WordPressの強化：WordPressサイトを安全に保つ方法

ハッキングされたことがある場合は、それがどのような悪夢になるかを知っています。 WordPressのWebサイトを安全に保つのに役立つWordPressのセキュリティ手順を理解するのは難しい場合があります。

WordPressサイトを安全に保つ方法を学ぶために読み続けてください。 WordPressを強化するための適切な手順を学び、WordPressWebサイトのセキュリティチェックリストを入手してください。

WordPressの強化とは何ですか？

WordPressはすべてのウェブサイトの約40％を占めています。 このため、WordPressの悪用方法を知っている人は、多くのターゲットを簡単に見つけることができます。 幸いなことに、彼らの仕事をもっと難しくするためにできることはたくさんあります。 これはWordPressの強化として知られています。

WordPressのセキュリティが重要な理由

ハッキングされて恥ずかしいだけでなく、ダウンタイム、データ損失、情報漏えいにつながる可能性があります。 これは、売り上げの損失やブランドの評判の低下につながる可能性があります。 これに加えて、すべてを元に戻して再度実行するには、多くの作業が必要になる場合があります。

WordPressの強化：WordPressのセキュリティに関する10のステップ

ハッカーがWordpressサイトをハッキングするためにアクセスできる主な方法は4つあります。

• パスワードまたはセッションを取得してログインします。
• FTP、SSH、またはデータベースなどの間接アクセスを介して。
• あなたのウェブルートで情報を発見することによって。
• WordPressコードまたはプラグインの脆弱性を介して。

サイトにアクセスする最も簡単な方法は、ログインすることです。パスワード泥棒に対してWordPressを強化するいくつかの方法があります。

1.接続元のマシンを保護します

見落としがちな重要なことの1つは、接続元のコンピューターです。 安全でない場合は、サーバーも脆弱になる可能性があります。 これが、ウイルススキャナーとファイアウォールを用意し、コンピューターを最新の状態に保ち、安全なブラウジングの習慣を実践することが非常に重要である理由です。

2.サーバーへの接続を保護します

コンピュータが安全であっても、サーバーに向かう途中でパスワードやセッションが盗まれる可能性があります。 これを防ぐには、WordPressバックエンドにログインするときにHTTPSを使用していることを確認することが重要です。

関連資料： WordPressパフォーマンス最適化の初心者向けガイド>>

自宅や会社の有線接続、または長いランダムなWi-Fiパスワードを使用するWi-Fi接続を使用して、常にサーバーに接続することをお勧めします。 パブリックホットスポットを使用して接続する必要がある場合は、VPNに絶対に投資する必要があります。

3.人々があなたのパスワードを推測するのを防ぎます

攻撃者がスクリプトを使用して、ユーザー名とパスワードのさまざまな組み合わせを、正しいものを推測するまですばやく試行する場合、これはブルートフォース攻撃と呼ばれます。 ブルートフォース攻撃を防ぐために、大文字と小文字の数字と特殊文字を含む長いパスワードを使用してください。

このテクニックをさらに難しくするために、役立つプラグインを入手できます。 2要素認証プラグイン、ログインフォームにキャプチャを追加するプラグイン、および不正な試行の回数を制限するプラグインを探します。

4.管理者を使用しないでください

ブルートフォース攻撃やパスワードを盗む他の方法を防ぐ別の方法は、管理者アカウントに別の名前を付けることです。 彼らがあなたのユーザー名を推測できない場合、彼らはあなたのパスワードを推測することはできません。 追加の管理者アカウントは、不要になったら削除する必要があります。 新しいアカウントを作成する場合は、必要なだけアクセスできるようにする必要があります。

ハッカーが管理者アカウントに直接アクセスできない場合、SSH、FTP、またはデータベースを介して間接的にサイトにアクセスできる可能性があります。 ローカルPCを安全に保つこと、安全なパスワードを選択すること、およびパブリックインターネット上でVPNを使用することについて述べたすべては、SSH、FTP、およびデータベースへの接続にも当てはまりますが、ここにいくつかの追加の考慮事項があります。

5.SFTPまたはFTPSを使用する

FTPは、インターネットを介してデータとパスワードをプレーンテキストで送信します。つまり、データを傍受できる人は誰でも、パスワードとデータを見ることができます。 SFTPとFTPSはどちらもデータを暗号化します。

6.ポートへのアクセスを閉じるか制限します

通常、データベースとWebサイトが同じサーバー上にある場合は、データベースポートを一般に公開する必要はありません。 ポータルまたはサーバー内からデータベースを管理できる場合、攻撃者がWebサイトを悪用する方法が1つ少なくなるため、これは一般的に優れたオプションです。

関連資料： WordPressが後押しを必要とする場合：ヒント、ツール、およびチューニング戦略>>

FTPの場合と同様に、SFTPを使用してサーバーに接続できる場合は、FTPポートを開いておく必要はありません。 サーバーに接続するためにこれらのポートの1つを使用する必要がある場合は、ポートのスコープをIPアドレスのみに設定することをお勧めします。

IPアドレスが大幅に変更される場合、IPアドレスが変更されるたびに、サーバーにアクセスするために電話をかけなければならないのは不便です。 これを回避する1つの方法は、VPNを使用することです。 VPNは、自分とサーバー間の接続を暗号化するだけでなく、ファイアウォールに追加できる静的IPアドレスを使用して、他の人がポートにアクセスするのを防ぐことができるようにします。

多くの人が犯す間違いの1つは、ファイルとデータベースダンプをWebルートに保存することです。 Webルート内のすべてのものは、インターネット上の誰もがアクセスでき、誰にも持たせたくないものは含まれていてはならないことを忘れないでください。

7.Webルートから不要なものをすべて削除します

Webルートを調べて、サイトが機能するために不要なものがそこに格納されていないことを確認することは価値があります。

たとえば、後でダウンロードできるように、データベースをWebルートにダンプすると便利な場合があります。 ただし、データベースにはパスワードハッシュが含まれており、公開したくない他の情報が含まれている可能性があることに注意してください。

データベースを別の場所にダンプし、SFTPを使用してダウンロードすることをお勧めします。 バックアップとしてサーバーに保持したい場合は、単に1つ上に移動するか、Webルート以外の場所に配置できます。

同様に、Webサイトコードの圧縮されたコピーを使用してコードについて学習し、インターネットの誰でもダウンロードできます。 もう1つの一般的な方法は、変更する前に.htaccessやコードファイルなどのファイルのバックアップを作成することです。

ファイルを変更する前にバックアップすることは確かに良い考えですが、ファイルをWebルートに保持する予定がある場合は、アクセスできないようにアクセス許可を変更する必要があります。

関連資料： WordPressホスティングのセキュリティ神話を暴く>>

たとえば、chmod000.htaccessと入力できます。 最後に、READMEファイルやバージョン番号を公開する可能性のあるその他のものでも安全に削除できるはずです。それらを削除するとセキュリティが向上します。

最後に考慮すべきことは、コード自体です。 Webアプリケーションコードのセキュリティは非常に複雑なトピックであり、そのトピックについて本全体が書かれています。 WordPressを使用しているので、コードを安全に保つという膨大なタスクが自動的に実行されるため、必要なのはパッチをインストールすることだけです。

Nexcessでホスティングしている場合は、コアWordPressの更新を担当しますが、テーマやプラグインにも脆弱性が含まれている可能性があります。

8.未使用のコードを削除します

WordPressサイトを安全に保つ簡単な方法は、使用していないものをすべて削除することです。 すべてのプラグインを確認し、サイトに価値がない場合はプラグインを削除します。

関連資料： WordPressプラグインの基本ガイド>>

これにより、セキュリティが向上するだけでなく、WordPressの速度が向上し、サイトの安定性が向上します。 場合によっては、無効にされているプラ​​グインでさえ、バグを導入したり、ハッカーに攻撃対象領域を提供したりする可能性があることに注意してください。

使用していないWordPressテーマがある場合は、それらもアンインストールする必要があります。ただし、後でトラブルシューティングを行うために、最新のデフォルトのWordPressテーマをそのままにしておくことを検討してください。

最後に、使用していない古いインストールを削除することが最も重要です。 古いブログまたは使用しなくなった古いバージョンのWebサイトを含むサブディレクトリ全体がある場合は、それをWebルートから削除することが非常に重要です。 バックアップとして保存する場合は、Webルートの上に安全に保存できます。

9.すべてのプラグインとテーマがアクティブに維持されていることを確認します

新しい脆弱性は毎日発見されており、一度知られると、インターネット全体のスクリプトによってすぐに悪用される可能性があります。 そのため、コードに見つかった欠陥に積極的に対応し、脆弱性を閉じるためのパッチを定期的にリリースしている知識豊富なプログラマーがいることを確認することが重要です。

10.パッチを適用します

脆弱性はWordPressに常に存在し、WordPressの脆弱性は非常に迅速かつ徹底的に悪用されるため、パッチが利用可能になったらすぐに適用することが非常に重要です。 ダウンタイムを回避するためにこれを行うことは非常に重要です。

ただし、パッチの1つが残りのコードと互換性がない可能性があるため、これを行う最善の方法は、定期的にバックアップを取り、手動でパッチを適用してからサイトをテストすることです。

動作していないものを見つけた場合は、バックアップを回復して、サイトをすばやく元に戻すことができます。 リソースがある場合、さらに良い方法は、Webサイトのコピーを保持し、最初にそのコピーにすべてのパッチを適用することです。 これにより、ダウンタイムが防止され、パッチがライブサイトに適用される前に問題のトラブルシューティングが可能になります。

WordPressウェブサイトのセキュリティチェックリスト

• PCを安全に保つ
• 安全なプロトコルを使用する
• 強力なパスワードを使用する
• プラグインを使用して、パスワードを推測しにくくします
• 管理者アカウントの名前を変更します
• ファイアウォールのポートへのアクセスを閉じるか制限します
• データベースのダンプ、バックアップ、特にWebルートからの古いコードをクリーンアップします
• プラグインとテーマを慎重に選択し、使用しないものはすべて削除してください
• 最も重要なことは、それらを最新の状態に保つことです

NexcessはWordPressサイトを安全に保ちます

サイトをハッキングするのは大変なことです。 見栄えが悪くなるだけでなく、ダウンタイムが長くなったり、注文が失われたりする可能性があります。

Nexcessを使用したWordPressホスティングは、WordPressサイトを安全に保つための最初の素晴らしいステップです。

Nexcessは、WordPressWebサイトをホストするための安全なプラットフォームを提供します。 Nexcessを使用すると、常時オンのセキュリティモニタリング、無料の毎日のバックアップ、SSL証明書、およびIThemesSecurityProを利用できます。

また、WordPressの専門家とサポートの専門家のチームが24時間体制で対応し、質問があればいつでも必要なリソースを24時間年中無休で利用できます。

フルマネージドのWordPressホスティングプランを調べて、今日から始めましょう。