完全なWooCommerceセキュリティチェックリスト(2022ガイド)

公開: 2021-03-23

セキュリティは、eコマースストアにとって最大の関心事です。 結局のところ、コンテンツを安全に保つ必要があるだけでなく、顧客情報と注文データを保護する必要もあります。

したがって、オンラインショップの開始を検討している場合、またはそれがすでに収入の一部を占めている場合は、ビジネスを完全に保護する必要があります。

オンラインショップがより高いセキュリティを必要とする理由

オンラインで販売する場合、個人名、クレジットカード番号、住所など、多くの機密情報を扱っています。 アクティブなショップは常に新しい情報を収集するため、責任を負うデータのセットは増え続けています。

サイトに一流のセキュリティがあることを確認すると、次のことが可能になります。

  • クライアントの個人情報をハッカーや攻撃者から保護し、顧客が自信を持って買い物できるようにします。
  • 収入の流れを中断や売り上げの損失から保護します。
  • 税金および法的な目的で、すべての分単位の売上データを保存します。
  • 信頼できるビジネスとしてのブランドと評判を維持します。 と
  • ダウンタイムによる売り上げの損失、注文の不履行による払い戻し、ウェブサイトの修理費用など、ハッキング後のビジネスの再構築に関連する費用を回避します。

ハックを特定する方法

ハッキングにはさまざまな形態があり、サイトがすぐに侵害されたことに気付かない場合もあります。

ハックを特定するには、次を探します。

  • 作成していない新しい管理者アカウント。
  • コメント、製品の説明、またはレビューでマルウェアへのスパムリンク。
  • サードパーティのサイトにリダイレクトする異常なアラートボックスまたはリンク。
  • ストアにフラグが付けられたというGoogleからのアラート。
  • 奇妙な、予期しない、または欠落している顧客の電子メール。
  • 非常に遅いロード時間またはタイムアウトエラー。

しかし、ほとんどのビジネスオーナーは、在庫、マーケティング、または注文の履行に忙しくて、問題やハッキングを常に監視することはできません。 そのため、最初に追加する必要があるのはダウンタイムの監視です。これは、サイトが稼働していることを自動的にチェックし、稼働していない場合は警告します。 これにより、オンラインショップを修復および復元するためのアクションをすぐに実行できます。

また、Jetpack Scanの恩恵を受けることもできます。これは、ストアのハッキングを自動的にチェックするトップマルウェアスキャンプラグインであるため、心配する必要はありません。 何か問題が見つかった場合はアラートが表示され、既知の脅威の大部分をワンクリックで修正することもできます。

現在のマルウェアスキャンの進行状況を示すJetpackスキャンダッシュボード

WooCommerceの完全なセキュリティチェックリスト(14ステップ)

ハッキングが発生する前に停止するのが常に最善です。 次の質問に「はい」と答えることができれば、すばらしいスタートを切ることができます。

1.安全で評判の良いプロバイダーでホスティングしていますか?

あなたのホストは攻撃に対する最初の防衛線です。 適切なセキュリティ対策が講じられていない場合、他のすべてを正しく行ったとしても、ファイルとデータベースが脆弱になる可能性があります。

ホストを選択するときは、次のホストを探してください。

  • 組み込みのファイアウォール。 ファイアウォールは、サーバーにアクセスできるユーザーとアクセスできないユーザーを制御し、ハッカーやボットをWebサイトのファイルから遠ざけます。
  • セキュリティスキャン。 多くのホストは、サーバー上のすべてのサイトを定期的にスキャンし、マルウェアなどの疑わしいものに気付いた場合に通知します。 一部のプロバイダーは、多くの場合追加料金で、これらの問題を修正します。
  • バックアップ。 独自のバックアップも作成する必要がありますが(詳細は後で説明します)、サイトの複数のコピーを作成することをお勧めします。 多くのホスティング会社は計画にバックアップを含めていますが、有料アップグレードとして提供している会社もあります。
  • 優れたサポートチーム。 問題が発生した場合は、専門家が次のステップを理解するのを手伝ってくれることを望んでいます。 ホストに、最も便利な方法(ライブチャット、電話など)で連絡できる優れたサポートチームがあることを確認してください。
  • 良い評判。 実際の顧客からのレビューをチェックして、彼らの経験について調べてください。 これは、ホスティングプロバイダーについて学ぶための最も正確な方法です。

どこから始めればいいのかわからない? WooCommerceは、すべて徹底的に精査された推奨ホスティング会社のリストをまとめました。

2. SSL証明書はありますか?

SSL(Secure Socket Layer)証明書は、顧客からWebサイトに送信される情報を暗号化し、サイトのIDを認証します。 これは、クレジットカードのデータや住所などの情報の重要な保護として機能します。 グーグルはまた、検索エンジンのランキングを決定する際にそれを考慮します。

ほとんどのホストはSSL証明書を無料で提供していますが、比較的低料金のホストもあります。

3.テーマとプラグインの安全で安全なバージョンを使用していますか?

ヌルのプラグインとテーマは、プレミアムプラグインとテーマの海賊版であり、無料または低価格で提供されます。 サポートされていないだけでなく、更新されていないため、WordPressや他のプラグインと競合する可能性があります。 さらに心配なことに、これらは通常、サイトや顧客データを危険にさらす可能性のあるマルウェアでいっぱいです。

プラグインとテーマは、WordPressリポジトリやWooCommerceマーケットプレイスなどの信頼できるソースから常にダウンロードしてください。

WooCommerceMarketplaceの注目の拡張機能コレクション
WooCommerceマーケットプレイスの注目の拡張機能コレクション

4. WordPressサイトですべてが更新されていますか?

WordPress、テーマ、プラグインのアップデートには、必ずしも新機能が含まれているわけではありません。 多くの場合、ハッカーが利用できるバグや脆弱性を修正します。 サイトを安全に保ち、競合を回避するために、利用可能な場合は常に更新を実行してください。

更新を追跡したくないですか? Jetpackには、このプロセスを自動化するオプションがあります。

5.最新バージョンのPHPを使用していますか?

WordPressコアの大部分は、プログラミング言語であるPHPで記述されています。 バグや脆弱性から保護するために、テーマとプラグインを更新する必要があるのと同じ理由で、サイトで使用するPHPのバージョンを更新する必要があります。

ホスト設定でPHPのバージョンを更新するか、ホスティングプロバイダーにこれを処理するように依頼することができます。 最新のWordPress要件を表示します。

6.ユーザー権限を確認しましたか?

各WordPressユーザーには、Webサイトで特定のタスクを実行できるようにする一連の機能を含む役割が割り当てられます。 管理者はすべてに完全にアクセスでき、必要に応じて変更を加えることができます。 店主として、これはあなたの役割でなければなりません。 ただし、顧客はサイトのバックエンドにアクセスできませんが、自分のアカウント情報を編集して、現在および以前の注文を表示できます。 ユーザーの役割と権限の完全なリストを参照してください。

時々、ユーザーアカウントを確認してクリーンアップします。 各ユーザーは、自分の仕事を行うために必要な最小限の権限のみを持っている必要があります。他の人と一緒に作業していない場合は、必ず自分のアカウントを削除してください。 たとえば、Web開発代理店と協力してサイトを構築し、プロジェクトが完了した場合、将来一貫した更新が必要にならない限り、おそらくそのアカウントを削除することをお勧めします。

7.安全なユーザー名とパスワードを使用していますか?

ハッカーはボットを使用して、適切なものが見つかるまで何千もの異なるユーザー名とパスワードの組み合わせを試すことがよくあります(これはブルートフォース攻撃と呼ばれます)。パスワードを推測しやすいほど、ハッカーがストアにアクセスする可能性が高くなります。

適切なパスワードには、大文字、小文字、数字、記号が含まれ、20文字以上の長さが必要です。 少なくとも、すべての管理者ユーザーがこのタイプのパスワードを実装していることを確認してください。

ユーザー名に関しては、「Administrator」や「Admin」などの一般的なタイトルは避けてください。 代わりに、個人ごとに特定のユーザー名を作成してください。

8.ログインURLを変更することを検討しましたか?

デフォルトでは、すべてのWordPressログインページにURL/wp-adminでアクセスできます。 追加のセキュリティ対策を講じる場合は、攻撃者がこのURLを推測しにくくするために、URLを変更することをお勧めします。 これを行うには、.htaccessファイルを編集するか、コードを変更することに抵抗がある場合は、WPHideLoginなどのプラグインを使用します。

9.管理者に対して2要素認証を有効にしましたか?

二要素認証は、ログインページにセキュリティの追加レイヤーを追加します。 ログインするには、何か(ユーザー名とパスワード)を知っているだけでなく、物理的に何か(モバイルデバイス)を持っている必要があります。 これにより、ハッカーがあなたの店に侵入する可能性が大幅に低くなります。

Jetpackを使用すると、2要素認証が簡単になります。 サイトにログインすると、携帯電話に特別な1回限りのコードが届きます。このコードを入力して、ログインプロセスを完了する必要があります。 すべてのユーザーにこれを設定するように要求することもできます。 2要素認証の詳細をご覧ください。

10.ブルートフォース攻撃をブロックしていますか?

前に説明したように、ブルートフォース攻撃は、ハッカーがボットを使用してユーザー名とパスワードの組み合わせを適切なものが見つかるまで何度もテストするときに発生します。 これにより、店舗と顧客のデータが危険にさらされるだけでなく、Webサイトの速度が低下する可能性があります。

サイトでブロックされた悪意のある攻撃の総数を示すモジュール

ただし、Jetpackはこれらの攻撃をサイトに到達する前に自動的にブロックするため、心配する必要はありません。

11.サイトでマルウェアをスキャンしていますか?

誰かがあなたのサイトにアクセスしてマルウェアを注入した場合はどうなりますか? そのマルウェアを削除して問題をできるだけ早く修正できるように、すぐに知りたいと思うでしょう。 しかし、ハッカーは卑劣です—彼らが侵入したことは必ずしもすぐには明らかではありません。

Jetpack Scanは、疑わしいアクティビティをすぐに警告します。スキャンはJetpackのサーバーで行われるため、サイトがダウンした場合でもサイトにアクセスできます。 また、既知の脅威の大部分に対するワンクリック修正も提供します。

12.スパムフィルターを設定していますか?

スパムコメントは単に迷惑なだけではありません。 また、専門家ではないように見え、マルウェアでいっぱいのサイトに顧客を誘導するリンクを含めることができます。 しかし、週に何百ものコメントを並べ替えるのは時間がかかり、イライラします。

WordPressサイトでブロックされたスパムを示すグラフ

そこでJetpackAnti-spamが登場します! コメントやフォームからスパムを自動的に取り除くので、あなたはそれを見る必要さえありません。 時間を節約し、サイトを保護し、より優れたユーザーエクスペリエンスを一度に提供します。

13.サイトのダウンタイムを監視していますか?

サイトがダウンした場合は、ハッキングの兆候である可能性があります。 そして、それが長くなるほど、あなたはより多くの売上を失います。 あなたはそれをできるだけ早く元に戻して再び実行したいです!

Jetpackは、5分ごとに世界中の場所からサイトをチェックする無料のダウンタイム監視を提供します。 サイトがダウンしている場合は、すぐに問題を修正できるように、すぐに通知が届きます。

14.定期的なオフサイトバックアップを設定していますか?

サイトに何かが起こった場合、あなたが持つことができる最善の保護は、迅速かつ簡単に復元できる完全バックアップです。 ホストがバックアップを提供している場合でも、自分でバックアップを作成することも重要です。 なんで? サーバーが危険にさらされると、そこに保存されているバックアップも危険にさらされる可能性があるためです。

WooCommerceストアで進行中のバックアップ

JetpackBackupは優れたソリューションです。 2つのプランオプションがあります。

  1. 毎日のバックアップ。サイトのコピーを1日1回保存します。
  2. リアルタイムバックアップ。ページを更新したり、新しい投稿を公開したり、販売したりするたびにサイトのコピーを保存します。 これらは、注文情報を失うことを心配する必要がないため、オンラインストアで特に役立ちます。

Jetpackは、バックアップファイルをサイトから完全に分離した複数の場所に保存します。 これは、サーバーが危険にさらされた場合、バックアップが危険にさらされないことを意味します。 また、ほとんどの場合、サイトが完全にダウンしている場合でもバックアップを復元できます。

最悪のシナリオで回復する方法

オンラインストアにマルウェアがあり、Jetpack Securityを使用している場合は、通知が届くので、すぐに問題に対処できます。 最初のステップは、サイトで発生したすべての完全なリストを確認できるアクティビティログを確認することです。 この情報を使用して、見慣れないログインや編集されたページなどの疑わしいアクティビティをチェックすることにより、ハッキングがいつ発生したかを判断できます。

WordPressサイトで起こったことすべてを示すアクティビティログ

次に、回復するための最速の方法は、Jetpackバックアップを使用することです。 数回クリックするだけで、最小限のダウンタイムでサイトを再開できます。 あなたがしなければならないのは、ハッキングの前からバックアップを選択し、それが復元されるのを待つことです。 うん、それだけです!

クリーンバージョンのストアが稼働し始めたら、Jetpack Scanを使用して、サイトにマルウェアが残っていないことを確認します。 Jetpackは既知の脅威の大部分を解決するため、何かが見つかった場合でも、トラブルシューティングについて心配する必要はほとんどありません。

最後に、すべてのパスワードを変更し、テーマ、プラグイン、コアファイルが最新であることを確認して、時間をかけてサイトを保護します。

何か助けがいるか? Jetpack Securityには、正しい方向を示すことができる経験豊富な技術チームによる優先サポートが含まれています。

WooCommerceストアを安全に保つ

時間をかけてWooCommerceストアを完全に保護することで、顧客が自信を持って買い物をすることができ、データや評判について心配する必要がなくなります。

そして、それを行うための最良の方法の1つは、Jetpack SecurityとWooCommerceを組み合わせることです—それは理にかなっています! これらは2つの確立された、尊敬されているWordPressプラグインであり、同期してWebサイトを保護し、機能を追加します。 一緒に、それらはより少ない可動部分、より少ない外部プラグイン、そしてビジネスオーナーとしてのあなたにとってより大きな安心を意味します。

よくある質問

WooCommerce Webサイトをハッキングできますか?

はい、他のサイトと同様に、WooCommerceストアはハッキングされる可能性があります。 ただし、WordPressとWooCommerceには、コンテンツと顧客データの保護に役立つ機能が含まれています。 また、適切なホストの選択、最新の状態の維持、最適なセキュリティプラグインのインストールなど、いくつかの基本的なセキュリティ対策を講じると、サイトが手元にあることを知って安心できます。

WooCommerce WebサイトにSSLが必要ですか?

SSL証明書は、サイトに送信された情報(クレジットカードのデータやアドレスなど)を暗号化し、悪意のあるユーザーからサイトを保護します。 ハッカーがその情報にアクセスすると、ビジネスが法的リスクにさらされ、評判が損なわれる可能性があります。 また、SSL証明書はあなたとあなたの顧客を保護するだけでなく、検索エンジンのランキングにとっても重要です。

SSL証明書はどのWebサイトにも推奨されますが、トランザクションを処理するために収集するデータの種類のため、オンラインストアではさらに重要です。

WooCommerce Webサイトに最適なSSL証明書はどれですか?

ほとんどの主要なホスティングプロバイダーは、プランにSSL証明書を含めていますが、他のプロバイダーは追加料金でSSL証明書を利用できるようにしています。 通常、これらは数回クリックするだけで簡単にインストールできます。

ただし、ホストがこれを提供していない場合は、Let'sEncryptをお勧めします。 これは信頼できるサービスであり、より安全なWebをサポートするための無料のSSL証明書を提供します。 注:ホスティングプランに含まれるSSL証明書の多くは、Let'sEncryptからのものです。

WooCommerceストアにSSL証明書をインストールする方法の詳細をご覧ください。

WooCommerce WebサイトでHTTPSを強制するにはどうすればよいですか?

ストアにSSL証明書を正常に追加すると、URLがhttp://example.comからhttps://example.comに変更されます。 「https」の「s」はSSLを表します。

ストアでHTTPSを強制すると、サイトの「http」バージョンを入力した訪問者は自動的に「https」バージョンにリダイレクトされます。 これにより、すべての買い物客に対してすべてが適切に暗号化されます。

.htaccessファイルに数行のコードを追加するか、WordPressプラグインを使用して、HTTPSを強制することができます。 Kinstaは、これを行うための優れたガイドを提供します。

WooCommerceはShopifyより安全ですか?

Shopifyは、セキュリティを処理するホスト型プラットフォームです。 これには利点があります—セキュリティ対策の実装について心配する必要はありません—それはまたあなたがあなた自身の保護を事実上制御できないことを意味します。

また、Shopifyがより安全であることを意味するものでもありません。 結局のところ、ハッカーとボットは差別しません。 彼らは、自分たちが入ることができるものを見つけるまで、サイトを次々と試します。 したがって、適切なセキュリティ対策を講じれば、どのプラットフォームでも、ストアは他のストアと同じように安全になり、多くの場合、より安全になります。

WordPressとWooCommerceはどちらも、成功を支援することに情熱を注ぐチームによって支えられていることに注意することも重要です。 彼らは常にプラットフォームを安全に保つために働いています、それがあなたのソフトウェアを定期的に更新することがとても重要である理由です。

WooCommerceのこのガイドでは、Shopifyとの比較について詳しく説明しています。