WordPressのセキュリティ–すべてのサイト所有者にとって不可欠なヒント

公開: 2018-12-14

WordPressのWebサイトで毎分90,978を超える攻撃が行われていることをご存知ですか? 幸いなことに、この数は膨大に聞こえますが、基本的なセキュリティルールに従えば、潜在的な攻撃の大部分を防ぎ、Webサイトの攻撃を防ぐことができます。

または、少なくとも、ハッカーが数千の安全性の低いものの1つを標的にするように侵入するのを非常に難しくします。 自動化された脆弱性スキャナーが潜在的な方法を見つけた後に多くの攻撃が実行されることを考えると、これはそれほど難しいことではありません。では、WordPressサイトのセキュリティを急上昇させる方法は? ここに6つの重要なヒントがあります。

1. WPのインストール、テーマ、プラグインを最新の状態に保ちます

簡単ですが、頻繁に無視されるものです。 WordPress.orgよると、すべてのWordPressWebサイトの1/3が最新バージョンに更新されていません。 その上、すべてのWebホストのほぼ2/3が7.0より古いPHPを使用しています。 古いWordPressのインストールとサーバーフレームワークは、サイトに大きな脅威をもたらし、ハッカーがパッチが適用されていない脆弱性を使用してWebサイトにアクセスしようとするため、侵害が成功するリスクが高まります。

WordPressのセキュリティ-すべてのサイト所有者のための重要なヒント

実際、すべてのテーマ、プラグイン、およびWordPressを最新の状態に保つと、4つのサイトのうち3つにパッチが適用されていない脆弱性が含まれていると推定されるため、すべての正当なサイトの75%よりも安全になります。 幸い、WPプラグイン、テーマ、およびWP自体の最新バージョンを取得するのは非常に簡単です。必要なのは、ボタンを数回クリックするだけです。

同時に、サーバーが最新のPHPバージョンを実行していることを確認するには、もう少し時間がかかる場合があります。 そのため、ホスティングサポートに連絡して、自分でアップグレードする方法についてのガイドを紹介するように依頼するか、アップグレードを依頼するのが最善です。

2.マルウェアスキャナーとファイアウォールをインストールします

マルウェア、ウイルス、ブルートフォース攻撃の影響を受けるのは自分のPCだけだと思っていれば、間違いはありません。 WordPressは影響を受ける可能性があるだけでなく、実際、最も感染しているWebサイトCMSであり、その人気に大きく関係している可能性があります。

良いニュースは、WordPress用の無料および有料のファイアウォールとマルウェアスキャナーがたくさんあることです。 最も人気のあるものの1つは、マルウェアスキャンとファイアウォールの両方を提供するWordfence Securityであり、無料バージョンと有料バージョンの両方があります。

Wordfenceセキュリティ-ファイアウォールとマルウェアスキャンWordPressプラグイン

3. VPSを入手して、要塞に変える

共有ホスティングと比較して、VPSでは構成のあらゆる側面を制御できます。 そのおかげで、Webサイトを高速化できるだけでなく、ホスティング環境であるサーバーを適切に保護することもできます。

管理されていないVPSでは、OS(たとえば、CentOSはUbuntuと比較してより安全であると見なされます)、ファイアウォール、およびマルウェアスキャナー(WordPressとサーバー自体)。

さらに、ルートアクセス権を持つVPSにWordPressをインストールすることで、MySQLパスワードなどを簡単に変更したり、WordPressフォルダーの名前を変更したり、ファイルを再構成したりして、潜在的な攻撃の可能性を減らすことができます。 その一部はセキュリティプラグインを使用して実行することもできますが

当然のことながら、仮想プライベートサーバーのすべてのメリット(速度、柔軟性、スケーラビリティなど)を享受するには、より多くのリソースが必要な場合にアップグレードしやすいさまざまな価格設定パッケージを提供する会社からサーバーを借りる必要があります。 あなたはここでそのような申し出の素晴らしい例を見ることができます

4./wp-adminとWordPressのインストールを非表示にします

そもそもなぜWordPressで実行しているのかを世界に伝えるのですか? これは優れたコンテンツ管理システムですが、必ずしも実行することを自慢する必要はありません。 特に、潜在的な侵入者に貴重な情報を提供します。 たとえば、WordPressを非表示にしない限り、 What WordPress Theme is That?などのWebサイトはありますか? 使用するテーマだけでなく、一部のプラグインに関する情報も開示します。 それはハッカーにちょっと言うようなものです、これはあなたが中に入ることができる方法です:

WordPressのテーマとは-例

では、潜在的な侵入者の詮索好きな目からWPサイト情報をどのように隠すのでしょうか。 幸いなことに、技術的なスキルはまったく必要ありません。 需要がある場合は、それを行うために使用できるWordPressプラグインがあります。最も人気のあるのはHide My WP by the waveで、ログインページを非表示にし、WordPress Webサイトの詳細を非表示にすることができます(残念ながら、無料版はありません)。

または、無料バージョンのiThemes Securityを入手することもできます。これは、(ログインページを非表示にすることはできますが)多くの非表示オプションを提供しませんが、他の多くのセキュリティ特典が付属しています。

より良いWordPressセキュリティのためのiThemesセキュリティ

5. WPユーザー名を変更し、非表示にしておく

パスワードという単語を実際のパスワードとして使用するべきではないのと同じように、デフォルトのWordPressユーザー名adminをそのままにしておくと、悲惨な結果を招く可能性があります。 結局、侵入者が最初に推測しようとするのはおそらくそれなので、それを使用することで、管理者アカウントの詳細を非常に簡単に把握できるようになります。

それを変更する方法は? それを行うには2つの方法があります。 あなたはあなたのためにそれをすることができるプラグインを探すか、手動の方法で行くことができます。 個人的には、後者の方が好きです。これは、同じようにすばやく簡単で、誰でもできるからです。 ただし、WordPressには変更するためのすぐに使用できるオプションがないため、小さな回避策を使用する必要があります。 まず、サイトにログインして、[ユーザー]>[新規追加]に移動します。

そこで、新しい管理者アカウントのユーザー名を挿入し、ユーザーの役割が管理者に設定されていることを確認します。 それが完了したら、[パスワードの表示]をクリックし、デフォルトの(安全な)パスワードを変更またはコピーします。

WordPressのユーザー名とパスワードを非表示にする方法

ユーザーが作成されたら、サイトからログアウトし、新しいユーザーを使用してログインします。 [ユーザー]>[すべてのユーザー]に移動し、古いWordPress管理者アカウントを削除します。 しかし、それだけではありません。 投稿を公開するにはアカウントが必要ですよね? パーマリンクにより、ユーザー名を簡単に推測できる管理者を使用してそれらを公開する代わりに(それらをいじってみない限り)、先に進んで別のアカウントを作成してください。 今回は、その役割を管理者に設定するのではなく、管理者機能を持たないもの(作成者や編集者など)に設定します。

完了したら、先に進み、既存のすべての投稿の作成者を新しいユーザーに設定します(各記事の下の[すべての投稿]> [クイック編集]で設定できます)。

6.既存のWordPressユーザーアカウントを保護する

仮想アシスタントを使用していますか、それともWordPress Webサイトにアクセスできる従業員がいますか? この場合、すべてのプラグインとデータへのアクセスを許可しないことをお勧めします。 結局、彼らはおそらくあなたのサイトのすべてのプラグインを設定できる必要はありません。 そして、彼らが信頼できる開発者でない限り、彼らは間違いなくテーマエディタにアクセスするべきではありません。 アクセスを制限する方法は? 方法の1つは、アカウントを作成し、寄稿者、作成者、または編集者のデフォルトの1つに役割を設定することです。

しかし、Webサイトの一部へのアクセスを許可しながら、これらの役割が制限する以上のことをブロックしたい場合は、デフォルト設定では提供されません。 この場合、ユーザーロールエディタなどの無料のプラグインを使用して、新しいロールを作成し、それらがWebサイトのどの要素にアクセスできるかを設定できます。

既存のWordPressユーザーアカウントを保護する

7.監査ログを通じてアクティビティを監視します

また、ユーザーがWebサイトの脆弱な要素の大部分にアクセスするのを制限するだけでなく、何か問題が発生した場合に備えて、少なくとも誰が何を変更または編集したかを知りたい場合はどうでしょうか。 包括的な監査ログの形式で概要を取得するには、 WPセキュリティ監査ログをインストールします その無料版は、従業員とVAの活動の便利な概要を提供するのに十分すぎるほどです。

WordPress用のWPセキュリティ監査ログプラグイン

8.GoogleAuthenticatorを使用してログインをより安全にする

ユーザーと言えば、サイトをさらに安全にするためにできることがもう1つあります。 WordPressのクレデンシャル(または従業員のクレデンシャル)が盗まれたと想像してみてください。 この場合、従業員のユーザーの役割によっては、侵入者がWPWebサイト全体にアクセスする可能性があります。 これを防ぐには、ログイン時に2要素認証を追加することを検討してください。 これを行う最も簡単な方法は、 Google認証システムプラグインです。 それが完了すると、誰かがあなたのユーザー名とパスワードを取得したとしても、Google認証システムアプリが提供するコードがないとログインできなくなります。

二要素ログイン認証用のGoogle認証システム

ご覧のとおり、WordPressは人気のあるすべてのコンテンツ管理システムの中で最も脆弱なコンテンツ管理システムと見なされていますが、最も一般的なリスクを最小限に抑えるか、完全に取り除き、Webサイトで最も危険にさらされている要素を保護することはそれほど難しくありません。

上記のヒントに従い、他の人に自分のサイトへのアクセスを許可するときは注意を払い、サイトの要素を最新の状態に保ち、Webサイトを維持することで、潜在的な侵入者からビジネスを保護できます。 どれだけ節約できるかは言うまでもなく、セキュリティ違反を防ぐだけでした。