WordPress Web サイトがハッカーに対して脆弱である 6 つの理由

公開: 2019-04-26

WordPress が提供する優れた機能とカスタマイズ オプションにより、ほぼ 33% の Web サイトが WordPress CMS を使用していることは驚くことではありません。 ただし、潜在的なセキュリティの問題は、サイトの所有者に戻ってくる可能性があります.

実際、最近の調査で分析された 8,000 のハッキングされた Web サイトのうち、 74%が WordPress を使用していました。

WordPress Web サイトを使用している場合は、リスクを最小限に抑えるために、セキュリティが適切に設定されていることを確認することが重要です。

では、どのような行動を取るのが最善なのでしょうか?

以下のセキュリティ問題は最も重大なものであり、WordPress サイトがハッカーに対して脆弱になる可能性があります。 これらの問題を特定して修正することが重要です。 すぐに。

1. 安全でないホスティング サービス

Web サイトの作成に使用される主要なリソースの 1 つは、Web ホスティングです。

サイトのパフォーマンスからセキュリティまで、ホスティング サービスはすべてに影響を与える可能性があります。 そのため、適切なセキュリティを提供するホスティング プロバイダーを選択することが重要です。

ホスティング オプションを検討および分析する際には、次のヒントが役立ちます。

    • 提供されるすべてのセキュリティ機能を確認してください。
    • ホスティングに関しては、高価なほど良いとは限らないことを理解してください。
    • 一部のプロバイダーは、他のホスティングプロバイダーのハイエンドプランと同じくらいのコストがかかるエントリーレベルのプランを持っています. 必ずしも比較できるとは限りません。
    • 最も人気のある 2 つのタイプのホスティング サービスの違いを理解してください。

       共有ホスティング:
       共有ホスティング サービスは、WordPress マルウェアを検出できる基本的なセキュリティ スキャンを提供します。
       また、サイトへの訪問者を追跡することもできます。 これは、有害な訪問者を特定し、その IP アドレスをブロックするのに役立ちます。
       共有ホスティング サービスの主なハイライトは、複数の Web サイトをホストできることです。これにより、他のホスティング タイプよりもはるかに安価になります。

       マネージドホスティング:
       これは、定期的なマルウェア スキャンとともに、セキュリティのためのファイアウォールを提供するホスティング サービスです。
       一部のプロバイダーは、WordPress のファイルとフォルダーへのアクセスを制限して安全に保つ「マネージド ホスティング サービス」を提供しています。
       たとえば、WP-Engine はすべてのPHP ファイルの変更を防ぎますが、Pantheon はテーマとプラグイン データを含むフォルダー以外のフォルダーへの書き込みを許可しません。
  • カスタマー サポートのテスト:
     カスタマー サポートは、ホスティング プロバイダーを比較する際に考慮する必要があるもう 1 つの要素です。

     それが些細な問題であろうと、完全な故障であろうと。 ホスティング サービスに関するものであれば、プロバイダーは完全なカスタマー サポートを提供する必要があります。

     プロバイダーのサポート システムがどれだけ適格かを確認するには、プロバイダーの連絡先の詳細を入手して連絡を取ってください。 彼らにあなたのすべての質問をして、あなたの懸念に対処している間、彼らがどれほど忍耐強く協力的であるかを見てください.

     この経験に基づいて、セキュリティ違反が発生した場合に彼らがどのように反応するかについてのアイデアを得ることができます. これは、それらから購入するかどうかを決定するのに役立ちます。

間違ったプロバイダーから既にホスティング プランを購入している場合でも、心配する必要はありません。 プランの有効期限が切れるのを待つ必要はありません。 BlogVault や Migrate Guru などのサービスは、手間をかけずに別のホスティング プロバイダーに移行するのに役立ちます。

2. システムアップデート

他の CMS と同様に、WordPress も定期的な更新が必要です。 これを無視すると、WordPress サイトが潜在的なセキュリティ リスクになる可能性があります。

実際、ハッキングされた WordPress Web サイトの80%は、古いテーマやプラグインを実行していました。 目を見張るものがありますよね?

さまざまなテーマやプラグインに取り組んでいる何千人もの開発者がいるオープンソースの CMS であることは、WordPress ダッシュボードが、使用しているプラ​​グインやテーマに基づいて多くの更新を受け取る可能性があることを意味します.

すべてのコア テーマとプラグインが最新バージョンに更新されていることを確認する必要があります。

 プラグインを更新する手順:

  • WordPress ダッシュボードを開き、[プラグイン] > [インストール済みプラグイン] に移動します。
  • ダッシュボードには、インストールしたプラグインを表示するページが表示されます。

     保留中および更新中のプラグインを特定し、[今すぐ更新] をクリックします。

同様に、[外観] > [テーマ] に移動して、同じ方法でサイトのテーマを更新できます。

これにより、テーマ/プラグイン/システムに追加された最新機能のロックも解除されます。 これは、Web サイトのセキュリティと安定性を同時に維持するのに役立ちます。

3. 海賊版のテーマまたはプラグイン

WordPress Webサイトをセットアップしてもポケットに穴が開くことはありませんが、優れたWordPressテーマ/プラグインのように、見た目が美しく機能が豊富になると、10ドルから200ドルの費用がかかります.

これらの「おそらく」招かれざるコストから逃れるために、ウェブマスターはしばしば安価なルートを取り、無料またはごくわずかな価格で入手できる無効化された/海賊版のプラグイン/テーマを使用します.

これの結果は何ですか?

ヌル テーマを使用している Web サイトが、無意識のうちに次の URL を介してハッカーにバックドア アクセスを許可するケースが多数あります: http://www.example.xyz?backdoor=go

 URL が Web サイトへのバックドアをトリガーし、次の資格情報を持つ新しい WordPress 管理者アカウントを作成したため、ハッカーはサイトにアクセスできました。

 ユーザー名: backdooradmin
 パスワード: Pa55W0rd

これは通常、実際のテーマ所有者によってfunctions.phpファイルに追加された追加のショートコードの結果です

そのようなリスクからあなたのサイトを救います。 公式のWordPress リポジトリ、または Theme Forest や Themeisle などの他の信頼できるソースからテーマとプラグインを常に取得してください。

4. ダミーログインの詳細

デフォルトのログイン ページ:
 同じ古いユーザー名と推測しやすいパスワードを使用すると、ハッカーが Web サイトのバックエンドに侵入しようとするのがずっと簡単になります。

直し方?

  • ユーザー名とパスワードの問題:
     別のアカウントで使用していないユーザー名とパスワードを作成してみてください。

     一意のユーザー名を持つことが重要であることに注意してください。 ユーザー名が推測しやすい場合、ハッカーが知る必要があるのはパスワードだけです。

     Web サイトにユーザー名を表示しないでください。 これを行うことは、ハッカーに WordPress ダッシュボードでのごちそうへの個人的な招待状を与えるようなものです. 代わりに、ユーザー名とは異なるニックネームまたは肩書きを使用してください。 デフォルトのログイン ページ URL の問題: www.yoursite.com/wp-admin

     これは、WordPress のログイン ページ URL として最も簡単で最も一般的な選択肢であり、サイトがハッカーに対して脆弱になります。

     ほとんどのハッカーは手動で攻撃しません。 彼らはボットをプログラムして、ログイン ページにアクセスし、ターゲット サイトのログイン資格情報をクラックします。

     デフォルトのログイン ページ URL を使用すると、Web サイトに侵入しようとするボットやハッカーの作業が軽減されます。

     最善の方法は、デフォルトのログイン URL を変更することです。

     たとえば、– www.yoursite.com/wp-adminwww.yoursite.com/welcometomysiteに変更します。

     これを行うには、次の簡単な手順に従います。

     – まず、 UpdraftPlus を使用して WordPress サイトの完全なバックアップを作成します

    – 次に、「Easy Hide Login」プラグインをインストールして有効にします (無料です)。
    – プラグインの設定に移動し、選択したログイン スラッグ (「welcometomysite」など) を送信します。

     – これにより、WordPress のログイン アドレスがyoursite.com/wp-adminからyoursite.com/welcometomysiteに変更され、サイトのハッキングがはるかに困難になります。


 5. 書き込み可能な PHP ファイル

ウェブ上またはウェブ外の他のコンピューター プログラムと同様に、WordPress ウェブサイトもファイルとフォルダーで構成されています。

これらのフォルダーの 1 つが「アップロード」フォルダーです。 このフォルダーには、サイトのすべてのテーマとプラグイン データが保存されます。

潜在的なハッカーは、PHP コードをこのフォルダーにアップロードして、Web サイトにアクセスする方法を見つけることができます。

ハッカーがこの方法でアクセスできるようになると、メーリング リストから電子メール アドレスなどの他の重要なリソースと共に、将来公開する予定のコンテンツを盗むことができます。 また、あなたのサイトからのバックリンクを販売したり、あなたのコンテンツを使用して、あなたの知らないうちに Web サイトへのリンクを作成したりすることもあります。 または、最悪の場合、彼らは Web サイト全体を破壊して削除する可能性があります。

このタイプのハッキングの最悪の部分は、ホスティング プロバイダーまたは検索エンジンが Web サイトを禁止するまで、これについて何も知らないことです。

これを避けるために、次の手順で PHP の実行を無効にすることができます。

  • cPanel の Web サイトのルート ディレクトリにある「アップロード」フォルダーに .htaccess ファイルを作成します。

  • メモ帳 (Windows の場合) または TextEdit (Mac の場合) で新しいファイルを作成します。
  • このファイルに次のコードを貼り付けて、(.htaccess.txt ではなく) .htaccess として保存します。

     # ワードプレスを始める

    RewriteEngine オン
    RewriteBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     RewriteRule . /index.php [L]
     # ワードプレス終了
  • このファイルを「アップロード」フォルダーにアップロードします。
  • これで、「アップロード」フォルダー専用の新しい .htaccess ファイルが作成されました。 右クリックして編集し、次のコードを貼り付けます。


     注文許可、拒否
    全部否定する

上記の手順を実行すると、Web サイトは「PHP」で構成される外部ファイルの実行を防止します。 この変更により、サイトのセキュリティ ウォールに別のレンガが追加されます。

また、この方法を使用するのは少し危険であることに注意してください。 些細なミスでも、サイトに損害を与える可能性があります。 したがって、cPanel の使用について不明な点がある場合は、誰かに相談してください。

6. SSL 証明書の欠如

http://yoursite.comhttps://yoursite.comはどちらも同じ Web ページロードしますが、小さな違いがあり、取り決めが破られる可能性があります。

SSL 証明書。

上記の例の最初の URL は SSL 証明書を使用していませんが、2 番目の例は SSL 証明書を使用しています。

 これは、訪問者のデバイスと Web サーバー間の通信を危険にさらすことにより、Web サイトのセキュリティに大きな影響を与える可能性があります。

SSL 証明書は情報を暗号化するため、意図した受信者以外はアクセスできません。 このような漏洩から Web サイトを保護するには、できるだけ早く SSL 証明書をインストールすることをお勧めします。

 通常、SSL 証明書のインストールは簡単で簡単です。 通常、ホスティング プロバイダーから SSL 証明書を購入できますが、SSL サービスを販売していない場合は、別のプロバイダーからの購入を検討する必要があります。

ホスティング プロバイダーから SSL 証明書を取得すると、インストールの手間も省けます。 彼らはすべてを設定し、「http」ページを「https」にリダイレクトするだけです。

要約すれば

WordPress サイトをセキュリティの脅威から保護しないと、さまざまな形でビジネスに損害を与える可能性があります。 すべてのウェブマスターがウェブサイトのセキュリティに注意を払い、適切なバックアップ プラグインとシステムを用意する必要があるのは当然のことです。 最善を尽くしても、最悪の事態が発生し、サイトが悪意のある攻撃を受けた場合。 UpdraftPlus は、安全でセキュアなバックアップおよび復元オプションを提供できます。 これにより、ハッキングが発生した場合でも、Web サイトにすべての重要なセーフティ ネットが常に確保されます。

この記事では、ハッカーによって WordPress Web サイトのセキュリティが危険にさらされる可能性がある 6 つの抜け穴について説明しました。 この記事がサイトを保護し、セキュリティを次のレベルに引き上げるのに役立つことを願っています.

バイバフ・カカール

WordPress Web サイトがハッカーに対して脆弱である可能性がある 6 つの理由の投稿は、UpdraftPlus で最初に登場しました。 UpdraftPlus – WordPress のバックアップ、復元、移行プラグイン。