WordPress ウェブサイトをランサムウェアから保護する

WordPress は、世界で最も人気のある CMS です。 これは通常は良いことですが、WordPress が広範なリーチを求める悪意のあるソフトウェアの標的になる可能性もあります。

残念ながら、サイバー攻撃は年々規模が拡大し、規模も拡大しているため、長期的には、オンライン ビジネスが攻撃を受けるのは、「もし」ではなく「いつ」の問題であることがよくあります。 また、最近のランサムウェア攻撃の成功が大きく報道されたことは、この傾向が続く可能性が高いことを意味します。

そうは言っても、Web サイトを一般的な攻撃に対する脆弱性を大幅に軽減するために実行できる手順はたくさんあります。

リスクを理解する

ランサムウェアは、攻撃者がエクスプロイトを使用してアクセスした後、サーバーまたはコンピューターにインストールするソフトウェアです。 インストールが完了すると、ソフトウェアは多くの場合、すぐに、またはしばらく休眠した後に自動的に実行されます。

数年前まで、ランサムウェア攻撃は通常、Windows ワークステーションを標的にしていました。 しかし、2017 年にアナリストは、WordPress Web サイトへの攻撃事例の増加を記録し始めました。

ソフトウェアが実行されると、ランサムウェアは強力な暗号化を使用してすべてのファイルをロックし、アクセスを拒否します。 代わりに残っているのは、ファイルのロックを解除するために身代金の支払いを要求するインターフェイスです。通常は追跡不可能なビットコインです。

身代金の支払い

近年、多くの注目を集める企業や都市が世界中で影響を受けています。 6 月、フロリダ州のレイク シティは、コンピューター システムを乗っ取ったハッカーに 50 万ドルの身代金を支払いました。

ただし、身代金を支払っても、ハッカーがデータの暗号化を解除するという保証はありません。 たとえそうしたとしても、後でファイルを再度暗号化するために、ソフトウェアの一部を残すことができます.

場合によっては、ソフトウェアは、暗号化されたファイルのロックを解除するためのインターフェイスを含む .php ファイルを作成します。 ただし、このファイルは機能しません。アクセスできたとしても、破損したコードをすべて修正するには、熟練した WordPress 開発者が必要です。

すべてを最新の状態に保つ

WordPress とすべてのテーマとプラグインを最新リリースに更新し続けることは、ランサムウェアから Web サイトを保護する最も簡単な方法です。 これらのアップデートには、特に開発者による最新のセキュリティ パッチが含まれています。

ハッカーは、悪用する脆弱性を常に探しています。 これらが特定されると、開発者はパッチをリリースして問題を修正します。 古いバージョンの WordPress は、最新のセキュリティ脅威に対抗するように開発されていないため、大きな脆弱性をもたらします。

また、ホストの PHP と MySQL のバージョンが最新であることを定期的に確認する必要があります。 優れた WordPress 代理店がすべてを最新の状態に保ってくれるので、心配する必要はありません。

ブルートフォース攻撃から保護

ブルート フォース攻撃は、その名前が示すように、ボットが 1 分間に何百ものユーザー名とパスワードの組み合わせを使用して、Web サイトへのアクセスを取得しようとする単純な攻撃です。

これらの攻撃の鈍い性質により、誤ったログイン情報でサイトに何度もアクセスしようとする IP アドレスを禁止することで、比較的簡単に防ぐことができます. しかし、この単純な保護レイヤーがなければ、ボットは成功するまで継続的にアクセスを試みることができます。

Limit Login Attempt Reloaded は、ログイン ページと Cookie の両方でログイン試行回数を制限できるプラグインです。

強力なアクセス セキュリティを設定する

当たり前のように聞こえるかもしれませんが、パスワードは WordPress サイトを信じられないほど脆弱にするため、短くて推測しやすい言葉 (さらに悪いことに「パスワード」) を使用します。

しかし、あまりにも長い間、またはあまりにも多くの異なるアプリケーションで使用されてきた強力なパスワードでさえ、脆弱になる可能性があります. 1Password などのパスワード ジェネレーターを使用して、ログインごとに強力で一意のパスワードを作成して安全に保存することをお勧めします。

または、Google Authenticator を使用して WordPress ログインに 2 要素認証を追加することもできます。 この追加のセキュリティ層は、ユーザーごとに有効にすることができ、権限の低いユーザー ロールがパスワードを使用してログインし続けることができます。

SSL 証明書をインストールする

SSL 証明書は、コンピューターとブラウザーの間でやり取りされるすべてのデータが暗号化されることを保証し、ハッカーが接続を傍受することをより困難にします。

WP Engine などの管理された WordPress ホスティング プロバイダーには、すべてのホスティング プランに SSL 証明書の自動インストールと更新が含まれています。

WordPress データベースの接頭辞を変更する

WordPress はデフォルトのデータベース プレフィックスを使用します。このプレフィックスを使用すると、Web サイトが SQL インジェクション攻撃に対して脆弱になります。 これは、デフォルトの wp- プレフィックスを別の単語に変更することで防ぐことができます。

WordPress をデフォルトのプレフィックスですでにインストールしている場合でも、心配はいりません。 変更できるプラグインは多数ありますが、何か問題が発生した場合に備えて、最初にすべてをバックアップしてください.

ファイル編集をオフにする

ハッカーが管理者の WordPress ダッシュボードにアクセスできた場合、WordPress インストールの一部であるすべてのファイルを編集できるようになります。

したがって、強力なアクセス セキュリティを設定することが防御の最前線です。 ただし、ファイルの編集を無効にすると、ハッカーがダッシュボードにアクセスしたとしても、ファイルを変更できなくなります。

これは、theme-editor.php ファイルを完全に制限し、CMS からテーマ編集オプションを削除することによって行われます。

追加措置

追加のセキュリティ対策には、WordPress Codex で概説されているベスト プラクティスの開発ガイドラインに常に従うことが含まれます。 理想的には、コードのピア レビューも実施する必要があります。これにより、全体的な品質が向上し、見落とされた間違いや脆弱性を根絶することができます。

また、Web サイトのすべてのフォームが SQL インジェクションやクロスサイト スクリプティングから保護されていることを確認し、XMLRPC を無効にする必要があります。

アクセス セキュリティを向上させる簡単な方法は、ハッカーがユーザー名を知られないようにすることです。これは、ハッカーがパスワードを見つけるだけでアクセスできることを意味します。 これを行うには、「admin」という名前のユーザーを削除し、WP-JSON の既定のエンドポイントを制限して、他のすべてのユーザー名を非表示にします。

また、脆弱性を継続的にスキャンする Sucuri などのアプリケーションを実行することで、サーバーに追加のセキュリティ層を提供することもできます。

ウェブサイトを定期的にバックアップする

多くの企業がハッカーに身代金を支払うことになった主な理由の 1 つは、適切なバックアップが整っていなかったことです。

また、バックアップがあればあるほど良いです。 バックアップがローカル ドライブに保存されている場合、ランサムウェア攻撃によってバックアップが暗号化されることもあります。 サーバー上のデータをバックアップすることもできますが、別の場所に保存されているオフサイト バックアップの方が安全です。

管理された WordPress ホストは通常​​、ホスティング プランの一部としてサーバー側のバックアップを提供します。

結論

すべての攻撃を完全に阻止することはできないかもしれませんが (特に会社が標的にされている場合)、Web サイトがハッカーに簡単に狙われないようにするために実行できる手順はいくつかあります。

ランサムウェアの規模と巧妙さは常に増していますが、ほとんどの犯罪者と同様にハッカーも日和見主義者であり、Web サイトの脆弱性をほとんどの場合よりも低くすることは、依然としてデータを安全に保つための最良の方法です.

WordPress ウェブサイトのセキュリティとその改善方法について話したい場合は、お気軽にお問い合わせください。