ウェブサイトを保護する 19 の方法 (7 が鍵です!)

公開: 2022-08-20


WordPress のセキュリティが心配ですか?

あなたがする必要があります ! ただし、あまり心配する必要はありません。WordPress Web サイトのセキュリティのベスト プラクティスをサイトに実装すれば、サイトで問題が発生しないと確信できます。

WordPress安全です。 しかし、ユーザーが実行するアクション (およびユーザーがインストールするプラグイン) によって、あらゆる種類の WordPress の脆弱性が導入される可能性があります。

これらの間違いを避けるために必要なことは、この投稿のヒントに従うことだけです。

この投稿をできるだけ実用的なものにするために、WordPress のセキュリティに関するヒントを 2 つのカテゴリに分けます。

従うべき7つのWordPressセキュリティのベストプラクティス

この投稿から他に何も理解できない場合は、少なくともこれら 7 つの WordPress セキュリティのベスト プラクティスをサイトに実装することをお勧めします。

これらの 7 つのことを実行していない場合、サイトを巨大な脆弱性にさらすことになります。

1.コアとプラグインのアップデートをできるだけ早く適用する

WordPress を安全に保つためにできる最善のことの 1 つは、WordPress のコア、プラグイン、およびテーマに更新を常に迅速に適用することです。

どんなに優れたソフトウェアでも、新しい脆弱性が発見されるのは当然です。 ただし、質の高い開発チームにより、これらの脆弱性は、悪意のあるアクターによって悪用される前に修正されます...ただし、アップデートを迅速に適用する限り!

人々が自分のサイトを更新していれば、最近広まった WordPress エクスプロイトの多くは回避できたはずです。

新しい更新のアラートを受け取るには、WP 管理画面の [ダッシュボード] → [更新]エリアに注意してください。

WordPress の更新を適用することは、WordPress のセキュリティにとって不可欠です

互換性の問題が心配な場合は、ライブ サイトに適用する前に、ステージング サイトで更新をテストできます。 また、更新を適用する前にバックアップを作成する必要があります。これについては後で詳しく説明します。

– このルールの 1 つの例外はメジャー アップデートです。これは新機能の追加のみに焦点を当てており、セキュリティ修正は含まれていません。 これらの主要な更新プログラムを適用するには、数週間待つことができます。

  • メジャー リリース (機能) – 5.0、5.1、6.0 など – これらの更新を適用するのを待つことができます。
  • マイナー リリース (セキュリティ/バグ修正) – 5.0.1、5.1.2、6.0.4など – 常にこれらをできるだけ早く適用する必要があります。

2. 評判の良い開発者のプラグインとテーマのみを使用する (無効なプラグインは使用しない)

コアの WordPress ソフトウェアは安全ですが、すべてのプラグインとテーマ (主にプラグイン) について同じことが言えるわけではありません。

新しいコードを追加してサイトの機能を変更することにより、プラグインはあらゆる種類の脆弱性を導入する可能性があります.

同時に、プラグインはすべての WordPress サイトに不可欠な要素であるため、プラグインを使用しないという選択肢はありません。

したがって、優れたコード品質と迅速なメンテナンスの実績を持つ評判の良い開発者のプラグインとテーマのみを使用することに集中することが重要です。

つまり、サイトにインストールするプラグインに注意してください

高品質のプラグインとテーマのみを使用するためのヒントを次に示します。

  • レビューを読んでください。 悪いレビューは、コードの品質が悪いことを示している可能性があります。
  • アクティブなインストール数を確認します。 これは難しいルールではありませんが、人気のあるプラグインは一般的に注目を集める可能性が高くなります。
  • 最近の更新を確認します。 アクティブな開発者を持つことは、新たに発見された脆弱性にパッチを当てるために重要です。
  • 不要なプラグインをインストールしないでください。 インストールするすべてのプラグインは潜在的な攻撃ベクトルであるため、サイトにとって重要なプラグインのみをインストールする必要があります。

WordPress プラグインの選択に関する完全なガイドもあります。

最後に、プラグインに追加されたコードがわからないため、無効化されたプラグインも避ける必要があります。

3. 安全な WordPress ホスティングを使用する

高品質の WordPress ホスティング プロバイダーを選択すると、サイトのセキュリティを確保するのに大いに役立ちます。

まず、質の高い WordPress ホスティング プロバイダーは、適切なファイル アクセス許可や安全な wp-config.php ファイルなど、WordPress のセキュリティに合わせて環境を最適化します。

多くの WordPress ホストは、組み込みのファイアウォールやマルウェア スキャンなど、より積極的な保護も構築します。

管理された WordPress ホストの中には、サイトに何か問題が発生した場合にサイトを無料でクリーンアップするものもあります。

基本的に、質の高いホスト (特に管理された WordPress ホスト) を使用すると、サイトの成長に集中できるように、これらのベスト プラクティスの多くを処理してくれます。

いくつかの品質オプションを見つけるには、最高の管理された WordPress ホスティングと一般的な最高の WordPress ホスティングの投稿をチェックしてください.

余裕がある場合は、Flywheel (WPKube で使用するもの – Flywheel のレビュー) または Kinsta (Kinsta のレビュー) などのオプションを検討してください。

質の高いホストは、WordPress ウェブサイトのセキュリティに関するヒントを実装できます

4. ログインページとアカウントへのアクセスをロックダウンする

悪意のある攻撃者が正当な WordPress ユーザー アカウント (特に管理者アカウント) の 1 つにアクセスできる場合、世界中の WordPress セキュリティのヒントをすべて試しても役に立ちません。

現実の世界で考えてみてください。世界で最高のホーム セキュリティ システムを構築できたとしても、強盗に家の鍵とセキュリティ コードが盗まれてしまったら、何の役にも立ちません。

つまり、WordPress サイトのログイン プロセスとユーザー アカウントを保護する方法を見つけることが不可欠です。

まず、強力なアカウント資格情報を使用する必要があります。

  • ユーザー名 – ユーザー名として「admin」を使用しないでください。 代わりに、他では使用していない一意のユーザー名を選択してください。
  • パスワード– 強力で一意のパスワードを使用します。 最良の結果を得るには、LastPass や Bitwarden などのパスワード マネージャーを使用して、サイトごとに一意のパスワードを生成します。

さらに、戦術を使用して WordPress ログインページを保護することもできます。

  • ログイン URL を変更します。これにより、多くのボット トラフィックも削減されます。 どのように? 無料の WPS Hide Login プラグインを使用します。
  • ログイン試行を制限する– 不正なログイン試行が多すぎる場合、IP アドレスを一時的にブロックします (銀行と同様)。 どのように? 無料の Limit Login Attempts Reloaded プラグインを使用します。
  • 2 要素認証 (2FA) を要求する– 資格情報に加えて、認証アプリ、SMS、または電子メールからのコードを入力するようにユーザーに要求します。 どのように? WP 2FA や Two-Factor などの無料のプラグインを使用します。
WordPress でのログイン試行を制限する例

すべてのサイトでログイン URL を変更し、ログイン試行を制限する必要がありますが、WordPress の 2 要素認証を使用する必要があるのは、ミッション クリティカルなサイトだけです。

5. SSL 証明書をインストールして HTTPS を使用する

SSL 証明書を使用すると、サイトで HTTP の代わりに HTTPS を使用できます。

HTTPS を使用すると、ブラウザとサーバーの間でやり取りされるすべてのデータが暗号化されます。 これは、一般的にプライバシーに適しているだけでなく、ユーザー名やパスワードなどの重要なデータを保護するために不可欠です.

HTTPS を使用しないと、インターネット ネットワーク上の悪意のあるアクターが、ブラウザーとサイトの間を行き来するすべてのデータを見ることができます。 たとえば、HTTP を使用して地元のコーヒー ショップでサイトにログインすると、そのネットワーク上の誰かがユーザー名とパスワードをプレーン テキストで見ることができます。

ただし、HTTPS を使用すると、ユーザー名とパスワードは (他のすべてのデータと共に) 安全に暗号化されます。つまり、悪意のあるアクターはランダムな文字の束しか見ることができません。

WordPress HTTPS の使用

最近では、ほとんどの高品質の WordPress ホスティング プロバイダーが無料の SSL 証明書を提供しています。

ホスティング ダッシュボードから SSL 証明書をインストールすると、HTTPS を使用するようにサイトを構成できます。 サイトを HTTPS に移行する際にサポートが必要な場合は、無料の Really Simple SSL プラグインを使用すると、ワンクリックでセットアップできます。

詳細については、WordPress HTTPS ガイドに従ってください。

6. サポートされている PHP バージョンを使用する

WordPress は PHP プログラミング言語で書かれています。 ただし、ホスティング アカウントで使用できるさまざまな PHP バージョンがあります。

古いバージョンの PHP はメンテナンスを受けられなくなりました。つまり、パッチが適用されていないセキュリティの問題が発生する可能性があります。

2022 年の時点で、セキュリティ アップデートを受け取る最も古い PHP バージョンは PHP 7.4 です。 ただし、2023 年以降は、少なくとも PHP 8.0 を使用する必要があります。

このページで現在の PHP バージョンのサポートを確認できます。

WordPress PHP サポート

追加のボーナスとして、PHP の新しいバージョンではパフォーマンスが大幅に向上しています。つまり、サイトの読み込みが速くなり、安全性が向上します。

PHP の更新方法がわからない場合は、ホストのサポートに問い合わせてください。 また、人気のある WordPress ホストで PHP を更新する方法についてのガイドもあります。

7. サイトを定期的にバックアップする

サイトをバックアップしても、サイトで発生するセキュリティの問題を防ぐことはできません。 ただし、セキュリティの問題がより大きな問題になるのを防ぐことができます。

バックアップがなければ、サイトのセキュリティ インシデントは絶対に壊滅的なものになる可能性があります。 データが失われたり、多くのダウンタイムが発生したりする可能性があります。

ただし、最近のバックアップでは、セキュリティ インシデントの最悪のケースは通常、サイトのクリーン バックアップを復元する必要がある場合です。 それでも迷惑ですが、壊滅的ではありません。

ホストがまだ安全な自動バックアップを提供していない場合は、Jetpack Backup や BlogVault などの有料ツールを使用すると、安全なオフサイト バックアップを有効にする最も簡単な方法が提供されます。

ツールに支払う予算がない場合は、UpdraftPlus も優れた無料のオプションです。Google ドライブや Amazon S3 などのオフサイト ストレージ プロバイダーに接続してください。

最高のWordPressバックアッププラグインに関する完全な投稿はこちら.

追加の 12 の WordPress セキュリティ強化のヒント

上記の WordPress ウェブサイト セキュリティのベスト プラクティスに従わなければならないことを忠実に実装すれば、サイトの問題の 99% を回避できます。

ただし、さらに強化したい場合は、サイトをさらに保護するために実装できる追加の強化のヒントがいくつかあります.

8.ファイアウォールを設定する

ファイアウォールは、悪意のあるトラフィックやアクションがサイトやサーバーに影響を与える前にブロックすることで、サイトを脅威からプロアクティブに保護します。

多くのホストはすでに独自のファイアウォールを実装しています。そのため、高品質の WordPress ホスティングを使用している場合、これはサイトにとって必須ではない可能性があります (上記を参照)。

ホストがそうでない場合 (またはより多くの保護が必要な場合) は、Wordfence などのプラグインを使用してアプリケーション レベルでファイアウォールを追加するか、Cloudflare や Sucuri などのサービスを使用して DNS レベルでファイアウォールを追加できます。

9. WordPress セキュリティ プラグインを使用する

専用のセキュリティ プラグインがなくても安全な WordPress サイトを作成できるため、安全なサイトを作成するためにセキュリティ プラグインは絶対に必要ありません。

そうは言っても、セキュリティ プラグインはいくつかの理由で依然として便利です。

  1. セキュリティ プラグインは、新たな脅威から保護するリアルタイム ファイアウォールを提供できます。
  2. 高品質のセキュリティ プラグインを使用すると、このリストにある他の多くのセキュリティ強化のヒントを簡単に実装できます。これにより、作業が簡素化され、時間を節約できます。

疑問がある場合は、Wordfence プラグインを使用することをお勧めします。 最高のWordPressセキュリティプラグインの完全なコレクションで、より多くのオプションを見つけることができます.

10. WordPress のバージョンを隠す

WordPress のバージョン番号を非表示にすると、悪意のある攻撃者がサイトのバージョン番号を検出するのが少し難しくなるため、「隠蔽によるセキュリティ」がほとんど追加されません。

非表示にするには、次のコードを子テーマの functions.php ファイルまたはコード スニペットなどのプラグインに追加します。

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

さらに詳しく知りたい場合は、サイトが WordPress を使用していることを非表示にする方法についてのガイドがあります。

11.ファイルのアクセス許可を確認する

高品質のホストを使用している場合、サイトのファイルのアクセス許可は既に正しいはずです。 ただし、正しいファイル権限を持つことが重要であるため、再確認する価値があるかもしれません。

詳細については、WordPress のファイル権限に関する完全ガイドをご覧ください。

12. FTP には安全な接続のみを使用する

FTP やその他の技術を使用してサイトに接続するときは常に、SFTP などの安全なプロトコルを使用してください。

HTTPS がブラウザと Web サイト間を移動するデータを保護するのと同様に、SFTP は FTP クライアントとサーバー間の接続を保護します。

また、パスワードが安全に暗号化されていない限り、FTP クライアントに FTP パスワードを保存しないようにする必要があります。

13. アクティビティ ログの設定

アクティビティ ログを使用すると、ダッシュボードでのユーザーの行動を追跡できます。これは、疑わしいアクティビティを検出するのに役立ちます (特に、他のユーザーにダッシュボードへのアクセスを許可している場合)。

ウェブサイトのセキュリティのための WordPress アクティビティ ログ

これを設定するには、WP Activity Log などのプラグインを使用できます。 アクティビティ ログの設定方法に関するチュートリアルと、お金を節約するための専用の WP アクティビティ ログ クーポンがあります。

14.定期的なマルウェア/セキュリティ スキャンの実行

上記のベスト プラクティスを実装していれば、サイトで問題が発生することはありませんが、サイトで定期的にマルウェア/セキュリティ スキャンを実行することをお勧めします。

サイトのフロントエンドの問題をチェックするには、無料の Sucuri SiteCheck ツールを使用できます。

サーバーのファイルのフル スキャンを実行するには、MalCare や Wordfence などのツールを検討できます。

WordPress ホストも、独自のマルウェア スキャンを毎日実行している可能性があり、これらのツールが不要になる可能性があります。

15. XML-RPC を無効にする

XML-RPC は、デスクトップ WordPress アプリなどの外部ツールが WordPress サイトに接続するのに役立ちます。

ただし、これらのツールを使用していない場合は、不要な攻撃ベクトルがサイトに追加されるだけです. 完全に無効にするには、無料の Disable XML-RPC プラグインを使用できます。

16. ホットリンクをブロックする

ホットリンクとは、誰かがあなたのサーバーのコンテンツ (画像など) をサイトに埋め込むことです。 許可なくサーバーのリソースを消費することで、サイトのセキュリティに影響を与える可能性があります。

ホットリンクをブロックするには、サイトの .htaccess ファイルにコードを追加します。

ホットリンクをブロックするために必要な .htaccess コードを生成するには、この無料のツールを使用できます。 特定のホットリンク プロバイダー (Google 画像検索など) をセーフリストに登録し、他のプロバイダーをブロックできます。

17. WordPress データベースのプレフィックスを変更する

一部の専門家 (Wordfence を含む) は、セキュリティ上の利点はごくわずかであると述べていますが、WordPress データベースのプレフィックスを変更すると、少量の「あいまいさによるセキュリティ」が追加されます。

既存の WordPress サイトがある場合は、これを行うことはお勧めしません。サイトを破壊するリスクが、潜在的なセキュリティ上の利点を上回るからです。

ただし、新しい WordPress サイトを設定している場合は、大きな効果がなくても、カスタム データベース プレフィックスを使用することをお勧めします。

18. wp-content/uploads フォルダーで PHP ファイルの実行を無効にする

wp-content/uploadsフォルダーで PHP ファイルの実行を無効にすることで、一部のエッジ ケース攻撃をブロックできます。

方法は次のとおりです。

  1. メモ帳を使用して、新しい .htaccess ファイルを作成します。
  2. 以下のコード スニペットを追加します。
  3. そのファイルをwp-content/uploadsフォルダーにアップロードします。
 <Files *.php> deny from all </Files>

19.ダッシュボード内コード編集を無効にする

デフォルトでは、WordPress では、WordPress ダッシュボードからテーマとプラグイン ファイルを編集できます。これにより、攻撃者が管理者アカウントにアクセスできた場合、悪意のあるコードを追加できます。

これを防ぐには、次のスニペットをwp-config.phpファイルに追加して、ファイルの編集を無効にします。

define( 'DISALLOW_FILE_EDIT', true );

WordPress Web サイトのセキュリティに関するよくある質問

最後に、WordPress のセキュリティに関するよくある質問をいくつか紹介します。

WordPress にはセキュリティ上の問題がありますか?

WordPress 自体にはセキュリティ上の問題はありませんが、サイトにプラグインをインストールすると、特にプラグインのコーディングやメンテナンスが不十分な場合に、セキュリティの脆弱性が生じる可能性があります。

WordPress は簡単にハッキングされますか?

WordPress サイトの大部分は、ソフトウェア自体が原因ではなく、ユーザー エラーが原因でハッキングされます。 重要なセキュリティのベスト プラクティスに従うことで、サイトをハッキングするのが非常に難しくなります。

WordPress を安全にできますか?

そのとおり。 ベスト プラクティスに従う限り、WordPress は非常に安全です。 非常に多くの主要ブランドが WordPress を信頼しているのには理由があります。

WordPress セキュリティプラグインが必要ですか?

包括的なセキュリティ プラグインがなくても、安全な WordPress サイトを作成できます。 ただし、これらのプラグインを使用すると、セキュリティ強化のベスト プラクティスを実装するプロセスが簡素化され、ファイアウォールやセキュリティ スキャンなどの便利な機能にアクセスできるようになります。

これらの WordPress セキュリティのベストプラクティスを今すぐ実装してください

この投稿から他に何も理解していない場合は、少なくとも上記の 7 つの必須の WordPress セキュリティのヒントを実装してください.

これら 7 つのことだけを行えば、サイトのセキュリティ問題の 99.9% を回避できると確信できます。

さらに優れた保護が必要な場合は、このリストにある 19 のヒントすべてを続けて実装できます。

WordPress のセキュリティについてまだ質問がありますか? コメントでお知らせください!