WordPress ウェブサイトを保護する方法
公開: 2019-08-06WordPress は、インターネット世界の Web サイトの 35% を占めています。 そして、「より大きな力にはより大きな責任が伴います」と言われるように、WordPress には注意すべきことがたくさんあります。 Web 市場で WordPress の影響が拡大していることに伴い、ハッカーは特に WordPress サイトを標的にしていることに注目しています。 サイトが提供するコンテンツやサービスに関係なく、適切なセキュリティ対策がなければ、常に危険にさらされます.
効率的なサイトを立ち上げようとするあなたの努力は、それが自分自身を傷つける方法を見つけた場合、すべて無駄になります. インターネットのハッキングやランダムな攻撃は非常に予測可能であるため、サイトがほんの一瞬でクラッシュすることがあります。 そのため、可能な限り最善の方法で WordPress を保護することが常に賢明です。 WordPress Web サイトを保護するためのヒントをいくつか紹介します。
1. WordPress、テーマ、プラグインを定期的に更新する
すべての更新は、多くの場合、セキュリティ機能の更新を含むいくつかの変更を意味します。 WordPress、テーマ、プラグインを最新バージョンに更新することで、事前に特定された抜け穴やエクスプロイト ハッカーから保護されます。
ありがたいことに、WordPress はマイナー アップデートを自動的にダウンロードします。 ただし、メジャー リリースでは、WordPress 管理ダッシュボードからさらに更新を行う必要があります。
2.WordPress テーブルの接頭辞を変更する
WordPress をデフォルトの接頭辞「wp_」でインストールすると、サイト データが SQL インジェクション攻撃を受けやすくなります。 したがって、最初に行うべきことは、wp_ を wpmy_ や wpnew_ のようなもの、またはランダムなものに変更することです。
ただし、WordPress Web サイトを wp_ プレフィックスでインストールした場合は、プラグインを使用して変更してください。 Change Table Prefix、iThemes Security、WP-DB Manager などのプラグインは、ボタンをクリックするだけでジョブを実行します。
3. デフォルトの「admin」ユーザー名を変更します
管理者アカウントに「admin」ユーザー名を決して使用しないでください。 このような推測しやすいユーザー名は、ハッカーにとって簡単にゲートを開けてしまいます。 ユーザー名が非常に簡単に予測できる場合、彼らが把握する必要があるのはパスワードだけです。 あなたは彼らのために物事を簡単にしたくありませんよね?
WordPress では、デフォルトではユーザー名を変更できません。 したがって、ユーザー名を変更するために使用できる方法はいくつかあります。新しい管理者ユーザー名を作成して古いユーザー名を消去するか、Username Changer プラグインを使用するか、phpMyAdmin からユーザー名を更新します。
4. 二要素認証を追加する
2 要素認証モジュールを使用すると、ユーザーは 2 つの異なるコンポーネントのログイン詳細を提供し、ウェブサイト管理者はそれら 2 つを決定できます。つまり、通常のパスワードの後に質問、コード、一連の文字が続く、または秘密のコードを提供するGoogle Authenticator アプリを使用してスマートフォンに接続します。
これは、電話を使用する人だけがサイトにログインできることを意味します。 まず、2 要素認証プラグインをインストールして有効にし、WordPress 管理サイドバーの [2 要素認証] リンクをクリックします。
2 要素認証の実装に使用できるいくつかのプラグイン:
- Google Authenticator – WordPress 二要素認証 (2FA 、MFA)
- 二要素認証
- Duo 二要素認証
5.SSL証明書をインストールする
SSL として一般に知られているシングル ソケット レイヤーは、以前は支払い処理などの特定のトランザクションを保護するために使用されていました。 しかし、Google が SSL の重要性を認識した今、SSL 証明書を付与されたサイトは検索結果に価値をもたらしています。
優れたホスティング会社は、無料の Let?s Encrypt SSL 証明書を提供しています。 それ以外の場合、機密情報を受け入れる Web サイトの場合、年間約 70 ~ 199 ドルの SSL 料金を支払う必要があります。 機密情報を処理する Web ページには SSL が必須です。そうしないと、Web サーバーとユーザーの Web ブラウザー間のデータが平文で配信され、ハッカーが読み取ることができるようになります。
6. WordPress セキュリティ プラグインをインストールする
サイトのセキュリティを定期的にチェックするのは大変なことです。 それでも、最新のコーディング プラクティスを定期的に更新しない限り、マルウェアに気付かない可能性があります。 ありがたいことに、あなたのために仕事をするように設計されたWordPressセキュリティプラグインがいくつかあります.
WordPress セキュリティ プラグインは、マルウェアをスキャンしてサイトのセキュリティを確保し、サイトを 24 時間 365 日監視します。 開発者は、エンドポイント ファイアウォールおよびマルウェア スキャナーとして Wordfence セキュリティ プラグインを好みます。 単一のビューですべての Web サイトの全体的なセキュリティ ステータスを効率的に評価します。
7. wp-config.php を保護する
wp-config.php ファイルを非表示にすることで、wp-config.php を保護できます。 これにより、ハッカーがサイトにアクセスするのを防ぎます。 この手順は、経験豊富な開発者には強く推奨されますが、初心者にとっては多忙を極める可能性があります。
何よりもまず、すべてのファイルを元に戻し、次のコードを.htaccessファイルに追加します。
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
8. ログイン URL の名前を変更する
「yoursite.com/wp-admin」は、サイトのデフォルトのログインです。 このようなログインは、ユーザー名とパスワードの組み合わせをクラックするブルート アタックの対象となります。または、スパム登録を取得する可能性があります。
そのため、管理者ログイン URL を変更することをお勧めします。 登録およびログイン ページに認証プラグインまたはセキュリティの質問を追加することもできます。 さらに、最も失敗したログイン試行の IP を確認し、それらをブロックします。
9. 良いホスティング会社を選ぶ
安価なホスティング プロバイダーの輝かしい広告は常に魅力的です。 しかし、それは往々にして悪夢を引き起こします。 URL が別の場所にリダイレクトされたり、データが完全に消去されたりするケースが指摘されています。
さらに数ドルを費やすだけでサイトを安全に保つことができる場合は、躊躇しないでください. ほら、あなたが経済的なスタートを望んでいることはわかりました。 しかし、優れたホスティング会社があなたの Web に追加のセキュリティ層を形成できるとしたら、それはなぜでしょうか?
10. ファイルのパーミッションに注意する
WordPress では、さまざまなファイルを Web サーバーから書き込み可能にすることができます。 しかし、そのようなファイルへの書き込みアクセス許可は危険です。 書き込みアクセスを許可する必要がある場合は、ファイルのアクセス許可を制限して、これらの制限を緩和することをお勧めします。 重要なファイルを他人の過剰から保護します。
11. サイトを定期的にバックアップする
WordPress Web サイトを保護する方法は 100 通りあるかもしれませんが、データが消去される可能性は常にあります。 したがって、最終的には、オフサイトのバックアップを別の場所に保管するのが最善の方法です。 バックアップ データがあれば、いつでも簡単に WordPress Web サイトを復元できます。
UpdraftPlus、VaultPress、BlogVault、BackWPup などのプラグインを使用できます。
まとめ:
WordPress を保護することは、ウェブサイトを持つ上で重要な部分です。 ハッカーがすべての個人情報を流出させ、データを消去するという話の犠牲者になる可能性があります。 しかし、サイトのセキュリティを維持することは、単純な保護のトリックを採用したからではありません。 上記の手順を慎重に実行するだけで、WordPress Web サイトを簡単に保護できます。
ちょっとした変更を加える前であっても、必ずファイルをバックアップしてください。