はじめに
「HTTPS強制とHSTSプリロードの設定手順とリスク」というトラブルに悩んでいる方は多くいます。本記事では原因の特定から解決まで、図解付きでわかりやすく解説します。
症状・原因
HTTPS強制とHSTSプリロードの設定手順とリスクが起きる主な原因は以下の通りです。
- SSL証明書の期限切れまたは設定ミス
- 古いプラグイン・テーマの未更新による脆弱性
- 推測されやすいパスワードや管理者名(admin等)の使用
解決手順
ステップ1:WordPressと全プラグインを最新版に更新する
既知の脆弱性の大半は最新バージョンで修正されています。
# WP-CLIで一括更新
wp core update
wp plugin update --all
wp theme update --allステップ2:強力なパスワードと2段階認証を設定する
管理者アカウントのパスワードは16文字以上の英数字記号の組み合わせにします。Google AuthenticatorやAuthyなどのOTPアプリと連携する2FAプラグインを導入してください。
ステップ3:.htaccessでwp-config.phpへのアクセスを制限する
.htaccess に以下を追記します。
# wp-config.php への外部アクセスを禁止
<files wp-config.php>
order allow,deny
deny from all
</files>ステップ4:セキュリティスキャンを実行する
Wordfenceをインストールして完全スキャンを実行します。
# WP-CLIでWordfenceスキャン
wp wordfence scan --type=all検出された問題は優先度順に対処します。
注意事項
セキュリティ設定の変更は慎重に行ってください。IPアドレス制限など誤った設定は自分がアクセスできなくなる場合があります。変更前にバックアップのコピーを保存しておくことを強く推奨します。
まとめ
WordPressのHTTPS強制とHSTSプリロードの設定手順とリスクの解決手順を振り返ります。
1. WordPressと全プラグインを最新版に更新する
2. 強力なパスワードと2段階認証を設定する
3. .htaccessでwp-config.phpへのアクセスを制限する
4. セキュリティスキャンを実行する
手順通りに行えば多くのケースで解決できます。解決しない場合はホスティング会社のサポートやWordPress公式フォーラムにご相談ください。