WordPressセキュリティガイド:WordPressウェブサイトを保護する14のプロのヒント

, , Leave a comment

WordPressウェブサイトのセキュリティを改善したいとお考えですか?

ここでは、受賞歴のあるこのWordPressブログの実行で学んだすべてのヒントと戦略を紹介します。

ただお知らせするだけです

最近では、WordPressはハッカーの標的になっています。多くのユーザーから、「WordPressは安全ですか?」

そしてこれが私の答えです:

はい、WordPressは安全です。

ただし、さまざまなプラグイン、テーマ、そして時にはホスティングであるため、セキュリティのワーストプラクティスに従っているため、WordPress Webサイトはさまざまな種類の攻撃やハッキングに対して脆弱です。

事実:WordPressは世界中の約33%のWebサイトに対応しており、最も人気のあるCMSプラットフォームであるだけでなく、ハッキングされやすくなっています。初めての方は、WordPressの初心者向けガイドをご覧ください。

エンドユーザーとして、WordPressブログを保護するためにできることがいくつかあります。

私のサイトは、アラビア人とトルコ人のハッカーによって過去に2回近くハッキングされています(少なくとも彼らはそう主張しています)。彼らは私のサイトに侵入し、頭蓋骨とワタリガラスのGIF画像をフィーチャーした醜い黒い背景を残しました。これが、WordPressのセキュリティを強化する方法を私に見つけさせたものです。

ハッカーの手に渡ってWordPressウェブサイトを失う手間を省くことができるように、10年の間に私はあなたと今日共有している多くのトリックを学びました。

WordPressが安全である場合、なぜWordPressのセキュリティが重要なのですか?
上で述べたように、WordPressはデフォルトで安全ですが、安全でないサーバーでホストしたり、テーマやプラグインの形式で新しいコードを追加したりすると、ハッキングされる可能性が高まります。

WordPressの強化に関するこのヘルプページに

「WordPressウェブサイトの所有者に最も影響を与える脆弱性は、プラットフォームの拡張可能な部分、特にプラグインとテーマに起因します。これらは、サイバー犯罪者がWordPressサイトをハッキングしたり悪用したりするために悪用している#1攻撃ベクトルです。

これらの脆弱性は通常意図的に導入されたものではなく、開発中のミスや見落としの結果です。プラグインやテーマの開発者の多くはセキュリティに精通していないため、不注意で脆弱なコードを作成する傾向があります。脆弱性が発見された場合、開発者は通常、アップデートをリリースすることで対処します」

ハッカーは通常、個人的な利益を得るためにWordPressサイトをハッキングします。これは通常、スパムサイトにバックリンクを追加したり、WordPressサイトを他のWebサイトにリダイレクトしたりする形式です。ハッキングされていることや、ウェブサイトにバックドアがインストールされていることに気づかないほど高度に洗練されている場合もあります。

しかし、所有者は時間の経過とともにトラフィックを失い始め(SEOペナルティ)、彼らが実際の問題に気付くまでに、物事は手に負えなくなります。発生する可能性のあるさらに悪いことは、著名なブラックリスト機関によってブラックリストに登録されることです。これはあなたのウェブサイトをブラックリストから外すためにあなたにかなりの時間とお金を要します。

セキュリティ会社のスクリによれば、

2018年に駆除したすべてのCMSのうち、WordPressは感染したCMSの90%を占めています

感染したウェブサイトのプラットフォーム
これは、WordPressの所有者にとって恐ろしい数字です。そのため、WordPressのセキュリティを強化するためにこれらのベストプラクティスに従うことが最も重要なのはこのためです。

WordPressブログを保護するための14の実証済みのヒント
1. WordPressバックアップの構成
WordPressブログを保護するために、以下の多くの実証済みのヒントを提供しましたが、何かが発生しても、何も失わないようにする必要があります。

適切なWordPressバックアップソリューションがないことは、最大の間違いです。 SonyやDropboxのような大きなサイトがハッキングされる可能性がある場合、WordPressブログはハッカーによって比較的簡単に解読されます。

したがって、最初に行うことは、ブログを毎日バックアップすることです。

ホスティング会社が提供するバックアップシステムを使用するか、VaultPressやUpdraftplusなどのサードパーティのバックアップシステムを使用できます。 WordPressバックアッププラグインのリストはここにあります。

ホスティング会社がバックアップを提供している場合は、バックアップを別のサーバーに保存していることを確認してください。

2.信頼できる安全なホスティング会社を利用する
サーバーレベルのセキュリティ
保存する
WordPressのインストールは、サーバーにインストールされたソフトウェアです。安全なウェブサイトの基礎は、あなたのウェブサイトがハッカーから保護されることを保証する十分な保護を備えたサーバーです。

安全なWordPressホスティングには通常、次の機能があります。

DDOS攻撃を軽減するサーバーレベルのファイアウォール。
物理的なセキュリティのために最新のハードウェアと一流のデータセンターを使用
オペレーティングシステムを定期的に更新し、最新のセキュリティパッチを適用する
悪意のあるアクティビティまたはポリシー違反のための侵入検知システムがあります
私は、どのホスティング会社がハッカーに対して信頼できるかを知るのは難しいことを理解しています。それが私が安全なWordPressホスティング会社のこのリストを作成した理由です。

SiteGround:有名な攻撃を防ぐためにアンチボットAIシステムを使用する受賞歴のあるホスティング。
Bluehost:優れたセキュリティを提供するトップ評価のホストの1つ。
WPEngine:ビジネスのWordPressサイトに推奨される管理されたWordPressホスティング会社。複数のレベルでのバックアップとセキュリティを提供します。
Kinstaホスティング:これは、トラフィックの多いWordPressブログに最適です。 ShoutMeLoud.comは、Kinstaホスティングでもホストされています。
既存のホスティング会社が安全でなく、セキュリティ関連のサポートを提供していない場合、上記のホスティングのいずれかに移行すると、大きな違いが生じます。

3. WordPressの最新バージョンを使用する
WordPressソフトウェアを最新の状態に保つことは、WordPressブロガーにとって最も基本的なセキュリティのヒントです。これは決して見逃したくないものです。

WordPressが更新を送信するときはいつでも、バグを修正し、機能を追加し、最も重要なことには、セキュリティ機能と修正を追加しました。

WordPressの更新
保存する
「WordPress x.x.x is available!」というメッセージが表示されたら

更新してください。

現在、ワンクリックで更新できるため、ブログのアップグレードは非常に簡単です。

テーマとプラグインがこの最新バージョンのWordPressと互換性があることを確認してください。アップデートが公開されていて、それがセキュリティアップデートではない場合は、他のユーザーが最新バージョンのバグの報告を停止するまで5〜6日待つことをお勧めします。

4. WordPressプラグインを更新する
WordPressプラグインを更新する
保存する
上で述べたように、WordPressはバグとセキュリティホールを修正するためのアップデートをリリースし、プラグインについても同様です。

多くの場合、脆弱なプラグインまたはサードパーティのスクリプトがWordPress Webサイトにセキュリティホールを作成する可能性があります。

過去に発生したそのような問題の1つは、Timthumbの脆弱性です。これはスクリプトが原因であり、このスクリプトを使用していた多くのプラグインも脆弱になりました。この種のゼロデイ脆弱性を回避するのは困難ですが、プラグイン、スクリプト、テーマの数を制限することで、WordPressサイトをより安全にすることができます。

常に更新され、サポートが充実しているプラ​​グインを常に使用してください。しばらく更新されていないプラグインを使用している場合は、そのプラグインの代替を見つけてください。

5.最新のPHPバージョンを使用する
PHPはWordPressのバックボーンであり、現在、7.3はPHPの最新バージョンです。公式のPHP統計ページによると、彼らは2年間のみ、PHPの任意の安定バージョンにセキュリティサポートを提供しています。

最新のPHPバージョン
保存する
つまり、PHP 7.1より前のバージョンを使用している場合は、セキュリティアップデートを取得できません。

WordPress.orgの興味深い統計を以下に示します。WordPressウェブサイトの約71.8%が古いPHPを使用しています。

PHPバージョン
使用しているホスティング環境に応じて、PHPのバージョンをすばやく変更できます。最初にステージング環境を作成してから、最新のPHPバージョンをテストすることを強くお勧めします。これは、互換性を確保するためです。古いプラグインとテーマが問題を引き起こす可能性があります。

ダッシュボードからWordPressのPHPバージョンを確認し、ホスティングサポートにPHPバージョンのテストと更新を依頼できます。 Bluehostユーザーは、このチュートリアルに従ってcPanelのPHPバージョンを更新できます。

6. Webアプリケーションファイアウォール(WAF)を使用する
ホスティングサーバーとネットワークトラフィックの間にファイアウォールが存在します。ファイアウォールの役割は、WordPress Webサイトがホストされているマシンに到達する前に、最も一般的な脅威を除外することです。

WordPressで使用できるファイアウォールソリューションには、最も一般的な3つのタイプがあります。

ネットワークレベル:これは通常、ネットワークレベルまたはマシンレベルで保存され、所有しているデータセンターでWordPressをホストしているときに機能します。これは最もコストのかかるオプションであり、通常、サーバーがインストールされている物理的なスペースを制御できるエンタープライズレベルのWebサイトで使用されます。
ホストレベル:これはウェブアプリケーションレベルでホストされます。この例ではWordPressです。これはお勧めできません。結局のところ、ホストはトラフィックをフィルタリングするという重労働を行わなければなりません。これはネットワークベースのWAFよりも明らかに優れていますが、必要なローカルサーバーリソースは最適なオプションではありません。
クラウドベースのWAF:クラウドベースのWAFは通常DNSレベルで実装され、WordPressサーバーにヒットする前に、最も一般的なタイプの脅威をフィルタリングします。これは、実装が最も簡単で、経済的にも最も経済的です。唯一の欠点は、DNSを変更する必要があることです。
WAFによって検出および保護されるいくつかの一般的な種類の脅威は、クロスサイトスクリプティング(XSS)攻撃、SQLインジェクション攻撃、セッションハイジャック、およびバッファオーバーフローです。これは、OSIモデルにおけるプロトコルレベル7の防御です。

WAFの実装に使用できる2つの推奨サービスがあります。

Cloudflare:月額$ 20から
Sucuri:月額$ 9.99から
これは、WooCommerceおよびビジネス向けに作成されたその他のWordPress Webサイトに強く推奨されるWordPressセキュリティ機能です。

7. WordPressバージョンを非表示にする
WordPressコアファイルを更新するための2分間がないとしましょう。リストされているWPバージョンは、ハッカーが侵入するアイデアを引き起こす可能性があります。古いバージョンのWPを実行していて、誰もがそれを知っている場合、私を信じて、あなたは運命にあります。

最近のほとんどのテーマデザイナーはあなたのためにそれを取り除いていますが、念のため、functions.phpに移動して次の行を追加してください:

<?php remove_action( ‘wp_head’、 ‘wp_generator’); ?>

8.複雑なログインパスワードを使用する
これについて言及する必要はありませんが、次のような独創的でめちゃくちゃ複雑なパスワードを使用する人が多すぎます。

パスワード
イエス様を愛している
123123
鮮やかさ。

パスワードを複雑にし、いくつかの特殊文字(%&*#)を追加して、5〜6か月ごとに変更し続けてください。

Login Lockdownというプラグインもお勧めします。このプラグインは、失敗したログイン試行のすべてのIPおよびタイムスタンプを記録します。特定のIPからの特定の回数の失敗した試行の後、IPはブラックリストに登録されます。これは、総当たり攻撃を防ぐのに大いに役立ちます。

最後に、パスワードのセキュリティをさらに向上させるのに役立つDashlaneなどのパスワードマネージャーの使用も開始する必要があります。

また、読んでください:

ハッカーがパスワードをハッキングする方法
強力でスマートなパスワードを作成する
9. WordPressログインURLを変更します。
WordPressのログインURLページを変更することで、多くの攻撃やハッキングの試みを防ぎます。特に、あなたが数人の人である場合、またはWordPressダッシュボードにログインする必要があるだけの場合、ログインページを変更すると非常に役立ちます。 WordPressの管理者ログインURLを変更する方法に関する私の以前のチュートリアルでそれを見つけるいくつかの追加の利点があります。

10.インデックスに登録されたページにGoogleアラートを設定する
これは、すぐに使用できるあまり知られていないトリックの1つです。 Googleアラートを使用して、Googleがドメイン名の新しいページにインデックスを作成するたびにアラートを送信できます。多くの場合、WordPressハッカーはバックエンドやフロントエンドに表示されない新しいページや投稿を追加しますが、Googleでインデックスに登録されます。

このようにアラートを設定すると、通知なしで何かが起こっているかどうかがわかります。無料でセットアップに2〜3分しかかからないので、それだけの価値があります。

ここにそれを行う方法があります

Googleアラートに移動
「アラートの作成」フィールドに、site:domain.comを追加します
アラート
保存する
「随時」の頻度、「任意の言語」の頻度、「すべての結果」の頻度の変更
これで、検索エンジンで新しいページにインデックスが作成されると、すぐに通知が届きます。

11. WordPressフォルダのファイル権限を確認する
WordPressファイルの権限
cPanelのファイルマネージャーに移動するか、FTPソフトウェアにログインして、WordPressフォルダーのファイル属性を確認します。

744(読み取り専用)であればよいです。 777であることがわかった場合は、まだハッキングされていないことを非常に幸運であると考えてください。

ほとんどのブロガーがホスティングを変更しても、ファイルのアクセス許可もどのように変更されるかを理解していません。ホスティングを移行した後は、必ずすべてのファイル権限を確認してください。

12.デフォルトの管理者ユーザーを削除する
これは、安全なWordPressブログを作成しようとしている人にとって最も重要なヒントの1つです。ほとんどの人が変更しないため、デフォルトの「admin」ユーザー名はブルートフォース攻撃を受けやすい傾向があります。

WordPressをインストールするときは、カスタムのユーザー名を使用し、「admin」は使用しないでください。

「管理者」権限を持つ新しいユーザーを作成し、この新しい管理者にニックネームを付けることができます。ニックネームは、投稿を書いた場合に公開されます。次に、ログアウトしてから、新しく作成したadminアカウントに再度ログインし、古い「admin」ユーザーを削除します。

すべてのユーザー名とリンクは、作成した新しいユーザーに関連付けてください。

デフォルトのユーザー名を変更する別の方法を次に示します。

読む:WordPressのデフォルトのユーザー名を変更する方法
13.プラグインディレクトリを非表示にする
プラグインフォルダー/ wp-content / plugins /には、フォルダーとその中のファイルのリストが表示されません。

プラグインフォルダーにアクセスしてみてください(domain.comをドメイン名に置き換えてください):

domain.com/wp-content/plugins/
フォルダとファイルのリストが表示された場合は、それらを非表示にする必要があります。

これらのフォルダーを非表示にするには、新しい.htaccessファイルを作成して、プラグインディレクトリにドロップする必要があります。

#BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond%{REQUEST_FILENAME}!-f
RewriteCond%{REQUEST_FILENAME}!-d
RewriteRule。 /index.php [L]
#ディレクトリのリストを禁止します
IndexIgnore *
#END WordPress

ルートディレクトリに適切に記述された.htaccessファイルが既にある場合、個別のフォルダーに個別の.htaccessを追加しても害はありません。

また、.htaccessファイルの編集方法については、この投稿をご覧ください。

14.データベースエラーをオフにする
古いバージョンのWordPressでは、MySQLデータベースにエラーがあった場合、ブラウザ自体に正確なエラーが表示され、データベースに関する貴重な情報がハッカーに提供されました。

これを防ぐには、WordPressを最新バージョンに更新して、「データベース接続エラー」などの一般的なエラーメッセージのみを表示し、問題の内容を正確に表示しないようにする必要があります。

WPダッシュボードにログインし、WordPressコアファイルを更新します。

WordPressのセキュリティ:あなたに
このガイドが、WordPressのセキュリティの重要性を理解し、セキュリティを強化するのに役立つことを願っています。

読む:便利なWordPressセキュリティプラグイン
繰り返しになりますが、WordPressブログを定期的に自動バックアップして、ブログを常に正常な状態にロールバックできるようにすることをお勧めします。

WordPressブログを安全に保つために他のブロガーに提供したい他のセキュリティのヒントを教えてください。以下のコメントでヒントを共有してください!

この投稿をブックマークして共有することを忘れないでください!

 

Leave a Reply