WordPress Webサイトを保護するための10のWordPressセキュリティガイド

公開: 2020-11-10

Covid-19 のパンデミックにより、ほとんどのビジネスがオンライン化されているため、Web サイトは間違いなく最大のビジネス資産の 1 つです。 WordPress のようなコンテンツ管理システムにより、Web サイトの構築が容易になりましたが、残念なことに、Web サイトのセキュリティはほとんど無視されています。手遅れになり、サイトがハッキングされるまでは。 ハッカーは毎日 100,000 を超える Web サイトを標的にしています。大小を問わず、WordPress Web サイトが大部分を占めています。 WordPress 自体は安全ですが、その絶大な人気により、ハッカーのお気に入りになっています。 Web サイトのセキュリティを 100% 保証する方法はありませんが、ほとんどのユーザーがセキュリティのベスト プラクティスに従っていないためにハッキングが発生し、サイトがハッカーに対して脆弱になります。 この記事では、包括的な WordPress セキュリティ戦略のバックボーンを形成する 10 の最高の WordPress セキュリティ ガイドとテスト済みのセキュリティ対策を紹介します。 トピックを始めましょう。

1. Web サイトを定期的にスキャンしてクリーニングする

この手順により、悪意のあるコードがすぐに認識されるようになります。 しかし、技術に詳しくないユーザーの場合、そのようなコードを特定するのは難しい場合があります。 さらに、ハッカーは常に新しいハッキングを発明し、考案しており、コードを特定するのが難しくなっています。

スキャン

この作業を行うには、Sucuri や MalCare などのセキュリティ プラグインをインストールすることをお勧めします。 セキュリティ プラグインは、高度で進化するアルゴリズムを使用して、最も巧妙なマルウェアを検出するように設計されています。 他のプラグインと同様に簡単にインストールでき、技術的なノウハウがなくてもユーザーが使用できます。 それらを使用して定期的なスキャンをスケジュールし、マルウェアがサイトに長時間滞在する機会がないようにすることができます. MalCare のようなセキュリティ プラグインは、ワンクリックで自動的にマルウェアを削除できるため、技術的なサポートを待たずにサイトをすぐにクリーンアップできます。

サイトを手動でスキャンして修正することもできます。 ただし、WP バックエンド ファイルとデータベース テーブルに精通していない限り、これはお勧めしません。

2. ウェブサイトを更新する

プラグイン・テーマで「WordPressのバージョンxxxが利用可能です」や「xxxにアップデート」などのメッセージをよく見かけませんか? それらを無視したくなるかもしれませんが、そうすることは大きな間違いになる可能性があります. スイートの更新が遅れるほど、サイトは脆弱になります。 ハッカーは、コア WP、プラグイン、およびテーマの古いバージョンの既知のセキュリティ上の欠陥を悪用します。 特定のバージョンに障害が見つかると、同じバージョンを使用しているすべてのサイトをターゲットにします。

ウェブサイトを更新する

残念ながら、ほとんどのサイトがバージョン 3.x や 2.x のような古いバージョンの WordPress で実行されていることは事実です。 インストールされているほとんどのプラグイン/テーマについても同じことが言えます。

特に何百ものサイトを管理している場合は、更新の適用に時間がかかることがあります。 簡単にするために、WordPress 管理機能を提供する WP Remote などのセキュリティ プラグインを選択して、すべてのサイトのすべての WP コンポーネントを一度に更新することができます。

3. ユーザー名とパスワードを強化する

「password」や「123123」などのログイン ページのパスワードを引き続き使用しますか? ハッカーは常に、このような一般的なユーザー名と脆弱なパスワードを悪用して、ログイン ページに侵入します。 一般的なハッキング方法の中で、ハッカーは自動化されたボットを使用してブルート フォース攻撃を展開し、ユーザー名とパスワードを推測して世界中のログイン ページを標的にします。

ブルート フォース攻撃を防ぐための最善かつおそらく最も簡単な方法は、ログイン資格情報を強化することです。 慣例として、すべてのユーザーがログイン用に一意のユーザー名を構成するようにしてください。

長さが 12 文字以上で、アルファベット、数字、特殊記号 (#、@、_ など) を組み合わせた強力なパスワードを選択してください。

もう 1 つのセキュリティ対策は、ユーザー パスワードを 6 ~ 8 か月ごとに定期的に変更することです。 Dashlane などのパスワード管理ツールは、強力なパスワードの生成と保存に効果的です。

4. 2要素認証または2FAを実装する

2 要素認証または 2FA は、サイトに追加のセキュリティ層を提供する業界標準です。

2FA はどのように機能しますか? 有効にすると、アカウントにログインしようとするすべてのユーザーは、2 段階のプロセスを経る必要があります。 最初のステップは、正しいユーザー名とパスワードを入力することです。 次のステップは、生成されてユーザーの携帯電話番号にのみ配信される特別で一意のコードを入力することです。

つまり、2FA により、ハッカーが Web サイトのログイン ページにブルート フォース攻撃を展開することが難しくなります。 Google Authenticator や Duo Two-Factor Authentication などの 2FA プラグインをインストールするだけです。 もう 1 つの方法は、機能に 2FA 機能が組み込まれている MalCare のようなセキュリティ プラグインを使用することです。

5. SSL 証明書をインストールする

SSLセキュアウェブサイト

SSL またはショート セキュア レイヤーは、ホスティング サーバーとユーザーのブラウザーの間で送信されるすべてのデータを暗号化するセキュリティ レイヤーです。 この暗号化により、ハッカーが共有情報を簡単に傍受して解読できないようにすることができます。 追加の利点があります。 検索エンジンは SSL 証明書を備えた Web サイトを優先するため、これは SEO ランキングを向上させる良い方法でもあります。

サイトの SSL 証明書を取得するにはどうすればよいですか? ホスティング会社から入手できます。 それでもうまくいかない場合は、Let's Encrypt などのサードパーティの SSL プラグインをサイトにインストールしてください。

6. Web サイトにファイアウォール保護を設定する

ファイアウォールは、着信トラフィックと Web サーバーの間の継続的な防御線として機能します。 効果的な Web サイト ファイアウォールは、データベース インジェクション、XSS 攻撃、セッション ハイジャックなどの攻撃を阻止できます。

それはどのように効果的ですか? シンプルで、Web サーバーに対して行われるすべての着信要求を監視し、不正または疑わしい IP アドレスからの要求をブロックします。 インターネットの閲覧に使用するデバイスに関係なく、固有のコード (IP アドレス) で識別されます。 同じことがハッカーのデバイスにも当てはまります。 ファイアウォールは、マルウェア攻撃の発生履歴を持つ IP アドレスからのリクエストをブロックします。

ファイアウォールの設定

ファイアウォールをどのように設定しますか? クラウドベースの Web アプリケーション ファイアウォールやネットワーク レベルのファイアウォールなど、さまざまな種類のファイアウォールから選択できます。 簡単に有効または無効にできるファイアウォール保護も含まれる MalCare などのセキュリティ プラグインを選択します。

7.WP Hardeningを実行する

ハッカーが展開する一般的なハッキング メカニズムに基づいて、WordPress チーム自身が、あらゆる Web サイトを強化するための 12 の強化対策を推奨しています。 これには、ファイル エディター ツールの無効化、セキュリティ キーの変更、プラグイン/テーマのインストールのブロックが含まれます。

ただし、これらの対策の一部は、技術者以外のユーザーが単独で実装するのが難しい場合があります。 不注意によるエラーにより、サイトが誤動作したりクラッシュしたりする可能性があります。 MalCare セキュリティ プラグインには、数回クリックするだけでこれを行う簡単な段階的な WordPress 強化機能があります。

8. ユーザー権限を割り当てる

WordPress サイトの場合、複数のユーザーを作成できますが、すべてのユーザーが最高の権限を持つ必要はありません。 これが、WP が 6 つの異なるユーザー ロール、つまり、スーパー管理者、管理者、編集者、作成者、寄稿者、および作成者を許可する理由です。

スーパー管理者は「最高」の権限または権限を持ち、作成者は「最小」の権限を持ちます。 管理者ユーザーはほとんどの権限を持っているため、ハッカーは管理者アカウントをハッキングしようとすることが多く、そこで最大の損害を与えることができます。

私たちの推奨事項 – 少数の信頼できるユーザーのみに「管理者」権限を割り当てる最小権限の原則を採用すること。 ジョブ ロールに応じて、残りのユーザーに他のユーザー ロールを割り当てることができます。

9.ジオブロッキングを実装する

サイバー攻撃に関する最新の統計によると、最も成功しているハッカーはいくつかの国に拠点を置いています。 ファイアウォールが選択した IP アドレスからのリクエストをブロックできるように、特定の国からのすべてのリクエストをブロックすることもできます。 これは、国のブロックと呼ばれるものです。 これらの国からの着信トラフィックをブロックすることにより、これらの国に拠点を置くハッカーが Web サイトにアクセスできなくなります。 これは、Web サイトに地理的なターゲット セグメントがある場合に最適です。

失敗またはブロックされたすべての IP リクエストの送信元の国を表示し、その地域に国別のブロックを実装するオプションを提供するセキュリティ ツールを選択します。

10. ウェブサイトとデータベースを定期的にバックアップする

あらゆるセキュリティ対策を講じても、攻撃を 100% 回避できるという保証はありません。 Web サイトのバックアップは、ハッキングの成功に対する保険のようなものです。 ウェブサイトがクラッシュしたり、ハッキングされたりして初めて、その価値を実感できます。

サイトがダウンしたとき、あなたはどうしますか? 最優先事項は、Web サイトを通常の状態に復元することです。これは、Web サイトとデータベース ファイルの両方のバックアップがある場合にのみ可能です。

アップデート

Web サイトの完全なバックアップを取得するにはどうすればよいですか?

利用可能な場合は、ホスティング会社が提供するバックアップ サービスを選択してください。 または、これを手動で行うこともできますが、時間と労力がかかる可能性があります. より簡単で短時間の方法を探している場合は、BlogVault や Backupbuddy などのバックアップ プラグインを選択して、バックアップ プロセスを自動化し、バックアップの独立したコピーを安全な場所に保存することもできます。

バックアップ プラグインは、他のバックアップ ツールよりも優れたパフォーマンスを発揮することが知られています。 最新のファイルとデータベース テーブルの両方をバックアップするための完全なソリューションを提供し、何かが失われるリスクを最小限に抑えるためです。 さらに、簡単なワンクリック復元機能を提供し、数回クリックするだけでウェブサイトを復元できます.

結論は

あなたのウェブサイトがどんなに大きくても小さくても、それは常に賢いハッカーの標的になる可能性があります. サイバー脅威から身を守る唯一の方法は、ハッカーの仕事を困難にする知識とツールを身に付けることです。 これらの 10 のステップは、WordPress Web サイトの完全で堅牢なセキュリティ戦略を形成します。 上記の対策のほとんどは、これらのセキュリティ対策のいくつかを組み合わせた単一のセキュリティ プラグインをインストールすることで対応できます。

ベスト 10 の WordPress セキュリティ ガイドのこの記事がお役に立てば幸いです。 これらの WordPress セキュリティ ガイドを実装して、サイトの安全性スコアを改善してください。 WordPress セキュリティ ガイドのこの記事について質問がある場合は、下のコメント セクションでお知らせください。 また、この記事が気に入ったら、友達やソーシャル メディアのフォロワーと共有してください。