ユーザーの表示名をニックネームにする

「ニックネーム(必須)」にユーザー名とは異なるものを入力する(日本語推奨)

Wp Plugin『SITE GUARD』を入れる

  • ログインURLを任意の文字列に変更する
  • ↑で変更しただけだと/wp-admin/で表示出来てしまうので『管理者ページからログインページへリダイレクトしない』にチェックを入れる。

管理画面にBASIC認証を入れる

.htpasswdを作成する

とにかくまずは.htpasswdを作成する。

次に /wp/wp-admin/ ディレクトリに.htaccessを作成する

.htaccessは以下内容で記述。
※ X-SERVERで可動確認

AuthUserFile /home/xxx/htpasswd/xxx/.htpasswd // X-SERVERの場合
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user

<FilesMatch "(admin-ajax.php)$">
Satisfy Any
Order allow,deny
Allow from all
Deny from none
</FilesMatch>
AuthUserFile "/home/xxx/xxx/htpasswd/.htpasswd" // X-SERVERの場合
AuthName "Member Site"
AuthType BASIC
require valid-user

そして /wp/ ディレクトリの.htaccessを編集する

Wp Plugin『SITE GUARD』導入で.htaccessが書き換わってるので、サーバーからダウンロードしたものに変更を加える。

#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
<IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteBase /wp/
    RewriteRule ^wp-signup\.php 404-siteguard [L]
    RewriteRule ^wp-activate\.php 404-siteguard [L]
    RewriteRule ^hdgY8sv22ou_kf-dsv8Adsf(.*)$ wp-login.php$1 [L]
</IfModule>
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_END
#SITEGUARD_PLUGIN_SETTINGS_END

# 以下ベーシック認証
<Files wp-login.php>
AuthType Basic
AuthUserFile /home/xs○○○○/○○○.com/htpasswd/.htpasswd
AuthGroupFile /dev/null
AuthName "Basic認証のIDとPASSを入力ください。 ※wordpressのID、PASSとは異なります。"
require valid-user
</Files>

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /wp/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /wp/index.php [L]
</IfModule>
# END WordPress

.htaccessの作成が完了したら/wp/wp-admin/ ディレクトリにUPする。
この時点で管理画面のログインページを開くと、BASIC認証のID、PASSを求められる。

IDとPASSを入力しても弾かれたら、.htaccessに記述したパスが間違ってるか、
.htpasswdが上手く出来てないかのどっちか。

wp-config.phpのパーミッションを400に変更

パーミッションを書き込み不可の設定にする。

wordpress.comアカウントを作成する

メールアドレスが必要。
以下URLで登録可能。

次に入れるプラグインJetpackでwordpress.comのアカウントを使用する。
https://ja.wordpress.com/signup/?user=1

Wp Plugin『Jetpack』を入れる。

  • wordpress.comのアカウントが必要
  • 入れ終わったら、とりあえずパーマリンクを更新する必要がある。
  • 設定をひととり見て、ケースバイケースで適した感じで設定していく。
  • ここまで書いてなんだが、設定中はJetpackのキャッシュが非常に邪魔。たぶん、全部wp側の設定が全部完了してからJetpackは設定するのが吉とみた。

Wp Plugin『Invisible reCaptcha』を入れる。

まずはプラグインをインストールしたら有効化する。

次に以下サイトを参考にreCaptchaのアカウント登録をする。
https://www.chirashiya.com/blog/6758/
v3を推奨。

アカウント登録が完了し『サイト鍵』と『秘密鍵』を入手したら、
wp管理画面 設定 > Invisible reCaptcha
に鍵を登録する。

最後に、タブからそれぞれ設定していく。以下キャプチャ参照。

最後にサーバーサイドの設定をする。

以下X-SERVERの場合

  • 『WAF設定』を設定する。
  • 『WordPressセキュリティ設定』を設定する。
  • 『Xアクセラレータ』を設定する。

全作業完了したら、セキュリティレベルをチェック

https://wpsec.com/

https://wp-doctor.jp/blog/wordpress%E3%83%AF%E3%83%BC%E3%83%89%E3%83%97%E3%83%AC%E3%82%B9%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%BC%E3%82%B9%E3%82%AD%E3%83%A3%E3%83%8A%E3%83%BC/

↑ついでにプラグイン『ワードプレス・ドクター』を入れる

さらに、世界標準のプラグイン

Wordfence 

をいれる