WordPress のセキュリティに関する推奨事項トップ 10

公開: 2023-02-15

WordPress サイトを保護するために実行できる上位 10 のステップは何ですか? Web サイトの安全性に最も大きな影響を与えるセキュリティ強化策は何ですか? セキュリティは常に WordPress コミュニティのホットなトピックであり、このような質問は正当な理由で重要です. WordPress はインターネットのほぼ半分を支えており、その主導的な地位により、ハッカーにとって優先度の高い標的となっています。

毎日、何千もの WordPress Web サイトがサイバー攻撃の犠牲になっています。 これは、WordPress サイトの総数のバケツの低下ですが、あなたに起こったら? それは巨大です。 一部のサイト所有者は、データの損失、データの盗難、および詐欺による長期的な結果に苦しんでいます. 不十分なセキュリティ ポリシーとリスク管理は、このような災害を引き起こします。 WordPress サイトの所有者として、強固なセキュリティ ポリシーを持つとはどういう意味ですか? 主なリスクは何ですか?また、それらをどのように管理できますか?

重要なのは、安全な基盤を構築し、その上に一貫したセキュリティ プラクティスを構築し続けることです。 このガイドでは、それを行い、WordPress サイトを今すぐ保護する方法を説明します。

このガイドでは、WordPress のセキュリティについて詳しく説明します。 WordPress を標的とした最も危険なサイバー攻撃について学びます。 それらの犠牲になるリスクを最小限に抑える方法を学びます。 WordPress のセキュリティに関する推奨事項のトップ 10 を紹介し、それらを実装する方法を説明します。 そうすれば、今日の最も巧妙で悪意のある攻撃から身を守ることができます。

WordPress は安全ですか? はい!

つまり、コアの WordPress プラットフォームは安全です。

20 年の歴史を持つ成熟したオープンソース ソフトウェア プロジェクトである WordPress は、最も実績があり、安全な Web サイト構築フレームワークの 1 つです。

開発者とセキュリティ専門家のコミュニティが WordPress のコアを維持しています。 さらに、コードベースは公開されています。 つまり、セキュリティ研究者が自由に分析できるということです。 一般の精査の下では、新しいリリースの初期テスト フェーズを通過したバグは、すぐに発見される傾向があります。 WordPress は定期的に更新を受け、WordPress コアで見つかった脆弱性に迅速にパッチを適用します。 この絶え間ない適応により、プラットフォームのセキュリティと品質が全体的に向上します。

WordPress サイトが安全でない理由は何ですか?

WordPress でサイトを構築する場合、セキュリティは最優先事項ではないかもしれません。 不注意なカスタマイズと不適切なセキュリティ慣行 (またはまったくない) を組み合わせると、WordPress エコシステム全体に重大なセキュリティ リスクが生じます。

更新を実行しないサイト所有者

WordPress 開発者による定期的な更新とサポートにより、WordPress は非常に安全です。 ただし、WordPress の人気は、プラグインやテーマによるカスタマイズの容易さに大きく関係しています。 これらのサードパーティのアドオンは、WordPress コアほどサポートおよびテストされていない場合があります。 また、新しいバージョンがロールアウトされたときにも更新する必要があります。 12 ~ 24 個のプラグインを備えた WordPress サイトの場合、毎週いくつかの新しい更新が利用可能になる場合があります。 既知の脆弱性にパッチを適用せず、定期的な更新を怠ると、WordPress Web サイトがハッキングされる可能性が大幅に高まります。

WordPress コアも、年間を通してアップデートを受け取ります。 通常、4 つのメジャー リリースがあります。 セキュリティとメンテナンスのリリースも、必要に応じて公開されます。 2023 年の時点で、WordPress サイトの約 60% が最新 (6.1) バージョンの WordPress コアを使用しています。 40% はそうではなく、それは彼らのセキュリティにとって良くありません。 2022 年 12 月の時点で、WordPress バージョン 3.7 ~ 4.0 はサポートされなくなり、セキュリティ パッチを受け取れない可能性があります。

PHP を更新しないサイト所有者とホスト

さらに心配な統計は、多くの WordPress サイトが 7.4 より前のバージョンの PHP を使用していることです。 PHP はホストのサーバー環境の一部です。 WordPress が動作する言語です。 2023 年の初めには、すべての WordPress サイトの 55% が PHP 7.4 でホストされていました。 これは、PHP 7 ブランチの最後のメジャー リリースです。 多くの WordPress ホストが PHP 8 を提供していますが、現時点で WordPress が公式にサポートしている PHP の最新バージョンです。適切に管理された WordPress ホストは PHP 7 のセキュリティを維持しますが、正式なサポートは終了しています。 WordPress プラグインは、徐々に PHP 8 を必要とします。 WordPress や PHP の開発に遅れをとっているサイトは、ハッキングされるリスクが高くなります。

WordPress のセキュリティが重要な理由

WordPress Web サイトのセキュリティは重要です。 一貫したセキュリティ プラクティスがない場合は、今が真剣に取り組み始めるのに最適な時期です。 サイバー攻撃の高度化と量の増加により、Web サイトのセキュリティは、特に WordPress Web サイトの所有者にとって非常に重要になっています。 攻撃者は、ハッキングする Web サイトを単純に選択するわけではありません。 現代のサイバー攻撃は高度に自動化されており、何千もの WordPress サイトが一度に標的にされる可能性があります。 WordPress の人気と、更新されていないサイトの数により、WordPress は大きくて簡単なターゲットになっています。

ブログ、ビジネス Web サイト、またはオンライン ストアを運営しているかどうかにかかわらず、顧客とそのデータの安全性は信頼されています。 データ侵害はビジネスを危険にさらし、評判を著しく損なう可能性があります。 不十分なセキュリティ慣行は、深刻な経済的損失につながる可能性があります。

最近の調査によると、ほとんどの中小企業 (SMB) はハッキングの対象ではないと考えていますが、それは間違いです。 攻撃は増加しており、特にそれらを標的にしています。 デジタル セキュリティ侵害を経験した中小企業は、平均して 10 万ドルを超えるコストを支払うことになります。

WordPress のセキュリティに関する推奨事項

最も一般的な 5 つの WordPress セキュリティ問題

2022 年に WordPress が直面した、内部サイトの脆弱性を悪用する最も一般的な脅威は、クロスサイト スクリプティング (XSS) とクロスサイト リクエスト フォージェリ (CSRF) 攻撃、および SQL インジェクション (SQLi) でした。 ハッキングされて感染したサイトに対する一般的なペイロードや被害には、バックドアや悪意のあるリダイレクトが含まれます。 最後に、最も一般的な攻撃には、ソフトウェアの脆弱性がまったく含まれていません。 これらは、ブルート フォース ログイン試行、パスワード スタッフィング、カード スキミング、カーディング、および分散型サービス拒否 (DDoS) 攻撃です。

これらの脅威を見て、WordPress サイトへの侵入を防ぐソリューションを掘り下げてみましょう.

パスワード スタッフィング、ブルート フォース ログイン、および DDOS 攻撃

ブルート フォース攻撃と DDoS 攻撃は、高度に分散されたボット主導のサイバー攻撃です。 彼らは、Web サイトをホストしているサーバーに Web リクエストで過負荷をかけることで、Web サイトに侵入したり、オフラインにしたりしようとします。 どちらのタイプの攻撃にも、攻撃者が制御するボットのネットワーク (ボットネットとも呼ばれます) が関与することがよくあります。

ブルート フォース ログイン攻撃 (パスワード推測攻撃とも呼ばれます) は、(通常はハッキングされた) コンピューターのネットワークを使用して、文字、数字、記号のランダムな組み合わせを何千回もテストし、標的のサイトの有効なログイン名とパスワードを見つけます。

パスワード スタッフィングは、別の場所で盗まれた実際のパスワードを使用してサイトへのアクセスを取得するブルート フォース攻撃の一種です。 あなたまたはあなたのサイトのユーザーが、侵害された別のサイトで同じログイン資格情報を使用した場合、そのサイトでパスワード スタッフィングが成功する可能性があります。

攻撃者が毎分数千回のログインを試みると、DDoS 攻撃の影響を受ける可能性があります。 DDoS はサーバーに非常に多くのリクエストを投げかけ、過負荷にします。 このようにサイトをオフラインにするためだけに DDoS 攻撃が実行されることがあります。

WordPress と WooCommerce に関して言えば、カーディング攻撃は、盗んだクレジット カードのアカウント番号を e コマース サイトに押し込んで不正な購入を行うブルート フォース攻撃の好例です。 カーディング攻撃も DDoS 効果をもたらす可能性があります。

クロスサイト スクリプティングとリクエスト フォージェリ

XSS および CSRF とも呼ばれるクロスサイト スクリプティングおよびクロスサイト リクエスト フォージェリは、訪問者のコンピューターを悪用する悪意のあるスクリプトを Web サイトで実行しようとするサイバー攻撃です。 これらの攻撃は、サイトを使用して、ユーザーに代わってサイトから無許可のリクエストを送信します。 目標は、サイトの訪問者をだまし、機密情報や金銭を盗むことです。 クロスサイト スクリプティングとリクエスト フォージェリは、WordPress Web サイトを標的とする最も危険なサイバー攻撃の 2 つと考えられています。

WordPress に影響を与えるクロスサイト スクリプティング攻撃の最も顕著な例の 1 つは、WooCommerce ストアに挿入された JavaScript ベースのカード スキマーです。 攻撃者の Web サイトから読み込まれたカードスキミング マルウェアが、訪問者のブラウザに挿入されます。 この悪意のあるコードは、購入が行われると、チェックアウト ページから重要な支払い情報を盗もうとします。

バックドアと Web シェル

バックドアと Web シェルは、関連する 2 つのタイプの悪意のあるソフトウェアであり、最初の侵害でペイロードとしてハッキングされた Web サイトにアップロードされることがよくあります。 どちらも、より深いレベルの損害、つまりマルウェア感染を可能にします。 どちらも、悪意のあるハッカーがサーバーや Web アプリを深く掘り下げたり、他のサイトで詐欺やさらなる攻撃を行ったりするために使用するツールです。

バックドアは、攻撃者が通常の認証方法をバイパスすることにより、重要な領域への不正アクセスを可能にするために Web サイトに挿入されるソフトウェアです。 Web シェルは、ハッカーが侵害された Web サイトにさらに悪意のあるペイロードをアップロードするために使用する悪意のあるファイル管理ユーティリティです。

バックドアは、多くの場合、Web サイトの所有者やウイルス対策ソフトウェアさえすり抜けて侵入する可能性があります。 バックドアがあると、必要なすべてのセキュリティ対策が講じられていたとしても、ハッカーは後で Web サイトに戻って再感染したり、さらに悪用したりすることができます。 同様に、Web シェルが削除されない場合、攻撃者は引き続き Web サイトを制御します。

悪意のあるリダイレクト

攻撃者の最も一般的な目標の 1 つは、訪問者をマルウェアに感染させることです。 この目標を達成するための最も一般的な方法の 1 つは、攻撃者が制御した信頼できる Web サイトから疑いを持たないユーザーをリダイレクトすることです。

ハッカーは、ハッキングされた Web サイトのどこにでも悪意のあるリダイレクトを配置できるため、それらを見つけて削除するのが難しくなる可能性があります。 多くの場合、Web サイトの所有者は、このエクスプロイトを可能にした脆弱性にパッチを適用した後、悪意のあるリダイレクトをクリアするために、WordPress を再インストールする (簡単な方法) か、バックアップから Web サイト全体を復元する必要があります (これはより困難な場合があります)。

SEO スパムの一種である製薬会社のハッキングは、WordPress Web サイトに影響を与える最も悪名高い攻撃の 1 つです。 攻撃者は、侵害された WordPress Web サイトに人気のある薬物のスパム キーワードを入力して検索エンジンで上位にランク付けし、訪問者を規制された医薬品を販売する詐欺ポータルにリダイレクトします。 ほとんどの場合、攻撃者は悪意のあるリダイレクトを Apache .htaccess fileに配置するか、この目的のために無害に見える .ico ファイルを作成します。

SQL インジェクション攻撃

SQL 挿入 (SQLi) とも呼ばれる SQL インジェクション攻撃は、攻撃者が悪意のある方法で Web サイトのデータベースを操作できるようにする不十分なユーザー入力の検証を悪用するデータ インジェクション攻撃の一種です。 SQL インジェクションとクロスサイト スクリプティングはどちらも、WordPress Web サイトの特定の領域に影響を与える可能性がある、いわゆる入力の脆弱性を利用します。 入力の脆弱性は、プラグインがユーザーから送信されたデータまたはコンテンツを受け入れても、悪意のあるコードのスクリーニングを行わない場合に発生します。 そのコードは、データベースでクエリを実行して、個人データを盗んだり、損傷したりする可能性があります。

WordPress のセキュリティに関する推奨事項トップ 10

WordPress Web サイトのセキュリティに関して言えば、攻撃面を減らすための注意深いアプローチが重要です。 最も一般的な WordPress の脆弱性とサイバー攻撃の種類を知ることは、Web サイトのセキュリティを大幅に改善するのに役立ちます。 次の 10 の最も重要な WordPress セキュリティの推奨事項は、WordPress サイトを保護するために必要なコア知識です。 これらの推奨事項のほとんどは比較的従うのが簡単で、有料のセキュリティ ソリューションは必要ありません。

定期的な更新を実行し、検証されていないソースからソフトウェアをインストールしないでください

最も重要な WordPress セキュリティの推奨事項の 1 つは、定期的なコア、テーマ、およびプラグインの更新を実行することです。 インストールするすべてのソフトウェアが、検証済みの信頼できるソースからのものであることを確認してください。 WordPress は PHP で記述されているため、最新のメジャー リリースでサポートされている PHP バージョンを使用してください。 現時点では、PHP 8 のベータ版のみをサポートする PHP 7.4 です。

デフォルトの WordPress 機能がビジネス オーナーのすべてのニーズを満たすことはめったにないため、プラグインやテーマをさらにインストールすることでプラットフォームの機能を拡張します。 サードパーティのテーマとプラグインは攻撃対象領域を増やし、WordPress サイトをより多くのセキュリティ脅威に対して脆弱にします.

主要な問題は、有料のプラグインやテーマの非公式の海賊版を使用することで発生する可能性があります. これらは常に非常に疑わしい情報源から来ています。 古いバージョンの WordPress を使用し、脆弱性にパッチを当てていないことも非常に危険です。

iThemes Security Pro のようなセキュリティ プラグインを使用する

Web サイトを安全に保つ最善の方法は、コア、テーマ、およびプラグインの自動更新を有効にすることです。 iThemes Security Pro は、利用可能なすべてのソフトウェア アップデートを簡単に追跡し、新しいバージョンの WordPress コア、テーマ、プラグインをインストールできます。 複数の WordPress Web サイトを管理している場合、iThemes Sync Pro を使用すると、単一のインターフェースからすべての管理タスクを実行し、稼働時間の監視と SEO 指標の追跡を利用できます。

Nexcess が提供するマネージド クラウド WordPress ホスティング プランなど、ほとんどの WordPress ホスティング ソリューションは、すべてのソフトウェア アップデートを処理し、プラグインの潜在的な競合やその他の問題を事前に追跡するのに役立つ Visual Comparison などの組み込みツールも付属しています。更新の実行。 Nexcess は、プレミアム WordPress ソリューションのカタログも提供します。 Kadence WP を組み込みのブロック テーマとしてカスタム ブロックを使用して提供し、セキュリティを確保しながら夢の Web サイトを設計するのに役立ちます。

強力なバックアップ戦略を作成する

WordPress のセキュリティには、強力なバックアップ戦略が不可欠です。 WordPress サイトの定期的なバックアップを実行することで、侵害、更新の失敗、または発生する可能性のあるその他の問題が発生した場合に簡単に復旧できるようになります。

WordPress データベース、Web サイト ファイル、およびその他の関連コンテンツを含む、少なくとも 10 日または 2 週間分の完全な WordPress バックアップを作成することをお勧めします。 日単位および時間単位のバックアップに加えて、週単位および月単位のバックアップを保持することは非常に有益です。

データ冗長性の原則に従ってください。 WordPress Web サイトの作業用コピーを複数の場所に保管します。 これにより、1 つのバックアップ アーカイブに何か問題が発生した場合に情報を回復できます。

cPanel や Acronis のバックアップなど、ホスティング プロバイダーが提供するバックアップ ソリューションを使用して、毎日、毎週、毎月のサイクルで Web サイトのコピーを保存できます。 WordPress バックアップ プラグインを使用すると、より柔軟なバックアップ スケジュールを作成できます。 BackupBuddy は、WordPress 用の世界クラスのデータ保護および復元プラグインです。 強力なバックアップ戦略を作成し、必要なときにワンクリックで簡単に復元できます。

定期的な脆弱性とマルウェアのスキャンを実行する

脆弱性スキャンとファイル整合性監視は、WordPress Web サイトのすべての重要な領域を保護するために使用できる最高のツールの 1 つです。 組み込みの WordPress サイトヘルス インターフェイスは、最初に使用するのに最適なツールです。 Web サイトに合わせた WordPress セキュリティの推奨事項がさらに必要な場合は、iThemes Pro サイト スキャンが WordPress Web サイトのセキュリティに関する包括的なレポートを提供します。

予防は重要ですが、攻撃の早期検出と軽減も重要です。 ほとんどのマルウェアの主な目的は、できるだけ長く検出されないようにすることです。 所有者が気付くまで、WordPress ウェブサイトが何週間もハッキングされることは珍しくありません。 iThemes Security Pro は高度なファイル変更監視機能を提供し、WordPress Web サイト ファイル内で疑わしいアクティビティが発生するといつでも警告を発します。

定期的なマルウェア スキャンを実行すると、マルウェア感染を早期に特定するのに役立ちます。 これは、取り返しのつかない損害が発生する前に、悪者をブロックし、WordPress Web サイトをクリーンアップするための鍵です。 優れた無料のマルウェア スキャナーを探しているなら、CloudLinux の ImunifyAV は非常に信頼性が高く、使いやすいことが証明されています。

ファイルのアクセス許可を安全に保ち、wp-config.php を保護する

WordPress ファイルのアクセス許可は、WordPress Web サイトの全体的なセキュリティに大きく影響する可能性があります。 特に独自のサーバーを維持し、その上で複数のサイトを実行している場合、不適切な権限設定はシステム全体を重大なリスクにさらす可能性があります。 WordPressファイルのアクセス許可を安全に設定することは絶対に不可欠です.

WordPress Web サイトで最も脆弱な領域の 1 つは、メインの構成ファイルであるwp-config.phpです。 WordPress データベース接続情報を含む重要なデータがそこに保存されているため、 wp-config.php 、Web サイトの制御を奪おうとする攻撃の優先度の高いターゲットになります。

今すぐ実装できる WordPress セキュリティの重要な推奨事項の 1 つは、Web サイトのwp-config.phpファイルのアクセス許可を少なくとも 640 に設定することです。ツールはあなたが見つけるのに役立ちます。

クロスアカウント侵害は、安全でないファイル権限と不十分なユーザー分離によって促進されます

ハッカーは、危険なクロスアカウント攻撃を実行するために、安全でないファイル権限と組み合わせて、不十分なユーザー分離を積極的に悪用します。 これらは、「symlink ハッキング」または「Anonymous Fox」WordPress ハッキングとして知られています。

攻撃者は、ハッキングされた 1 つの Web サイトをエントリ ポイントとして使用することで、他の Web サイトの構成ファイル ( wp-config.phpなど) へのクロスアカウント シンボリック リンクを作成し、機密情報を公開して、特定のサーバー上のすべての Web サイトを制御することができます。 このハッキングは、同じサーバー上の他のユーザーがwp-config.phpファイルを読み取ることができる場合にのみ可能です。

WordPress のセキュリティに関する推奨事項の中には、 wp-config.phpを移動することを提案しているものがありますが、これですべてのリスクが解決されるわけではありません。 ファイルのアクセス許可を安全に保ち、すべての Web サイトが同じサーバー上で互いに分離されていることを確認してください。 これを実現する最善の方法の 1 つは、CloudLinux オペレーティング システムによって提供される CageFS を使用することです。

ウェブ アプリケーション ファイアウォールの構成

もう 1 つの重要な WordPress セキュリティの推奨事項は、Web アプリケーション ファイアウォールを使用することです。さらに良いのは、ホストベースおよびクラウドベースの WAF などの複数の防御システムを使用することです。 Web アプリケーション ファイアウォールは、既知のすべてのサイバー攻撃に対する防御の最前線として機能し、常に更新されるルールセットに基づいて悪意のあるトラフィックを除外します。

WAF は、定義したルールによって設定された多数のパターンに基づいて、すべての Web トラフィックをスキャンして疑わしいリクエストを探します。 これにより、DDoS 攻撃やブルート フォース攻撃、さらに SQLi や XSS に対する高レベルの保護が保証されます。

Cloudflare WAF などのクラウドベースの WAF は、オリジン サーバーの負荷を軽減しながら、さまざまな攻撃を軽減できます。 WordPress ウェブサイトをホストしているサーバーに向かうリクエストは、ModSecurity などのホストベースの WAF による別のチェックを受けます。 どちらのソリューションも完全に無料で、WordPress セキュリティの業界標準と見なされています.

HTTP セキュリティ ヘッダーの設定

HTTP セキュリティ応答ヘッダーは、WordPress Web サイトのセキュリティを強化するために必要な最も価値のあるツールの 1 つです。 Web アプリケーション ファイアウォールと同様に、HTTP 応答ヘッダーは、Web サイトの重要な領域へのアクセスをブロックし、顧客とそのデータを危険にさらす可能性のあるアクティビティを防ぐことができます。

WordPress の最も重要な HTTP セキュリティ ヘッダーは次のとおりです。

  • コンテンツ セキュリティ ポリシー (CSP)。 クロスサイト スクリプティングやクリックジャッキング、および WordPress Web サイトを標的とするその他の危険なサイバー攻撃を緩和するのに役立つ堅牢なソリューションです。 CSP を使用すると、Web サイトからコンテンツをロードできるリソースのリストと、Web サイトがコンテンツをロードできるリソースのリストを定義するのに役立ちます。
  • セット Cookie 。 Set-Cookie 応答ヘッダーは、サーバーからユーザーのブラウザーに Cookie を送信する方法を制御します。 SameSite 属性を構成すると、WordPress Web サイトをクロスサイト リクエスト フォージェリやクリックジャッキングから保護するのに役立ちます。
  • 厳密なトランスポート セキュリティ (HSTS)。 HSTS 応答ヘッダーにより、WordPress Web サイトに HTTPS 経由でのみアクセスできるようになり、サーバーとブラウザー間のエンドツーエンドの暗号化が可能になります。

ほとんどの場合、ローカルの.htaccessファイルで WordPress ウェブサイトの HTTP セキュリティ ヘッダーを設定できます。 ほとんどの WordPress ホスティング プロバイダーは HTTP 応答ヘッダーを設定するため、ホストのサポート チームに相談して、ローカルでルールを再定義する必要があるかどうかを確認する必要があることに注意してください。

アップロード フォルダーでの PHP の実行を無効にし、ディレクトリのインデックス作成をオフにする

WordPress に関して言えば、ハッカーは、通常は実行可能コードを格納しないフォルダーにマルウェアを隠す傾向があります。 そのようなフォルダーの 1 つは、 wp-contentの uploads ディレクトリです。 アップロード フォルダーで PHP の実行を無効にすることをお勧めします。 これにより、マルウェア感染の範囲を限定し、マルウェアの修正を高速化できます。

Apache HTTP を使用できる場合は、wp-content/uploads に.htaccessファイルを作成し、以下のルールを追加します。 これにより、PHP スクリプトがアップロード フォルダーから読み込まれなくなります。 これは、攻撃者が悪意のあるコードを配置する一般的な場所です。

PHP の実行をブロックするだけでなく、Web サイトのディレクトリ インデックス作成を無効にすることも、WordPress のセキュリティに関する推奨事項のリストの重要な項目です。 ディレクトリのインデックス作成が無効になっていない場合、リクエストされたディレクトリにindex.phpまたはindex.htmlファイルがない場合、ブラウザはそのディレクトリに存在するファイルのリストを読み込みます。

攻撃者は、この機能を広く悪用します。特に、このガイドで前述したクロスアカウント シンボリック リンク攻撃に関してはそうです。 .htaccessで次のルールを使用して、ディレクトリのインデックス作成をグローバルまたはディレクトリごとにブロックできます。

WordPress データベースのプレフィックスとデフォルトの管理者ユーザー名を変更する

デフォルトのインストール プロセスを変更しない限り、WordPress はデータベースに標準のwp-プレフィックスを自動的に使用し、デフォルトのadminユーザーを作成します。 これは一般に知られているため、ブルート フォース攻撃やデータ インジェクション攻撃はそれを前提としています。

デフォルトの管理者ユーザーを削除し、WordPress データベースのプレフィックスをwp2789_のようなものに変更します。 phpMyAdmin を使用するか、MySQL コマンド ライン インターフェースを使用して、すべてのデータベース テーブルの名前を変更することで、これを行うことができます。 その後、必ずwp-config.phpのデータベース プレフィックスを更新してください。

XMLRPC および WordPress ログインへのアクセスを制限する

ブルート フォース攻撃と DDoS 攻撃に関して言えば、 xmlrpc.phpと WordPress ログイン ページは、攻撃者が最も標的とする WordPress Web サイトの 2 つの領域です。 これら 2 つのインターフェイスへのアクセスが制限されていない場合、WordPress サイトのパフォーマンスが低下し、頻繁にダウンタイムが発生する可能性があります。 さらに、最終的にハッカーが管理者アカウントをクラックして、Web サイトに大混乱をもたらす可能性は十分にあります。

XMLRPC は、WordPress が他のシステムと通信できるようにするアプリケーション プログラミング インターフェース (API) であり、プラットフォームの開始以来、WordPress の一部となっています。 ただし、WordPress は REST API に大きく依存しているため、XMLRPC はめったに使用されず、通常、悪影響を与えることなく完全に無効にすることができます。 この目的のために、以下のルールを Web サイトの.htaccess fileに追加するか、単純に xmlrpc.php ファイルのアクセス許可をゼロにすることができます。

WordPress 管理パネルへのアクセスを制限することは、WordPress のセキュリティに関する重要な推奨事項の 1 つです。 WordPress ログインのアドレスを変更すると発見がはるかに難しくなりますが、ログイン ページのパスワードを保護するか、アクセスできる IP アドレスの範囲を限定することで、攻撃者が WordPress バックエンドに不正にアクセスするリスクを効果的に排除できます。

強力なパスワードを使用し、多要素認証を構成する

強力なパスワードを使用することの重要性は、いくら強調してもしすぎることはありません。 ただし、一部の WordPress Web サイト所有者は、WordPress 管理パネルが唯一の攻撃ベクトルではないことを忘れがちです。 攻撃者が Web ホスティングのコントロール パネル アカウントにアクセスした結果、多数の WordPress サイトがハッキングされます。

多くのホストでは、WordPress Web サイトのアカウント名は、ホスト サーバーで作成された実際のユーザーに対応しています。 推測しやすい、または一般に公開されている。 クレデンシャル ペアをパスワードと組み合わせると、SSH および SFTP 経由でサイトに接続できる場合があります。 これは、ホスティング コントロール パネルにアクセスする方法です。 このアカウントが危険にさらされると、攻撃者はサイトだけでなく、ホスティング アカウント全体、電子メール、さらにはドメイン名や DNS レコードにまで完全にアクセスできるようになる可能性があります。

WordPress 管理者ユーザーと Web サイトのホスティング コントロール パネル アカウントの両方に、強力なパスワード ポリシーと多要素認証を採用します。 可能であれば、SSH のパスワード認証を完全に無効にして、鍵ベースの認証方法を優先してください。

iThemes Security Pro を使用すると、生体認証ログインのパスキーを使用して、WordPress 管理パネルにパスワードなしの認証を設定できます。 これは、ホスティング アカウントに設定された多要素認証と組み合わせることで、ブルート フォース攻撃に対する完全な保護を保証し、ログイン資格情報が侵害された場合でも Web サイトを保護します。

iThemes Security Pro で最適な WordPress セキュリティの推奨事項を実装する

世界で最も人気のあるコンテンツ管理システムである WordPress は、世界中のハッカーにとって優先度の高いターゲットです。 攻撃者は、データ侵害を悪用してマルウェアを配布するために、データベース インジェクション、クロスサイト スクリプティング、クロスサイト リクエスト フォージェリなど、さまざまな高度な手法を採用しています。 WordPress サイトがこれらの一般的なセキュリティの脅威から保護されていない限り、簡単な標的になる可能性があります.

無数の WordPress セキュリティに関する推奨事項が出回っているため、特に各サイバー攻撃を軽減するための複数の戦略がある場合、Web サイトを安全に保つ方法を理解するのは難しい場合があります. WordPress のセキュリティをよりアクセスしやすくすることが、iThemes が目指していることです。 iThemes Security Pro と BackupBuddy をあなたのパーソナル セキュリティ アシスタントにしましょう! 現在最も危険なサイバー攻撃から WordPress サイトを保護する 50 以上の方法を提供しています。