WordPressサイトをより安全にするにはどうすればよいですか?

公開: 2022-07-19

あなたのワードプレスのウェブサイトをハッカーから保護します

テクノロジーが日々進歩している現在のシナリオでは、セキュリティが大きな課題になっています。 毎分、ハッカーはサイトのセキュリティを突破しようとしています。 しかし、なぜ? なぜハッカーはあなたのサイトをハッキングしようとするのですか? ここで真実を知ってください。

最近、WordPressサイトが危険にさらされているのを見るのはよくあることです。 Webテクノロジーが増加するにつれて、ハッキングの可能性も高まります。 ハッカーはあなたのサイトの抜け穴を簡単に見つけます。 オープンソーススクリプトはあらゆる種類の攻撃に対して脆弱であるという意見があります。 WordPressは公開されており、インタラクティブなテーマやプラグインを使用してWebサイトを簡単に作成でき、1時間でWebサイトを構築できます。 これらの特質により、ハッカーにとって魅力的な場所となっています。 しかし、この脆弱性の責任者は誰ですか? ホスティング/サーバープロバイダー? いいえ、大きないいえ。 通常、サイトがハッキングされたのはあなたの責任です。 あなたはサイトを開発する際に過度の注意を払うべき人です。 最大の問題は常に、サイトがハッキングされるのを防ぐためにをしているのかということです。

したがって、ここでは、サイトをより安全にするためのいくつかの手順を学習します。

  • ログインページを保護する

WordPressは同じ標準のログインページURL、つまりwp-login.phpまたはwp-adminを使用するため、管理者のログインURLを知るのは簡単です。 これにより、ブルートフォース攻撃に対してアクティブになります。 失敗したログイン試行を監視し、それらに規制を設けることは、この点であなたを助けることができます。

  • 二要素認証

単純なユーザー名とパスワードのみを必要とする標準的なセキュリティ手順により、犯罪者がユーザーの個人データにアクセスし、その情報を使用して、一般に金銭的な性質の不正行為を行うことがますます容易になっています。 2要素認証(2FA、2段階認証、またはTFA(略称)とも呼ばれます)は、「多要素認証」と呼ばれる追加のセキュリティレイヤーであり、パスワードとユーザー名だけでなく、 、そして唯一、そのユーザーはそれらを持っています。つまり、物理的なトークンなど、ユーザーだけが知っているか、すぐに渡さなければならない情報です。

  • ログインURLの名前を変更します

すでに上で説明したように、WordPressのログインページは誰もが知っている標準のURLであるため、ログインURLを変更することをお勧めします。 WordPressの公式サイトには、このタスクを実行するのに役立つプラグインがいくつかあります。

  • 本物のプラグインとテーマを使用する

WordPressには、さまざまなタスクを実行するためのテーマとプラグインが必要です。 WordPressで望ましいすべての新機能は、プラグインを介して実行できます。 ハッカーはこれを強力なツールとして使用します。 侵害されたプラグインまたはヌルのプラグインを生成し、その中に悪意のあるコードやファイルを配置します。 これらのプラグイン(特にヌルのプラグイン)をWordPressにアップロードすると、これらの悪意のあるコードが機能し始め、Webサイトに害を及ぼします。 したがって、100%本物のプラグインのみを使用することを強くお勧めします。 侵害された/無効にされたプラグインは絶対に使用しないでください。

  • 未使用のプラグインまたはテーマを削除します

特定のプラグインやテーマを使用しない場合、それらを非アクティブ化するだけで、削除するのを忘れることがあります。 これらのテーマとプラグインのフォルダーはホスティングアカウントにまだ存在するため、ファイルはURLから実行可能です。 したがって、ブラウザから実行できるマルウェアファイルがあると、サイトに害を及ぼす可能性があります。 未使用のプラグインや、2016、2017などの特別に組み込まれたテーマを削除することをお勧めします。ホスティングパネル(Cpanelなど)にログインして、それぞれのフォルダー(通常はファイル内にあります)に移動するだけです。 manager-> public_html-> wp-content-> themes / plugins)そしてtheme/pluginのフォルダーを削除します。 GoDaddyのように、cpanelへのアクセスを許可しない特定のホスティングプロバイダーがあります。その場合は、より優れたホスティングプラットフォームに切り替えたいと思います。 それらの提案の1つは、ここで最高のLinuxホスティングを選択することです。

  • フォルダコンテンツビューを無効にする

ほとんどのホスティングで発生する非常に一般的な間違いです。任意のフォルダのURLを開くと、ブラウザにそのフォルダ内に存在するすべてのファイルとフォルダが表示されます。 これにより、ホスティングで利用可能なファイルのリストを簡単に知ることができます。 この機能を無効にするには、.htaccessファイルを編集して、その中に次のコードを記述する必要があります。
——————————————————————————————
オプション-インデックス
——————————————————————————————
このコードは、サイト全体のディレクトリインデックスを無効にします。

  • SSLを使用してデータを暗号化します

SSL( Secure Socket Layer )は、サイトのセキュリティを強化するのに非常に役立ちます。 これは、インターネットを介して送信される機密情報を暗号化して、目的の受信者だけが理解できるようにするために使用されます。 インターネットで送信する情報はコンピューターからコンピューターに渡されて宛先サーバーに到達するため、これは重要です。 SSL証明書で暗号化されていない場合、ユーザーとサーバーの間にあるすべてのコンピューターで、クレジットカード番号、ユーザー名とパスワード、およびその他の機密情報を確認できます。 SSL証明書を使用すると、情報の送信先のサーバーを除くすべてのユーザーが情報を読み取ることができなくなります。 これにより、ハッカーやなりすまし犯罪から保護されます。」

  • 強力なパスワードを使用する

強力なパスワードは非常に重要です–それらはあなたのウェブサイトとデータベースへの不正アクセスを防ぎます。 非常に複雑で長いパスワードを選択すると、ブルートフォース攻撃(つまり、数字、文字、または特殊文字のあらゆる可能な組み合わせを試す)または自動化されたマシンのいずれによっても、ハッカーがパスワードを解読するのが非常に困難になります。毎秒何千もの組み合わせを試みて攻撃し、あなたの唯一の組み合わせを推測します。 したがって、パスワードが複雑になるほど、アカウントのセキュリティが強化されます。

  • 難しいユーザー名を使用する

「admin」、「administrator」、「myadmin」などの簡単なユーザー名は簡単に推測できます。 これは抜け穴であり、推測が難しいか、それほど簡単ではないものを使用すると、ブルートフォース攻撃を阻止できます。 このような推測しやすいユーザー名は、ハッカーにとって親しみやすいものです。 彼らが知る必要があるのはパスワードだけであり、あなたのサイト全体が悪意のある人の手に渡ります。

  • 定期的にサイトをバックアップしてください

サイトがハッキングされ、すべてを最初から再設計することを考えている場合、バックアップは非常に優れたソリューションであることがわかります。 その時点でバックアップがある場合は、侵害されていないサイトの前の位置にロールバックするだけです。 バックアップを週に1回生成およびダウンロードするようにスケジュールして、緊急時に救助できるようにします。

したがって、これらはWordPressサイトを開発するときに覚えておくべきいくつかの非常に基本的なポイントです。 これにより、サイトとデータがデータの損失や不正アクセスから保護されます。