WordPress ウェブサイトを保護する方法: 作業セキュリティのヒント

公開: 2021-11-30
wpmudev ロゴ

WPMU Dev が 20% 割引

この記事では、WPMU DEV ホスティングとツールを使用します。 メンバーシップで WPMU DEV を 20% オフで購入できます。

クーポン有効化リンク

WordPress のセキュリティは大きなトピックです。 WordPress サイトを保護し、ハッカーや脆弱性が e コマース サイトやブログに損害を与えるのを防ぐためにできることがいくつかあります。

WordPress コア ソフトウェアは非常に安全であり、何百人ものエンジニアによって頻繁にレビューされていますが、サイトを安全に保つためにできることはまだたくさんあります.

ある朝起きて、ウェブサイトが混乱しているのを見つけたくはありません。 そのため、今日は、WordPress のセキュリティを向上させ、安全を維持するために利用できるさまざまな方法、戦術、およびアプローチについて説明します.

Web サイトのセキュリティが重要な理由

侵害された WordPress Web サイトは、キャッシュ フローと信頼性を著しく損なう可能性があります。 攻撃者は、顧客データやパスワードを取得したり、悪意のあるプログラムを挿入したり、ユーザーにマルウェアを感染させることさえできます。

ひどいケース シナリオです。企業は、Web サイトへのアクセスを回復するために、攻撃者にランサムウェアを使わせる可能性があります。 Google によると、5,000 万人を超える Web サイト ユーザーが、アクセスしている Web ページにマルウェアが含まれているか、データを盗む可能性があると警告されています。

これは、Web サイトが 1 日でハッキングされるライブ統計です。

今日ハッキングされたウェブサイト
今日ハッキングされたウェブサイト

さらに、Google は毎週、約 20,000 の Web サイトをマルウェアのブラックリストに、約 50,000 の Web サイトをフィッシングのブラックリストに登録しています。 会社のページを運営している場合は、Web サイトのセキュリティを重視する必要があります。

実際の店舗施設を保護する責任があるのと同じように、ビジネス Web サイトを保護することは、オンライン ビジネス オーナーとしてのあなたの仕事です。

WordPress は安全なプラットフォームですか?

WordPress は安全ですか?

それはおそらくあなたの心の最初の質問です。 はい、ほとんどの場合。

WordPress は、Web サイトの所有者がセキュリティを真剣に考え、推奨される慣行に従う限り安全です。 安全なプラグインとテーマを採用し、責任あるログイン プロセスを維持し、セキュリティ プラグインを使用してサイトを監視し、定期的に更新することは、すべて適切な方法です。

一方、WordPress はセキュリティ上の欠陥が発生しやすいという評判があり、ビジネスに利用するための安全なプラットフォームではありません。 ほとんどの場合、これはユーザーが業界で実証済みのセキュリティの最悪の慣行に従い続けているためです。

CMS感染の比較

ハッカーは、古い WordPress ソフトウェア、無効化されたプラグイン、貧弱なシステム管理、資格情報管理、および非技術者の WordPress ユーザーに必要な Web およびセキュリティの専門知識の欠如を使用して、サイバー犯罪ゲームのトップに留まります。 業界のリーダーは、最高の慣行でさえ、常に従うとは限りません。 彼らは古いバージョンの WordPress を利用していたため、ロイターはハッキングされました。

これは、脆弱性が存在しないと主張しているわけではありません。 感染した Web サイトでは引き続き WordPress が優勢 マルチプラットフォームのセキュリティ企業である Sucuri が 2017 年第 3 四半期の調査で取り組んだ (83%)。 これは前年の 74% からの増加です。

WordPress はインターネット上のすべての Web サイトの 42% 以上を支えており、何十万ものテーマとプラグインの組み合わせから選択できるため、脆弱性が存在し、継続的に特定されていることは当然のことです. ただし、WordPress プラットフォームを取り巻く強力なコミュニティがあり、これらの問題にできるだけ早く対処することが保証されています. 2021 年の時点で、WordPress のセキュリティ チームは、主任開発者やセキュリティ研究者を含む約 50 人のスペシャリストで構成されています (2017 年の 25 人から増加)。 約半数が Automattic の従業員で、数名が Web セキュリティ分野で働いています。

適切なホスティングを開始する

複数のセキュリティ層を提供するホストを使用することは、Web サイトを安全に保つための最も簡単な方法です。

ウェブサイトのホスティングでお金を節約するということは、組織内の他の場所でお金を使うことができるということです。 しかし、あなたはこの誘惑に抵抗しなければなりません。

安価なホストは、将来的に頭痛の種になる可能性があります. URL に関連付けられたデータが完全に削除され、URL が別の場所へのリダイレクトを開始する可能性があります。 ほんの数例ですが、ビジネスにふさわしくない安価なホスティングを避けるべき理由は他にもいくつかあります。

質の高いホストによって提供される追加のセキュリティは、もう少しお金を払えば、自動的にあなたのウェブサイトに帰属します. さらに、優れた WordPress ホスティング サービスを使用することで、WordPress サイトのパフォーマンスを向上させることができます。

サイトのバックアップを作成する

まず、Web サイトに変更を加える前に、WordPress のバックアップを作成します。

同じ目的を達成するために使用できる多数の WordPress バックアップ プラグインが利用可能です。

無料のものと有料のものがあります。 ただし、提案されたもののほんの一部が無料です。

  • アップドラフトプラス
  • 戻るWPup

バックアップの WordPress プラグインの 1 つをインストールして使用したことがあると思います。 これで、次のステップに進む準備が整いました。

各投稿が公開されたら、バックアップをスケジュールすることをお勧めします。 投稿またはブログ データベースに変更を加えた後。

強力なパスワードを作成する

WordPress Web サイトを保護するためにできることはたくさんありますが、基本に注意を払っている人はほとんどいません。

安全なパスワードを作成することは、すべてのソーシャル メディア サイトと電子メール アカウントで行うべきことです。

同様に、WordPress サイトは他のすべてのサイトと同様にハッキングされるため、WordPress サイトにも同じ予防措置を講じることが重要です。 ブログの規模はもはや問題ではありません。 すべてがハッカーの好奇心を刺激します。 笑!

強力なパスワードを使用するということは、個人的なものを使用しないことを意味します。 名前、生年月日、従業員 ID、ガールフレンドの名前、その他推測される可能性のあるものなど、ほとんどすべてを避ける必要があります。

パスワードのクラックに時間がかかる

パスワードをクラックする時間
パスワードをクラックする時間

創造的なパスワードのアイデアを思いつくのに問題がありますか? 安全なパスワードを設定するには、オンラインのパスワード生成ツールをいつでも利用できます。 LastPass パスワード ジェネレーターを使用しています。

WP ログイン URL の変更

「yoursite.com/wp-admin」は、WordPress にログインするためのデフォルトの URL です。

そのままにしておくと、ユーザー名とパスワードの組み合わせをクラックすることを目的としたブルート フォース攻撃の犠牲になるリスクがあります。

ユーザーがサブスクリプション アカウントに登録できるようにすると、多数のスパム登録を受信する可能性があります。 これを回避するには、管理者ログイン URL を変更するか、登録およびログイン ページに秘密の質問を追加します。

ログインURLを変更

カスタム ログイン URL や WPS Hide Login などのプラグインをインストールして、wp-login URL を変更できます。

WordPressのユーザー名を変更する

ブログを作成するとき、ブログやウェブサイトへのログインに使用されるユーザー名を入力する選択肢が与えられます。

ほとんどの人は、デフォルトで「 admin 」のままにし、後で変更するのを忘れています。

下手なハッカーでさえ、それを予測するのはどれほど簡単か考えてみてください。 ハハ! 私はあなたの顔に笑みを浮かべていることに気がつきました。

唯一無二で推測不可能なものにする必要があります。 どうすればよいかわからない場合は、WordPress のユーザー名を変更するための簡単なチュートリアルを用意しました。

二要素認証

以前に Gmail アカウントで 2 要素認証を使用したことがありますか? あなたがそれに精通しているなら、おそらく私が話していることを理解しているでしょう.

2 要素認証は、WordPress サイトをハッカーから保護するための簡単な手法です。

2 要素認証のためにブログを携帯電話に接続すると、ログイン中に OTP を受け取ります。 その番号を入力するとログインできます。

これにより、セキュリティが新しいレベルに引き上げられ、ミックスに別のレイヤーが追加されます。 WordPress の 2 要素認証に関する簡単なレッスンは、こちらにあります。

パスワード保護 WordPress 管理者とログインページ

通常、ハッカーは wp-admin フォルダーとログイン ページに無制限にアクセスできます。 これにより、ハッキング スキルをテストしたり、DDoS 攻撃を開始したりする機会が与えられます。

サーバー側では、さらにパスワード保護を実装できます。これにより、基本的にこれらのリクエストが停止されます。

ステップバイステップの手順に従って、WordPress の wp-admin をパスワードで保護してください。

ログイン試行を制限する

WordPress では、デフォルトで、ユーザーは何度でもログインを試行できます。 どの文字が大文字かをよく忘れる場合は、これが役立つかもしれませんが、ブルート フォース攻撃を受ける可能性もあります。

ユーザーが一時的にブロックされるまで、ログインの試行回数を制限できます。 ハッカーは攻撃が完了する前にロックアウトされるため、総当たり攻撃を受​​ける可能性が低くなります。

WordPress ログイン制限試行プラグインを使用すると、この機能を簡単に有効にすることができます。

ログイン試行を制限する

設定 > ログイン制限試行を使用して、プラグインのインストール後にログイン試行回数を変更できます。

WordPress でアイドル状態のユーザーをログアウトする

ログインしているユーザーが画面から離れてしまうことがあり、セキュリティ上のリスクが生じます。 誰かが自分のセッションを制御したり、パスワードを変更したり、自分のアカウントを変更したりできます。

これが、多くの銀行や金融の Web サイトが、アイドル状態のユーザーを自動的にロックする理由です。 同様の機能を WordPress サイトにも実装できます。

Inactive Logout プラグインをインストールして有効にする必要があります。 プラグイン設定を構成するには、[設定] » [アクティブ化後に非アクティブなログアウト] をクリックします。

タイマーとログアウト メッセージを設定すれば完了です。 [変更を保存] ボタンをクリックして変更を保存することを忘れないでください。

WordPressのログイン画面に秘密の質問を追加する

WordPress のログイン画面に秘密の質問を追加すると、不正アクセスがはるかに難しくなります。

WP Security Questions プラグインをインストールすると、セキュリティの質問を追加できます。 プラグイン設定を構成するには、プラグインを有効にした後、[設定] » [セキュリティの質問] に移動します。

wp セキュリティ質問の設定

詳細については、WordPress にセキュリティの質問を追加する方法に関するチュートリアルを参照してください。

ディレクトリの参照を無効にする

ウェブマスターが調べる別の段階はこれです。 Web サイトのセキュリティに関しては、これはあまり知られていない事実です。

ディレクトリ閲覧

ただし、ルート ディレクトリの参照が有効になっている場合。 テーマ、プラグイン、画像などのファイルには、読者、訪問者、またはハッカーがアクセスできます。

.htaccess ファイルを使用して、WordPress でディレクトリの参照を禁止する方法は次のとおりです。

ファイル編集を無効にする

WordPress ダッシュボードには、サイトの設定時にテーマとプラグインを変更できるコード エディター ツールがあります。

Appearance>Editor で見つけることができます。 Plugins>Editor に移動して、プラグイン エディターにアクセスすることもできます。

サイトがオンラインになったら、この機能を無効にすることをお勧めします。 ハッカーは、WordPress 管理パネルへのアクセス権を取得すると、巧妙で有害なコードをテーマやプラグインに導入する可能性があります。

多くの場合、コーディングは非常に微妙であるため、手遅れになるまで何かが間違っていることに気付くことはありません。
次のコードを wp-config.php ファイルに入力するだけです。

 define('DISALLOW_FILE_EDIT', true);

このプロセスは、プラグインとテーマ ファイルをダッシュ​​ボードから変更できないようにするのに役立ちます。

WordPress で XML-RPC を無効にする

WordPress 3.5 以降、XML-RPC がデフォルトで有効になり、WordPress サイトをモバイルアプリや Web サービスに接続できるようになりました。

ブルート フォース攻撃は、その強力な性質により、XML-RPC によって大幅に増幅される可能性があります。

以前は、ハッカーがサイトで 500 の異なるパスワードを試したい場合、500 回ログインする必要がありました。 ログイン ロックダウン プラグインは、これらの試行をキャッチしてブロックします。

ただし、XML-RPC を使用すると、ハッカーは system.multicall 関数を使用して、わずか 20 ~ 50 回の要求で数千のパスワードを試すことができます。

したがって、XML-RPC を使用しない場合は、無効にする必要があります。 上記の Web アプリケーション ファイアウォールを使用している場合、これはファイアウォールで処理できます。

wp-config.php と .htaccess ファイルを隠す

サイトの .htaccess ファイルと wp-config.php ファイルを隠してハッカーがアクセスできないようにすることは、サイトのセキュリティを強化する洗練された方法ですが、セキュリティを真剣に考えている場合は賢明な方法です。

最初にサイトのバックアップを取り、慎重に続行することが重要であるため、経験豊富な開発者はこのオプションを採用することを強くお勧めします。 エラーが発生すると、Web サイトが利用できなくなる可能性があります。

バックアップを作成したら、ファイルを非表示にするために実行する必要があることが 2 つあります。
まず、次のコードを wp-config.php ファイルに追加します。

 <Files wp-config.php> order allow,deny deny from all </Files>

同様の方法で、次のコードを .htaccess ファイルに追加します。

 <Files .htaccess> order allow,deny deny from all </Files>

手順は簡単ですが、何か問題が発生した場合に備えて、バックアップがあることを確認してください。

WP版を削除

以前、WordPress のアップグレードについて説明しました。 WordPress のバージョンをハッカーから隠しておくことも論理的です。

ログイン資格情報を持っている場合、彼らがあなたが使用している WordPress のバージョンをどのように確認できるのか知りたいです。

ハッカーは、ソースページを見て WordPress のバージョンを簡単に確認できます。 彼らが今しなければならないのは、

CTRL F – (Web ページ上で) 右クリック – ページのソースを表示 (バージョンを検索)。 以下に示すタグのようになります。

ウェブ アプリケーション ファイアウォールを有効にする

おそらく、ファイアウォールの概念はご存知でしょう。ファイアウォールは、さまざまな種類の悪意のある攻撃からコンピューターを保護するのに役立つプログラムです。 ほとんどの場合、PC にファイアウォールがインストールされています。

Web アプリケーション ファイアウォール (WAF) は、Web サイトを保護するために特別に設計されたファイアウォールの一種です。 サーバー、特定の Web サイト、または Web サイトの大規模なグループをすべて保護できます。

WordPress サイトの Web アプリケーション ファイアウォール (WAF) は、サイトと他のインターネットとの間のファイアウォールとして機能します。 ファイアウォールは、疑わしい動作を監視し、攻撃、ウイルス、およびその他の好ましくない出来事を検出し、危険と見なされるものをすべてブロックします。

SSL 証明書をインストールする

SSL (Secure Sockets Layer) は現在、あらゆる種類の Web サイトで広く使用されています。 当初、SSL は、支払い処理などの特定のプロセスに対して Web サイトを安全にするために必要でした。 しかし今日、Google はその重要性を認識し、SSL 対応の Web サイトを検索結果で上位に表示しています。

パスワードやクレジット カード番号などの機密データを扱うサイトでは、SSL が必要です。 SSL 証明書がない場合、ユーザーの Web ブラウザと Web サーバー間のすべてのデータはプレーン テキストで転送されます。

ハッカーはこれを読み取ることができる可能性があります。 SSL を使用すると、重要な情報がブラウザとサーバー間で送信される前に暗号化されるため、読み取りが困難になり、サイトのセキュリティが向上します。

SSL のしくみ
SSL のしくみ

機密情報を受け入れる Web サイトの平均 SSL 料金は、年間約 70 ~ 199 ドルです。 機密データを受け入れない場合は、SSL 証明書に料金を支払う必要はありません。 ほとんどすべてのホスティング プロバイダーは、Web サイトを保護するために使用できる無料の Let's Encrypt SSL 証明書を提供しています。

無効化されたテーマにノーと言う

プレミアム WordPress テーマはよりプロフェッショナルに見え、無料のテーマよりも多くのカスタマイズ オプションを提供します。 とにかく、無料のテーマで支払ったものを手に入れることができると主張するのは難しいです.

すべてのプレミアム テーマは、経験豊富な開発者によって設計されており、公開前にテストされています。 サイトに問題が発生した場合は、完全なサポートを受けることができます。 テーマのカスタマイズに制限はありません。 さらに、テーマの更新は定期的です。

無効またはクラックされたテーマを提供するサイトもいくつかあります。 Nulled テーマは、ハッキングされたプレミアム テーマのバージョンであり、違法に入手できます。 これにより、サイトが危険にさらされる可能性があります。 これらのテーマに隠された悪意のあるコードは、Web サイトやデータベースを破壊したり、ログイン資格情報を盗んだりする可能性があります。

少しお金を節約できるかもしれませんが、ウェブサイトの所有者は、無効化された WordPress テーマの使用を避けることが重要です。

WordPressの定期的なバージョンアップ

WordPress ウェブサイトを安全に保つ最も効果的な方法は、最新の状態に保つことです。 多くの場合、セキュリティ更新プログラムを含め、更新ごとにいくつかの変更が行われます。 ソフトウェアを定期的に更新することで、ハッカーがサイトにアクセスするために悪用することが知られているエクスプロイトや抜け穴の標的になるのを防ぐことができます。

同じ理由が、プラグインとテーマの更新にも当てはまります。

マイナー アップデートは、デフォルトで WordPress によって自動的にダウンロードされます。 ただし、大きな変更が必要な更新は、WordPress 管理ダッシュボードから直接行う必要があります。

ワードプレスの更新

データベース テーブルのプレフィックスの変更

サーバーに WordPress をインストールしているときに、wp_ のような特定のプレフィックスを開始するよう求めるダイアログ ウィンドウに気付いたかもしれません。 それが意味することです。 これは、WordPress サイトのデータベースです。 フォルダの名前は wp_ です。

wp テーブルプレフィックス

一般的なことが何であれ、いわゆるハッカーによって推論される可能性があることは驚くべきことではありません。 作成したもののプレフィックスを変更することもお勧めします。 mywpsite_、friendswp_ などには何でも入ります。

あなたのウェブサイトのデータベースにアクセスするだけで、これを実現できます。 ただし、すべての技術的な詳細に慣れていない場合は、プラグインをいつでも利用できます.

最適な WordPress セキュリティ プラグインをインストールする

WordPress には、無料とプレミアムの両方のセキュリティ プラグインがいくつかあります。 また、WordPress Web サイト用のプラグインの 1 つをインストールするのも良い選択です。

このガイドでは、WPMU DEV によって構築された Defender Pro を使用して、WordPress サイトの周りに堅牢なセキュリティ環境を作成する方法を説明します.

Defender Pro のハイライト機能

ハッカー、ブルート フォーサー、有害なボットに対する Defender の強力な WordPress セキュリティ バリアとクローキング テクノロジー。

  • 定期的なセキュリティチェック
  • 位置情報 IP ロックアウト
  • ログインのマスキングと保護
  • 監査のロギング
  • 2 要素を使用した認証
  • ブロックリストの監視
  • 脆弱性に関するレポート
  • 変更されたファイルの復元と修復

Defender Pro WordPress プラグインをインストールする

ディフェンダープロの特徴

Defender Pro をインストールすると、初心者でもわかりやすいようにカテゴリ別のオプションが用意されています。

ダッシュボード、推奨事項、マルウェア スキャン、監査ログ、ファイアウォール、WAF、2FA ツール、設定、チュートリアル。

スキャンが完了すると、Defender Pro ダッシュボードに次のような画面が表示されます。

ディフェンダー プロ ダッシュボード

サイトがセキュリティ上の問題を発見すると、プラグインは改善策を進める方法についてアドバイスを提供します。 それは興味深いものです。

Defender Pro は、サイトに合わせて現在および将来のリスクに対処する、徹底的で実用的な提案を提供することで、さらに一歩進んでいます。

ディフェンダープロアクション

これらの提案が際立っているのは、実行するアクションを微調整できることです。

誤って [古いセキュリティ キーの更新] を有効にしてしまった場合でも、リマインダーの頻度を無効にしたり変更したりすることができます。 これにより、サイトが安全で最新の状態に保たれます。

結論 – WordPress のセキュリティ

WordPress サイトを保護する方法には時間がかかる場合がありますが、最終的にはそれだけの価値があります。 私のWordPress Webサイトがハッキングされたと言う代わりに。

DIY ユーザー向けの方法とプラグインの方法の両方を紹介しました。 いずれにせよ、WordPress ウェブサイトのセキュリティはどのユーザーにとっても重要です。

wpmudev ロゴ

WPMU Dev が 20% 割引

Defender Pro は、WordPress Web サイトを保護するための優れたセキュリティ プラグインです。 メンバーシップで WPMU DEV を 20% オフで購入できます。

クーポン有効化リンク