WordPressのセキュリティを強化するための12の重要な方法

WordPress は、世界で最も人気のある Web サイトビルダーの 1 つです。 世界最大のブランドや組織を含む、何百万人もの人々に使用されています。

ただし、大きな責任には大きな力が伴います。これには、WordPress サイトを可能な限り安全に保つことが含まれます。 近年、いくつかの有名な WordPress サイトがハッキングされているため、サイトを保護するための対策を講じることが不可欠です。

Sucuri の調査によると、WordPress サイトの 43% が攻撃に対して脆弱であることがわかりました。

WordPressのセキュリティを強化する方法をいくつか紹介します。

WordPress を最新の状態に保つ

WordPress のセキュリティを強化するためにできる最も重要なことの 1 つは、WordPress サイトを最新の状態に保つことです。

つまり、WordPress 自体だけでなく、インストールしたテーマやプラグインも更新する必要があります。 WordPress の新しいバージョンは定期的にリリースされており、各新しいバージョンには、発見された脆弱性に対するセキュリティ修正が含まれています。

WordPress を更新するには、[ダッシュボード] > [更新] ページに移動し、[今すぐ更新] ボタンをクリックします。

テーマとプラグインを更新することも重要です。 ほとんどのテーマとプラグインの開発者は、セキュリティの脆弱性を修正するために定期的にアップデートをリリースしています。

ダッシュボード > 更新ページからテーマとプラグインを更新するか、WP Updates Notifier プラグインをインストールすると、更新が利用可能になったときにメールで通知されます。

WordPress のバージョン番号を隠す

WordPress の人気が高まるにつれ、ハッカーは WordPress を標的にするようになりました。

彼らが探すものの 1 つは、すべての WordPress サイトのソース コードに表示される WordPress のバージョン番号です。 ハッカーは、実行している WordPress のバージョンを知ることで、特定の脆弱性を狙うことができます。 さらに、一部の WordPress セキュリティ プラグインは、特定のバージョンの WordPress でのみ機能します。

そのため、WordPress のバージョン番号を非表示にすることが不可欠です。 ほとんどの WordPress テーマには、これを行うためのオプションがあります。または、WP-Hardening Plugin などのプラグインをインストールすることもできます。

次のコードを functions.php ファイルに貼り付けて、手動で非表示にすることもできます。

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


強力なパスワードを使用する

WordPress のセキュリティを強化するもう 1 つの重要な方法は、強力なパスワードを使用することです。

強力なパスワードは、8 文字以上の長さで、大文字と小文字、数字、および記号を組み合わせて使用​​する必要があります。 アクセスする Web サイトごとに異なるパスワードを使用することも不可欠です。 そうすれば、1 つのサイトがハッキングされた場合でも、他のアカウントは安全になります。 LastPass や KeePass などのパスワード マネージャーを使用すると、強力なパスワードを生成して覚えることができます。

Imperva による調査研究では、強力なパスワードを使用することが、WordPress の一般的なハッキングであるブルート フォース攻撃を防ぐ最も効果的な方法であることがわかりました。

パスワード ジェネレーターの Web サイトを使用して、非常に強力なパスワードを生成します。 最高のパスワードジェネレーターのいくつかを次に示します。

• ラストパス
• ノートン
• 1パスワード

二要素認証を使用する

2 要素認証 (2 段階認証とも呼ばれます) は、WordPress サイトの保護に役立つ追加のセキュリティ レイヤーです。

2 要素認証では、パスワードと、通常はスマートフォンのアプリによって生成される 2 つ目のコードを入力する必要があります。 そうすれば、誰かがあなたのパスワードを推測できたとしても、その人があなたのスマートフォンを持っていない限り、ログインすることはできません。

WordPress にはデフォルトで 2 要素認証が含まれていませんが、Google Authenticator や Duo Security などのプラグインをインストールできます。

ただし、スマートフォンを紛失すると 2 要素認証が機能しないため、別のメール アドレスや電話番号などのバックアップ方法を用意しておくことが不可欠です。

ログイン試行を制限する

WordPress のセキュリティを強化するもう 1 つの方法は、ログイン試行を制限することです。

デフォルトでは、WordPress はログインの試行回数に制限がないため、ハッカーがパスワードを推測する十分な機会が与えられます。 ログイン試行を制限することで、ブルート フォース攻撃を防ぐことができます。 Limit Login Attempts や Login Lockdown など、一部のプラグインではこれを行うことができます。

Wordfence の調査によると、ログイン試行を制限することで、ブルート フォース攻撃を 99.99% ブロックできることが示されています。

また、パスワードを忘れた場合に、自分などの正当なユーザーをロックアウトしないプラグインを選択してください。

SSL を使用する

SSL (Secure Sockets Layer) は、Web サイトとユーザーの Web ブラウザーの間で送信されるデータを暗号化するプロトコルです。 つまり、誰かがデータを傍受しようとしても、読み取ることができません。 これまで、e コマース Web サイトは主に SSL を使用してクレジット カード情報を保護していました。

しかし最近では、SSL を使用してログイン資格情報や連絡先フォームの送信などの機密データを保護する WordPress サイトがますます増えています。 WordPress サイトに SSL を追加するには、いくつかの方法があります。 たとえば、一部の Web ホスティング会社は無料の SSL 証明書を提供しています。また、Symantec や Comodo などの会社から証明書を購入することもできます。 SSL 証明書を取得したら、WordPress SSL プラグインをインストールしてアクティブ化する必要があります。

プラグイン ディレクトリへのアクセスを制限する

WordPress プラグイン ディレクトリは、サイトにインストールしたすべてのプラグインを含むサーバー上のフォルダーです。

デフォルトでは、誰でもこのフォルダーにアクセスして、使用しているプラ​​グインを確認できます。 また、ハッカーが使用しているプラ​​グインを知っている場合、それらのプラグインの脆弱性を標的にすることができます. そのため、プラグインのディレクトリへのアクセスを制限することが不可欠です。 これを行うには、単純なコード行を .htaccess ファイルに追加します。

サーバー上のファイルの編集に慣れていない場合は、コードを追加する iThemes Security などのプラグインをインストールできます。 .htaccess ファイルを編集する場合は、変更を加える前に必ずバックアップを作成してください。

管理者のユーザー名を変更する

WordPress をインストールすると、デフォルトの管理者ユーザー名は「admin」になります。 ハッカーが推測しやすいため、これはあまり安全ではありません。

したがって、WordPress をインストールした後に最初に行うべきことの 1 つは、管理者のユーザー名を変更することです。 管理者権限を持つ新しいユーザーを作成してから、古い「admin」ユーザーを削除できます。 または、WP Security Scan のようなプラグインをインストールすることもできます。これは、デフォルトの管理者ユーザー名を含む安全でない設定についてサイトをスキャンします.

管理者のユーザー名を変更したら、WordPress アカウントからログアウトし、新しいユーザー名で再度ログインします。 多くの人がこれを忘れて、なぜ自分の WordPress サイトにアクセスできないのか不思議に思っています。

ログイン画面で CAPTCHA または reCAPTCHA を使用する

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) は、人間だけが Web サイトにアクセスしたり、特定のアクションを実行したりできることを確認するために使用されるチャレンジ/レスポンス テストです。 reCAPTCHA は、Google が所有する CAPTCHA のバージョンです。 高度なリスク分析技術を使用して、自動化されたソフトウェアが Web サイトで不正行為に関与するのを防ぐため、従来の CAPTCHA よりも安全です。 WordPress ログイン画面に CAPTCHA または reCAPTCHA を追加するには、WP-reCAPTCHA などのプラグインをインストールします。

プラグインをインストールしてアクティブ化したら、reCAPTCHA で無料アカウントにサインアップする必要があります。 次に、プラグイン設定で入力する必要があるサイト キーとシークレット キーが与えられます。

アイドル状態のユーザーを自動的にログアウトする

WordPress サイトにログインすると、ブラウザー ウィンドウを閉じたり、コンピューターから離れたりしても、無期限にログインしたままになります。 これは、あなたのコンピューターにアクセスできる人なら誰でもあなたの WordPress サイトにもアクセスできることを意味するため、あまり安全ではありません.

Idle User Logout などのプラグインをインストールして、この問題を解決できます。 このプラグインは、非アクティブなユーザーを一定期間自動的にログアウトします。

たとえば、15 分間アクティブでないユーザーをログアウトするように設定できます。 そうすれば、誰かがあなたのコンピューターにアクセスできたとしても、WordPress サイトにログインしたままにすることはできません. コンピューターを共有している場合や公衆 Wi-Fi を使用している場合は、プラグインが不可欠です。

SFTP を使用してサーバーに接続する

WordPress サイトに接続すると、サーバーに接続されます。

デフォルトでは、ほとんどの人は FTP (ファイル転送プロトコル) を使用してサーバーに接続します。 ただし、FTP はデータを暗号化しないため、安全でないプロトコルです。 つまり、接続を監視している人は誰でもあなたのユーザー名とパスワードを見ることができます。

そのため、SFTP (Secure File Transfer Protocol) を使用することが不可欠です。 SFTP はデータを暗号化する安全なプロトコルであるため、誰かが接続を傍受して資格情報を盗むことははるかに困難です。 SFTP を使用するには、SSH キー ペアを生成し、公開キーをサーバーに追加する必要があります。 ほとんどのホスティング プロバイダーには、これを行う方法に関する指示があります。

マルウェアの監視

マルウェアは、WordPress サイトに感染して多くの問題を引き起こす悪意のあるソフトウェアです。

たとえば、マルウェアは訪問者を他の Web サイトにリダイレクトしたり、許可なくサイトに広告を表示したりできます。 マルウェアは、パスワードやクレジット カード番号などの機密情報を盗むこともできます。 そのため、WordPress サイトを定期的にスキャンしてマルウェアを検出し、見つかったものを削除することが重要です。 これを行うにはいくつかの方法があります。 たとえば、Wordfence Security などのプラグインを使用すると、サイトのマルウェアをスキャンし、見つかったものを自動的に削除できます。

または、Sucuri SiteCheck などのサービスを使用して、サイトをスキャンし、見つかったマルウェアのレポートを提供することもできます。

結論

これらは、WordPress のセキュリティを強化できる多くの方法のほんの一部です。 これらの対策を講じることで、WordPress サイトをハッカーやその他の悪意のあるユーザーから保護することができます. これらのヒントの多くは簡単に実装できるので、行動しない理由はありません。 WordPress サイトの安全性は、作成した分だけ決まることを忘れないでください。 ですから、セキュリティについて考え始めるのに手遅れになるまで待ってはいけません。 今すぐ行動を起こし、WordPress サイトを安全に保ちましょう。