@lifehacker

「管理者権限を乱用しない」とはどういうことかWordPress でいう「管理者権限（Administrator）」は、サイトのほぼすべてを操作できる、いわば「神モード」です。テーマやプラグインのインス...

なぜ「プラグイン脆弱性の監視」が超重要なのかまず一番大事なことから。WordPress サイトが乗っ取られる原因のかなり大きな割合は、「プラグインの脆弱性」です。理由はシンプルで、プラグインは機能が豊...

「ログイン通知を受信する」とは何をしているのかまずイメージからいきましょう。「ログイン通知」とは、誰かがあなたの WordPress アカウントにログインしたときに、メールなどで知らせてもらう仕組みで...

なぜ「テーマの脆弱性情報」を定期チェックする必要があるのかまず一番大事な前提から。WordPress のセキュリティ事故のかなりの割合は、「WordPress 本体」ではなく「テーマやプラグイン」の脆...

ブラウザキャッシュの「セキュリティ対応」とは何をすることかまず前提から整理します。ブラウザキャッシュ自体は「表示を速くするための仕組み」です。しかし、扱うページの内容によっては“セキュリティリスク”に...

Content-Security-Policy（CSP）は「サイトに読み込んでよいものを“ホワイトリスト化”する最強の防御壁」まず、CSP を一言でまとめると、「このページでは、どのスクリプト・画像・...

X-XSS-Protection は「ブラウザ側の簡易XSSフィルターのスイッチ」まず、X-XSS-Protection をざっくり一言でいうと、「ブラウザに備わっている“簡易的なXSSフィルター”を...

X-Frame-Options は「フレームに入れていいかどうか」を決めるスイッチまず、X-Frame-Options を一言でいうと、「このページを、他のサイトの <iframe> や <frame...

Mixed Content ってそもそも何？SSL を有効化してサイトを https:// で表示できるようにしても、ブラウザのアドレスバーに「保護されていません」「一部のみ安全」みたいな警告が出るこ...

「SSLを有効化する」とは何をしているのかまず言葉をほぐします。「SSLを有効化する」というのは、ざっくり言うと、サイトのURLをhttp:// ではなく https:// で動かすようにするそのため...

reCAPTCHA は「人間かボットかを見分けるフィルター」まず、reCAPTCHA を一言でいうと、「この操作をしているのは、本物の人間か？ それともボットか？」をチェックするためのフィルターです。...

セキュリティプラグインって、ざっくり何をしてくれるのかまずイメージからいきましょう。「セキュリティプラグイン」は、WordPress にとっての・見張り役（監視）・門番（ブロック）・健康診断（スキャン...

「ファイル変更監視」って何をする仕組み？まずイメージからいきましょう。ファイル変更監視とは、ざっくり言うと、「サーバー上のファイルが、いつ・どこで・どう変わったかを記録し、怪しい変更があれば気づけるよ...

なぜ WordPress に「ウイルススキャン」が必要なのかまず前提として、ここでいう「ウイルススキャン」は、PC に入れるウイルス対策ソフトと同じ発想を、サーバー上の WordPress ファイルや...

なぜ「不正ログインログの定期確認」がセキュリティ対策になるのかまず大事な前提から。セキュリティは「設定して終わり」ではなく、「ちゃんと見続ける」ことで強くなります。強力なパスワード2段階認証ログイン試...

REST APIって何をしているのかをイメージしようWordPress の REST API は、「ブラウザ以外のもの（アプリ・ツール・スクリプト）が、WordPress と会話するための窓口」です。...

XML-RPCってそもそも何者？まず「XML-RPCって何？」からいきましょう。WordPress のルートにある xmlrpc.php というファイル、見たことありますよね。これはざっくり言うと、外...

「コアファイル書き込み権限の制限」とは何をすることかまず言葉をほぐします。ここでいう「コアファイル」は、WordPress 本体のファイルのことです。wp-admin/wp-includes/ルート直...

なぜ「WordPress バージョン情報を隠す」とセキュリティが上がるのかまず前提として、WordPress はデフォルトの状態だと「自分のバージョン番号」をけっこうあちこちでベラベラしゃべります。ペ...

管理URLへのIP制限って、ざっくり言うと何をするのか「.htaccess で管理URLへのIP制限」というのは、WordPress の管理画面（例：/wp-admin/ や /wp-login.ph...

ディレクトリインデックスってそもそも何？まず「ディレクトリインデックス」という言葉を、イメージでつかみましょう。ブラウザで、こんなURLを開いたとします。本来なら、ここには「index.php」や「i...

データベース接頭辞ってそもそも何？WordPress は、記事やユーザー情報を「データベースのテーブル」に保存しています。そのテーブル名の先頭についているのが「データベース接頭辞（テーブルプレフィック...

wp-config.php が「WordPress で一番大事なファイル」である理由まず前提から整理します。wp-config.php は、WordPress の「心臓部の設定ファイル」です。データベ...

なぜ「プラグインのコード編集」を止めることがセキュリティになるのかWordPress には、管理画面から直接プラグインの PHP ファイルを編集できる機能があります。プラグイン → プラグインファイル...

なぜ「使わないプラグイン削除」がセキュリティ対策になるのかテーマのときと同じで、プラグインも中身はすべて PHP コードです。そして重要なのは、「有効化していなくても、サーバー上にファイルがある限り“...

なぜ「使わないテーマ」を消すことがセキュリティになるのかWordPress のテーマは、「見た目を変えるためのテンプレート」ですが、中身は普通に PHP コードです。つまり、有効化していないテーマでも...

なぜ「強力なパスワードを必須化」しないと危ないのかWordPress のセキュリティで、一番最初に守るべき場所は「ログイン画面」です。ここが破られたら、記事の改ざん、マルウェア設置、ユーザー追加など、...

「ログイン試行回数制限」って何をする仕組みかまずイメージからいきましょう。ログイン画面で、ユーザー名とパスワードを何度も間違えると、こうなりますよね。「一定回数間違えたので、しばらくログインできません...

なぜ WordPress の「ログインURL変更」を考えるのかWordPress のログインページは、初期状態だとほぼ必ず/wp-login.phpまたは/wp-admin/です。つまり、世界中の誰で...

2段階認証ってそもそも何か2段階認証（2FA / 二要素認証）は、「ログインするときに“もう1つ”確認を挟む仕組み」です。今までは、ユーザー名（またはメールアドレス）パスワードこの2つだけでログインし...