置。

htaccessファイルは隠しファイルになってしまうことがあります。隠しファイルを表示する設定にするか、「htaccess.txt」のファイルにして作成してサーバーにアップロードした後、ファイル名を拡張子ごと変更する方が作りやすいです。

WebPの設定をする人は、WebPの設定後にまとめて対応する方が楽かもしれません。

おまけ1：メディアライブラリフォルダのセキュリティ対策

以下のhtaccessファイルを用意して、メディアライブラリフォルダ（デフォルト「WordPressインストールフォルダ/wp-content/uploads/」）に入れます。

おまけ2：wp-config.phpのセキュリティ対策

念には念を入れ、htaccessファイルのパーミッションを「400」または「600」にしておきましょう。
右クリックで「ファイルのパーミッション」または「プロパティ」を選択し、現在の属性に数値を入れます（4桁の場合は左は0にして「0400」または「0600」にしてください）

(注)400にすると、上書き等の修正ができなくなるので、不安な人は600がオススメです。

おまけ3：WordPressのバックアップ・最適化

WordPressバックアップは、「BackWPup」プラグインを使用しています。

私はジョブを登録せず、BackWPupのダッシュボードにある「データベースのバックアップをダウンロード」をクリックしてバックアップを取っています。正直、そこまで頻繁に投稿するわけではないので、定期的に確認しているときに対応で良いかなぁって。あと、ジョブの登録が下手だったのかリストア（復旧）で失敗したので、簡易的なバックアップの方が復旧が楽だったというのもあります。

余談：リストア（復旧時）は、phpMyAdminで該当するWordPressのデータベースを全部空っぽにしてインポートすることでリストアしています。

2022年12月1日追記。
「BackWPup」のバージョンアップでエラーが出るというトラブル事例が確認されていますが、ジョブで定期的にバックアップを取っていない「データベースのバックアップをダウンロードで任意のタイミングでバックアップを取得している」私の環境ではエラーは発生していません。
積極的に更新しているプラグインではバグや脆弱性の修正をしていることから、基本的にはプラグインの更新通知が来たらアップデートすることを推奨していますが、どのプラグインでもアップデートするときは最新の情報を見てからアップデートするようにご注意ください。

データベースの容量が少ないとき（例：初回の引っ越し）だけ、「All-In-One WP Migration」プラグインを使っています。ファイルでエクスポート→インポートするだけなので楽ですが、このプラグインは、ファイルサイズが多いとうまくいかないので、本当に最初の頃くらいしか使っていないです。画像をたくさん使用する人、頻繁に記事を投稿する人は気をつけてくださいね！

補足：エクスポートができたのにインポートができないときは、最大アップロード容量の制限が低すぎる可能性があります。サーバー、WordPress側の最大アップロード容量の数値変更をしてから再度お試しください。（検索で「サーバー名 最大アップロード容量」で検索すると情報が出てくると思います。出てこないサーバーを使うのは後々トラブルが起きたときに自分で対処できなくなるので避けておくことをオススメいたします）

最適化には「WP Optimize」プラグインを使用しています。
キャッシュの設定等もできるみたいなのですが、他のキャッシュ周りのプラグインや設定と干渉してしまうことから、私はデータベースの最適化のみ使用しています。
消えても困らないものだけチェック入れて最適化するだけでも容量が減るので、体感は速くなります。

余談：ずっと運用していたサイトの容量がこのプラグインを使って容量が最適化前から80%以上削減された事例に遭遇したときは流石にビックリしました。リビジョンだけではないと思いますが、更新頻度が多いサイトは気をつけた方が良いかもしれません。

NEXT→WordPressカスタマイズ編

「WordPressカスタマイズ編」に続きます！

次回のまとめ記事

制作まとめ3-WPカスタマイズ サイト制作のポイント・まとめ（3）WPカスタマイズ、コンテンツの作成 事業用サイト制作「CREATE ACCORDウェブサイト＆ブログサイト（PURPOSE/パーパス）」で参考にした…