攻撃からWordPressウェブサイトを保護する3つの方法

公開: 2017-12-27

最近では、すべてのWebサイトでセキュリティを真剣に考える必要があります。 これは、WordPressなどのコンテンツ管理システム(CMS)を使用している場合に特に当てはまります。 このタイプのプラットフォームは通常、多くの機密情報を格納するため、ターゲットになります。 誰かがあなたのウェブサイトに侵入した場合、あなたは彼らがどのように侵入したかを理解し、損傷を修復するために貴重な時間を費やす必要があります。

幸いなことに、WordPressは、Webサイトのセキュリティ対策を強化する際に非常に柔軟性があります。 たとえば、ログインページを攻撃から保護し、知らない人から隠すには、いくつかの方法があります。 あちこちでいくつかの調整を行うことで、あなたのウェブサイトはすぐに要塞になることができます。

この記事では、WordPressのセキュリティの重要性について説明します。 次に、Webサイトをより安全にするために使用できる3つの方法を紹介します。 さあ、始めましょう!

WordPressのセキュリティが重要な理由

明確にするために、WordPressはすでに箱から出して非常に安全なプラットフォームです。 ただし、これは数百万のユーザーと数千のプラグインおよびテーマオプションを備えた巨大なソフトウェアでもあります。 多くのことが起こっているので、一部のユーザーがセキュリティの問題に対処しなければならないのは当然のことです。 ほとんどの場合、これらの問題は、簡単に解読された資格情報、一貫した更新の失敗、およびその他のユーザーエラーにまでさかのぼることができます。

一方、最新バージョンのWordPressを最新の状態に保ち、使用するすべてのプラグインとテーマを監視するような人であれば、はるかに安全です。 サイトのセキュリティについていくのは大変な作業のように聞こえるかもしれませんが、注意することが最善の行動です。 理由は次のとおりです。

  • WordPressは攻撃の標的です。 コンテンツ管理システム(CMS)の人気により、オンライン攻撃者のお気に入りになっています。 結局のところ、単一のプラグインまたはテーマに脆弱性を見つけることは、何千ものWebサイトにアクセスするのに役立ちます。
  • 機密性の高いユーザー情報を保護する必要があります。 ウェブサイトでクレジットカード番号を扱っていない場合でも、ユーザーのプライバシーを保護するべきではないという意味ではありません。
  • ハイジャッカーはあなたのウェブサイトを通じてマルウェアを拡散させる可能性があります。 最近では、攻撃者がハッキングされたサイトを使用して訪問者にマルウェアを提供するのが一般的です。 言うまでもなく、セキュリティ慣行が緩いため、ユーザーのデバイスが感染することは望ましくありません。

幸い、WordPressWebサイトを先制的に保護するためにできることはたくさんあります。 たとえば、絶えず更新される適切にコーディングされたテーマを使用することは、常に賢明なアイデアです。 たとえば、独自のUncodeテーマには優れた評価とセキュリティ機能があり、Webサイトをさらに保護する方法についての質問にいつでもお答えします。 テーマを整理したら、他にもいくつかの簡単な方法があります。

攻撃からWordPressウェブサイトを保護する3つの方法

このセクションでは、プラグインを使用する場合と使用しない場合の両方で、WordPressWebサイトを攻撃から保護する3つの方法を説明します。 Webサイトの機能にかなり重要な変更を加えることになるため、開始する前にバックアップを作成する必要があります。 そうすれば、何か問題が発生した場合(問題が発生しないはずです!)、数分でサイトを復元して再試行できます。

1.二要素認証(2FA)を使用する

通常、Webサイトにログインするために必要なのは、ユーザー名とパスワードだけです。 ただし、一部のサイトではさらに一歩進んで、メールやスマートフォンに送信されるワンタイムコードを入力するように求められます。 これは、2要素認証(2FA)として知られています。 この方法を使用すると、誰かがあなたの資格情報を取得したとしても、その人はあなたのアカウントにアクセスできなくなります。

WordPressはそのままでは2FAをサポートしていません。 ただし、適切なツールを使用して実装できます。 利用可能な優れた2FAプラグインはたくさんありますが、miniOrange Two Factor Authenticationが提供するすべての機能のために、私たちはその一部です。

miniOrange二要素認証プラグイン。

この手法を開始するには、最初にプラグインをインストールしてアクティブ化する必要があります。 次に、ダッシュボードから新しいminiOrange2要素タブにアクセスできるようになります。 初めてクリックするときは、miniOrangeアカウントを登録するためにいくつかのフィールドに入力する必要があります。

miniOrangeアカウントを登録します。

その後、プラグインをアクティブ化するために使用できる電子メールまたはテキストメッセージを介して1回限りのコードを受け取ります。

それが完了したら、画面上部の[ 2要素の設定]タブにジャンプして、訪問者が使用できる2FAの種類を選択できます。 ユーザーにほとんどのオプションを提供するには、デフォルトの方法として電子メール検証を使用することをお勧めします。

2FA方式として電子メール検証を選択します。

必要な方法を選択したら、ログアウトできます。 次回ダッシュボードにアクセスしようとすると、アカウントで2FAを有効にするオプションが表示されます。 これで、サイトのすべてのユーザーが2FAにオプトインできるようになります。 あなたのWordPressウェブサイトはそれにとってより安全になります!

2.ダッシュボードにアクセスできるIPアドレスをホワイトリストに登録します

WordPressダッシュボードは、魔法のほとんどが発生する場所です。 そのため、誰もがアクセスできるようにしたくはありません。 信頼できるチームメンバーだけがサイトのダッシュボードにアクセスして、その主要な機能を利用できるようにする必要があります。

ログインページは、不要な侵入に対する主要な防御線です。 ただし、攻撃者がチームメンバーの資格情報の1つにアクセスできる場合があります。 その場合、それらを阻止するために2番目の防衛線が必要になります。 そこで、 .htaccessファイルが登場します。

このファイルを使用すると、サーバーに特定の指示を与えることができます。 たとえば、事前承認済みリストにIPが含まれていないユーザーのダッシュボードへのアクセスをブロックするように指示できます。 そのリストにIPアドレスを追加すると、それが「ホワイトリストに登録」されます。 この方法は少し前もって作業する必要がありますが、それはあなたのウェブサイトを要塞に変えることができます。

まず、すべての同僚のIPアドレスを知る必要があります。 最良の結果を得るには、これらのIPが静的であることも確認する必要があります。 チームメンバーは、What is My IPなどのサイトを使用して自分のアドレスを確認し、インターネットプロバイダーに連絡して、静的アドレスをまだ持っていない場合は割り当てられるようにすることができます。

あなたのIPアドレスが何であるかを調べます。

最初にこれらのタスクを邪魔にならないようにすることをお勧めします。そうすれば、ホワイトリストに登録されたすべてのIPを一度に入力できます。 アドレスのリストを用意したら、サイトの.htaccessファイルを見つけてアクセスする必要があります。 そのためには、ファイル転送プロトコル(FTP)とFileZillaなどのツールを使用することをお勧めします。

FTPクレデンシャルを使用してWebサイトにログインし、 public_htmlフォルダーにアクセスするだけです。 次に、次の場所で.htaccessファイルを探します。

htaccessファイル。

次に、ファイルを右クリックして、 [表示/編集]オプションを選択します。 これを行うと、デフォルトのテキストエディタを使用してコンピュータでファイルが開きます。 変更したくないコードがすでに数行あるはずです。 代わりに、ファイルの一番下までスクロールして、 #ENDWordPress行を探します。

その行の直前に次のスニペットを貼り付ける必要があります。

 <IfModule mod_rewrite.c>
RewriteEngineをオンにします
RewriteCond%{REQUEST_URI} ^(。*)?wp-admin $
RewriteCond%{REMOTE_ADDR}!^ 190.46.268.21 $
RewriteCond%{REMOTE_ADDR}!^ 190.45.281.27 $
RewriteRule ^(。*)$-[R = 403、L]
</ IfModule>

これらの5行のコードは、ダッシュボードにアクセスしようとしている人のIPアドレスを確認するようにWordPressに指示します。 それらのアドレスがホワイトリストのアドレスの1つと一致しない場合(上記の例では2つあります)、403エラーが発生します。

403エラーの例。

同じ形式を使用して必要な数のアドレスを追加したり、他のページをブロックしたりすることもできます。 たとえば、ホワイトリストに登録されているユーザー以外のユーザーのログインページをブロックする場合は、次のコードを1行追加するだけです。

 <IfModule mod_rewrite.c>
RewriteEngineをオンにします
RewriteCond%{REQUEST_URI} ^(。*)?wp-login \ .php(。*)$ [OR]
RewriteCond%{REQUEST_URI} ^(。*)?wp-admin $
RewriteCond%{REMOTE_ADDR}!^ 190.46.268.21 $
RewriteCond%{REMOTE_ADDR}!^ 190.45.281.27 $
RewriteRule ^(。*)$-[R = 403、L]
</ IfModule>

.htaccessの変更が完了したら、ファイルを保存してテキストエディタを閉じます。 自分のIPアドレスをホワイトリストに登録するのを忘れない限り、ダッシュボードとログインページに通常どおりアクセスできるはずです。

3.包括的なWordPressセキュリティプラグインを使用する

WordPress Webサイトを保護するために1つの対策のみを選択した場合、セキュリティプラグインを使用すると、最大のマイレージを得ることができます。 利用可能な人気のあるセキュリティプラグインはたくさんあり、その多くはほとんどの種類の攻撃からWebサイトを保護することができます。

私たちのお気に入りの1つは、オールインワンWPセキュリティ&ファイアウォールと呼ばれています。 幅広い機能ユーザーフレンドリーなインターフェースを提供します。

オールインワンWPセキュリティファイアウォールプラグイン。

これまで、WordPressのログインページとダッシュボードページの保護について多くのことを話してきました。 このプラグインを使用すると、数回クリックするだけでオンにできる組み込み機能を使用して、両方を実行できます。 たとえば、サイトから一時的にロックアウトされる前に誰かが行うことができるログイン試行の回数を制限できます。 この機能は、 [WPセキュリティ]>[ユーザーログイン]タブから利用できます。

ログイン試行の最大回数を構成します。

また、誰かがログインページからロックアウトされたときに通知するようにプラグインを構成し、IPアドレスを完全ブロックすることもできます。 オールインワンのWPセキュリティとファイアウォールには包括的なファイアウォールも含まれており、[ WPセキュリティ]>[ファイアウォール]タブから構成できます。

Webサイトのファイアウォールを有効にします。

プラグインをアクティブ化したらすぐに、最初の動きはそのドキュメントを確認することです。 使用方法を学ぶために必要な設定はたくさんありますが、簡単なクラッシュコースでは、Webサイトを保護するために知っておく必要のあるすべてのことを学ぶ必要があります。

最後になりましたが、Kinstaには、サイトをロックダウンするための優れた洞察がいくつかあります。WordPressのセキュリティに関するヒントがさらに必要な場合は、それを確認してください。

結論

WordPressのセキュリティは、積極的に取り組みたいものです。 最初からあなたのウェブサイトを保護するために費やされた少しの努力はあなたに将来の多くの頭痛を救うでしょう。 運が良ければ、Webサイトへの不要な侵入のフォールアウトに対処する必要はなく、代わりにWebサイトの改善に集中できます。

良いニュースはあなたのウェブサイトを保護するための多くの簡単な方法があるということです。 繰り返しになりますが、ここに私たちのお気に入りの3つがあります。

  1. ログインページで2FAを使用します。
  2. チームメンバーのIPアドレスをホワイトリストに登録します。
  3. 包括的なWordPressセキュリティプラグインを使用します。

WordPress Webサイトを保護する方法について質問がありますか? 下のコメントセクションで質問してください!