WordPressのセキュリティ：2022年にWordPressのウェブサイトを保護するための最良の方法

WordPressのセキュリティは、すべてのWebサイト所有者にとって大きな懸念事項です。 Googleは毎日10,000以上のウェブサイトをマルウェアにブラックリストに登録し、毎週50,000をフィッシングにブラックリストに登録しています。

Webサイトのセキュリティについて心配する場合は、WordPressのセキュリティのベストプラクティスに従う必要があります。

この投稿では、ハッカーやマルウェアからWebサイトを保護するためのWordPressのセキュリティに関する最善の方法をすべて紹介します。

WordPressコアソフトウェアは非常に安全であり、何百人もの開発者が定期的に監査していますが、サイトを安全に保つためにできることはまだたくさんあります。

WordPressのセキュリティを向上させるために、Webサイトの所有者としていくつかのことを行うことができます。

WordPress Webサイトをセキュリティの脆弱性から保護するために、実行可能な手順がいくつかあります。

始めましょう。

WordPress Webサイトのセキュリティが重要なのはなぜですか？

ハッキングされたWordPressWebサイトは、ビジネスの収益と評判を著しく損なう可能性があります。 ハッカーは、ユーザー情報のパスワードを盗んだり、有害なソフトウェアをインストールしたり、ユーザーをマルウェアに感染させたりする可能性があります。

最悪の場合、Webサイトへのアクセスを回復するために、ハッカーにランサムウェアを支払うことを余儀なくされる可能性があります。

Googleは、2016年3月に、訪問したWebサイトにマルウェアが含まれている可能性があることや情報を盗む可能性があることを5,000万人以上のインターネット訪問者に通知したと発表しました。

さらに、Googleは毎日、マルウェア用に約10,000以上のウェブサイト、フィッシング用に約50,000以上のウェブサイトをブラックリストに登録しています。

ビジネスのウェブサイトを運営している場合は、WordPressのセキュリティに特別な注意を払う必要があります。

最も一般的なWordPressのセキュリティ問題

最も一般的なWordPressのセキュリティの脆弱性は、サイトがハッキングされる前または直後に発生します。 ハッカーは、フロントエンド（WordPressダッシュボード）またはサーバー側（スクリプトまたは悪意のあるファイルの挿入）のいずれかを介して、WordPressサイトへの不正な管理者アクセスを取得することを目的としています。

以下は、知っておくべきWordPressのセキュリティ問題の上位5つです。

1.ブルートフォース攻撃

WordPressのブルートフォース攻撃とは、組み合わせが成功するまで、ユーザー名とパスワードのさまざまな組み合わせを繰り返し入力するプロセスを指します。 ブルートフォース攻撃のアプローチは、Webサイトにアクセスする最も簡単な方法であるWordPressログインページを利用します。

WordPressはデフォルトでログイン試行を制限しません。 したがって、ボットはブルートフォース攻撃方式を使用してWordPressログインページを攻撃できます。 ブルートフォース攻撃が失敗した場合でも、システムに過負荷がかかり、Webサイトの速度が低下するため、サーバーに大混乱が発生する可能性があります。

2.クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS）攻撃は、2021年に明らかになったすべてのWordPressセキュリティ脆弱性の54.4％を占めています。WordPressプラグインで発見された最も一般的な脆弱性は、クロスサイトスクリプティングです。

クロスサイトスクリプティングの基本的な方法は次のとおりです。攻撃者は、被害者に脆弱なjavascriptスクリプトをWebページにロードするように説得する方法を見つけます。 これらのスクリプトは、訪問者の知らないうちに読み込まれ、ブラウザから情報を盗むために悪用されます。 Webサイトにあると思われるハイジャックされたフォームは、クロスサイトスクリプティング攻撃の例です。 ユーザーがフォームに記入すると、XSSが情報を取得します。

3.ファイルインクルードエクスプロイト

ブルートフォース攻撃の後、攻撃者によって悪用される最も一般的なセキュリティの脆弱性は、WordPressWebサイトのPHPコードの弱点です。

ファイルインクルードの脆弱性は、脆弱なコードを使用して外部ファイルをロードし、攻撃者がWebサイトにアクセスできるようにする場合に発生します。 ファイルインクルード攻撃は、攻撃者がWordPressWebサイトのwp-config.phpファイルにアクセスするための最も一般的な方法の1つです。これは、WordPressインストールで最も重要なファイルの1つです。

4.SQLインジェクション

MySQLデータベースは、WordPressWebサイトの実行に使用されます。 SQLインジェクションは、攻撃者がWordPressデータベースとWebサイト上のすべてのデータへのアクセスを取得したときに発生します。

攻撃者はSQLインジェクションを介して新しい管理者レベルのユーザーアカウントを確立できる可能性があり、それを使用してログインし、WordPressWebサイトを完全に制御することができます。 SQLインジェクションを使用して、悪意のあるWebサイトやスパムWebサイトへのリンクなどの新しいデータをデータベースに入力することもできます。

5.マルウェア

マルウェアは、機密情報を収集するためにWebサイトへの不正アクセスを取得するために使用されるコードです。 ハッキングされたWordPressサイトは通常、マルウェアがWebサイトのファイルに入れられたことを示します。 したがって、サイトにマルウェアが疑われる場合は、最近変更されたファイルを確認してください。

インターネット上にはさまざまな種類のマルウェア攻撃がありますが、WordPressはそれらすべてに対して脆弱ではありません。 以下は、最も一般的な4つのWordPressマルウェア感染です。

• バックドア
• ドライブバイダウンロード
• 製薬会社のハッキング
• 悪意のあるリダイレクト

悪意のあるファイルを手動でアンインストールするか、新しいバージョンのWordPressをインストールするか、以前の感染していないバックアップからWordPressサイトを復元することで、これらの各形式のマルウェアを簡単に識別して削除できます。

WordPressセキュリティガイド2022

WordPress Webサイトの安全性を確保するには、1つまたは2つのWordPressセキュリティ対策を実装するだけでは不十分です。 2022年にWordPressウェブサイトを保護するためのいくつかの最良の方法があります。

1.WordPressのバージョンを定期的に更新します

WordPressは、速度とセキュリティを強化するために定期的にソフトウェアアップデートを提供しています。 これらのアップグレードは、サイトをサイバー攻撃から保護するのにも役立ちます。

WordPressのセキュリティを強化する最も簡単な方法の1つは、WordPressのバージョンを更新することです。 ただし、すべてのWordPressサイトの半数以上が古いバージョンのソフトウェアを使用しているため、脆弱性が高くなっています。

最新のWordPressバージョンを使用しているかどうかを確認するには、WordPress管理領域の左側のメニューパネルで[ダッシュボード]->[更新]に移動します。 バージョンが古くなっていることが示されている場合は、できるだけ早く更新することをお勧めします。

2.強力なパスワードを使用する

ユーザーが犯す最も基本的な間違いの1つは、 「admin」、 「administrator」 、 「test」など、推測しやすいユーザー名を使用することです。 その結果、サイトはブルートフォース攻撃に対してより脆弱になります。 さらに、攻撃者はこの方法を使用して、弱いパスワードを持つWordPressサイトを標的にします。

そのため、ユーザー名とパスワードをより複雑で一意にすることをお勧めします。

強力なパスワードの作成についてサポートが必要な場合は、LastPassや1Passwordなどのオンラインツールを使用してください。 彼らのパスワード管理サービスは、強力なパスワードを安全に保管するためにも使用できます。 このように覚えておく必要はありません。

サインインする前にネットワークをチェックして、サイトのセキュリティを確保することも重要です。 ハッカーが運営するネットワークであるHotspotHoneypotに誤ってリンクしていると、ログイン情報がオペレーターに公開される危険性があります。

学校図書館のWiFiなどの公共ネットワークでさえ、見た目ほど安全ではない可能性があります。 ハッカーは接続を傍受し、ログインパスワードなどの暗号化されていないデータを盗む可能性があります。

そのため、パブリックネットワークに接続する場合は、常にVPNを使用することをお勧めします。 接続を暗号化するため、データの傍受がより困難になり、オンラインアクティビティが保護されます。

3.安全なWordPressホスティングに投資する

WordPressホスティングサービスは、WordPressサイトのセキュリティの最も重要な側面です。 BluehostやSitegroundなどの優れた共有ホスティングサービスは、一般的な脅威からサーバーを保護するために、さらに上を行きます。

優れたウェブホスティングプロバイダーがバックグラウンドでウェブサイトとデータを保護する方法は次のとおりです。

• 彼らは疑わしい活動がないかネットワークを監視しています。
• すべての優れたホスティング会社は、大規模なDDOS攻撃を防ぐためのシステムを導入しています。
• ハッカーが古いバージョンの既知のセキュリティの弱点を悪用するのを防ぐために、ハッカーはサーバーソフトウェア、PHPバージョン、およびハードウェアを最新の状態に維持します。
• 彼らは、展開する準備ができている災害復旧と事故計画を持っており、大きな事故の場合にあなたのデータを保護することができます。

共有ホスティングプランを選択すると、サーバーリソースを他の多くの人と共有することになります。 これにより、ハッカーが近くのサイトを使用してWebサイトを攻撃したときに発生する、クロスサイト汚染のリスクが高まります。

マネージドWordPressホスティングプロバイダーを使用すると、Webサイトの安全性が高まります。 マネージドWordPressホスティング会社には、自動バックアップ、自動WordPressアップグレード、およびWebサイトを保護するためのより強化されたセキュリティ設定が含まれます。

4.WordPressを定期的にバックアップする

WordPress攻撃の場合、バックアップは安全の最前線です。

バックアップを使用すると、問題が発生した場合にWordPressサイトを簡単に復元できます。

使用できる無料およびプレミアムのWordPressバックアッププラグインがたくさんあります。 バックアップについて覚えておくべき最も重要なことは、フルサイトのバックアップを（ホスティングアカウントではなく）リモートの場所に定期的に保存する必要があるということです。

Amazon、Dropboxなどのクラウドプロバイダー、またはStashなどのプライベートクラウドを使用して保存することをお勧めします。

Webサイトを更新する頻度に応じて、理想的な設定は1日1回またはリアルタイムバックアップのいずれかです。

ありがたいことに、UpdraftPlusのようなプラグインはこれを簡単にします。 また、WordPressWebサイトに必須のプラグインです。 UpdraftPlusは信頼性が高く、最も重要なのは、使いやすいことです（コーディングは必要ありません）。

5.WordPressセキュリティプラグインを使用する

WordPressサイトへのマルウェア攻撃は非常に一般的です。 Webサイトのソースコードを手動で監視しないと、コードが感染していることに気付かない可能性があります。

残念ながら、これを理解するためのコーディング方法を知る必要があります。 ただし、より適切で簡単な方法があります。 WordPressセキュリティプラグインは、Webサイトから有害なコードやウイルスを検出して削除することを目的としています。

最良の部分は、それらが24時間動作し、何もする必要がないことです。 SucuriとWordfenceは、最も人気のあるWordPressセキュリティプラグインの2つです。

6. Webアプリケーションファイアウォール（WAF）を有効にする

サイトを保護し、WordPressのセキュリティについて安全に感じるための最良の方法は、Webアプリケーションファイアウォール（WAF）を使用することです。

Webサイトのファイアウォールは、Webサイトに到達する前にすべての有害なトラフィックをブロックします。

DNSレベルのWebサイトファイアウォール–これらのファイアウォールは、クラウドプロキシサーバーを介してWebサイトのトラフィックをフィルタリングします。 結果として、彼らはあなたのウェブサーバーに本物のトラフィックしか届けることができません。

アプリケーションレベルのファイアウォール–これらのファイアウォールプラグインは、トラフィックがサーバーに到達すると、ほとんどのWordPressスクリプトが読み込まれる前にトラフィックを検査します。 サーバーの負荷を最小限に抑えるという点では、このソリューションはDNSレベルのファイアウォールほど効果的ではありません。

このために、WordPressに最適なWeb​​アプリケーションファイアウォールとしてSucuriを使用できます。

Sucuriのファイアウォールの最も優れた機能は、マルウェアのクリーンアップとブラックリストの削除の保証が含まれていることです。 基本的に、彼らがそれを監視している間にあなたのウェブサイトがハッキングされた場合、彼らは彼らがそれを修正することを保証します。

7.SSL証明書をインストールします

SSLは、Webサイトとその訪問者の間で送信されるデータを暗号化するデータ転送プロトコルであり、ハッカーが機密情報を盗むことを困難にします。

SSL証明書は、Webサイトの検索エンジン最適化（SEO）も改善し、より多くの訪問者を引き付けるのに役立ちます。

SSL証明書を使用するWebサイトは、HTTPではなくHTTPSを使用するため、簡単に識別できます。

すべてのWordPressWebサイトでSSLの使用を開始することが、これまでになく簡単になりました。 現在、多くのホスティング会社がWordPressWebサイトに無料のSSL証明書を提供しています。

8.デフォルトの「admin」ユーザー名を変更します

WordPressのデフォルトのユーザー名はadminであり、多くのWebサイト所有者はわざわざ変更することはありません。

その結果、ハッカーがWebサイトに対して攻撃を開始すると、最初に試みるユーザー名はadminです。 その名前がわかっている場合、彼らが今しなければならないのは、パスワードだけを推測することだけです。

そのため、WordPressサイトでそのユーザー名を使用することは避けてください。

9.ログイン試行を制限する

WordPressを使用すると、ユーザーはサイトへのログインを何度でも試すことができます。 ただし、これは、ハッカーが正しいパスワードの組み合わせに到達するまで複数のパスワードの組み合わせを試すことで、システムにブルートフォース攻撃を仕掛ける良い兆候です。

Webサイトへのこのような攻撃を回避するには、ログイン試行の失敗に制限を設定することが重要です。 失敗した試行を制限することは、Webサイトでの疑わしいアクティビティの検出にも役立ちます。

ほとんどのユーザーは、1回の試行または数回の失敗した試行を必要とします。 したがって、試行制限に達した疑わしいIPアドレスは回避する必要があります。

プラグインを使用することは、ログインの試行を制限し、それによってWordPressのセキュリティを強化する1つの方法です。 これには、LoginlockDownWordPressプラグインを使用できます。

10.ファイル編集を無効にする

WordPressには、WordPress管理エリアから直接テーマとプラグインファイルを変更できる組み込みのコードエディターがあります。 この機能は、悪意のあるユーザーにとってセキュリティ上の懸念となる可能性があるため、オフにすることをお勧めします。

これを行うには、次のコードをwp-config.phpファイルに挿入します。 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

11.2要素認証を有効にする

2要素認証方式では、ユーザーは2段階認証プロセスを使用してログインする必要があります。

最初のステップはユーザー名とパスワードを入力することであり、2番目のステップは別のデバイスまたはアプリを使用して認証することです。

Google、Facebook、Twitterなどのほとんどのトップオンラインプラットフォームでは、アカウントでアクティブ化できます。 同じ機能をWordPressサイトに簡単に含めることができます。

これには、GoogleAuthenticatorまたはTwoFactorAuthenticationWordPressプラグインを使用できます。

12.デフォルトのWordPressデータベースプレフィックスを変更します

WordPressデータベースには、Webサイトが機能するために必要なすべての情報が含まれており、保持されています。

その結果、ハッカーは通常、SQLインジェクション攻撃を使用してデータベースを標的にします。 この方法では、マルウェアがデータベースに挿入され、攻撃者がWordPressのセキュリティを回避してデー​​タベースのコンテンツを取得できるようになります。

SQLインジェクションは、すべてのサイバー攻撃の約半分で使用されており、最も重大な脅威の1つとなっています。

多くのユーザーがデフォルトのデータベースプレフィックスwp_を変更できないため、ハッカーはこのハッキングを実行します。 そのため、変更することをお勧めします。

13.ディレクトリのインデックス作成とブラウジングを無効にする

ハッカーはディレクトリブラウジングを使用して、既知の脆弱性を持つファイルがあるかどうかを確認し、これらのファイルを悪用してアクセスを取得できます。

ユーザーはディレクトリブラウジングを使用して、ファイルを確認したり、画像をコピーしたり、ディレクトリ構造を調べたり、その他の情報を取得したりすることもできます。

そのため、ディレクトリのインデックス作成と参照を無効にすることを強くお勧めします。

FTPまたはcPanelのファイルマネージャーを介してWebサイトに接続する必要があります。 次に、Webサイトのルートディレクトリで、 .htaccessファイルを探します。

次に、 .htaccessファイルの下部に次の行を追加します。

Options -Indexes

.htaccessファイルを保存してサイトにアップロードすることを忘れないでください。

14.XML-RPCを無効にします

XML-RPCは、WordPressサイトとWebおよびモバイルアプリケーションとの接続に役立つため、WordPress3.5ではデフォルトで有効になっています。

XML-RPCはその強力な性質により、ブルートフォース攻撃を大幅に増加させる可能性があります。

たとえば、ハッカーがWebサイトで100の異なるパスワードを試したい場合、100回の異なるログイン試行を行う必要があり、ログインロックダウンプラグインがそれをキャッチして拒否します。

ただし、XML-RPCを使用すると、ハッカーはsystem.multicall関数を使用して、わずか20または50の要求で数千の異なるパスワードを試すことができます。

15.アイドル状態のユーザーを自動的にログアウトします

多くの人がウェブサイトからログアウトするのを忘れて、彼らのセッションは実行され続けます。

その結果、同じデバイスを使用する他の誰かが自分のユーザーアカウントにアクセスし、個人情報を悪用する可能性があります。 これは特に、インターネットカフェや図書館などで公共のコンピューターを使用している人に適しています。

したがって、非アクティブなユーザーがすぐにログアウトするようにWordPressWebサイトを設定することが重要です。

ほとんどの銀行のWebサイトは、この戦略を使用して、不要なユーザーがサイトにアクセスするのを防ぎ、クライアントの情報を安全に保ちます。

非アクティブなユーザーアカウントを自動的にログアウトする最も簡単な方法の1つは、非アクティブなログアウトなどのWordPressセキュリティプラグインを使用することです。 非アクティブなユーザーを終了することに加えて、このプラグインは、アイドル状態のユーザーにWebサイトセッションが間もなく期限切れになることを通知するカスタムメッセージを送信する場合があります。

16.WordPressログインページのURLを変更します

WordPress Webサイトをブルートフォース攻撃から保護するための一歩を踏み出すには、ログインページのURLを変更することを検討してください。

すべてのWordPressサイトのデフォルトのログインURLはyourdomain.com/wp-adminです。 デフォルトのログインURLを使用すると、ハッカーはログインページを簡単に標的にすることができます。

WPSHideLoginやChangewp-adminLoginなどのプラグインは、カスタムログインURL設定を有効にします。

17.WordPressバージョンを非表示にする

WordPressのバージョンを非表示にすると、隠すことによるWordPressのセキュリティのトピックがもう一度表示されます。 WordPressサイトの設定について知っている人が少なければ少ないほどよい。 あなたが古いWordPressのインストールをしていることにハッカーが気付いた場合、それは歓迎すべき兆候かもしれません。

WordPressのバージョンは、デフォルトでサイトのソースコードのヘッダーに表示されます。 繰り返しになりますが、WordPressのインストールを常に最新の状態に保つことをお勧めします。そうすれば、心配する必要はありません。

次のコードを使用して、WordPressバージョンを削除できます。 WordPressテーマのfunctions.phpファイルに追加するだけです。 function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');

18.最新バージョンのPHPに更新する

PHPの最新バージョンに更新することは、WordPressWebサイトを安全に保つために実行できる最も重要なことの1つです。

アップグレードの準備ができると、WordPressはダッシュボードを介して通知します。 次に、ホスティングアカウントにリダイレクトされます。ここで、最新のPHPバージョンにアップグレードできます。

ホスティングアカウントをアップグレードする方法がわからない場合は、Web開発者に連絡してください。

19.定期的なセキュリティスキャンを実行します

WordPressセキュリティプラグインを使用すると、マルウェアやセキュリティ違反の兆候がないか定期的にサイトをスキャンします。

ただし、Webサイトのトラフィックまたは検索ランキングが大幅に低下している場合は、手動でスキャンを実行する必要があります。 これには、WordPressセキュリティプラグインを使用するか、SucuriSiteCheckやIsItWPセキュリティスキャナーなどのオンラインツールを使用できます。

これらのオンラインスキャンツールの実行は簡単です。 WebサイトのURLを入力するだけで、クローラーがWebサイトを調べて、既知のウイルスや有害なコードを探します。

ほとんどのWordPressセキュリティスキャナーはサイトをスキャンすることしかできないことを忘れないでください。 マルウェアを削除したり、ハッキングされたWordPressサイトをクリーンアップしたりすることはできません。

20.未使用のWordPressプラグインとテーマを削除します

未使用のプラグインやテーマがサイトにあると、特に更新されていない場合は危険な場合があります。

ハッカーは古いプラグインやテーマを使用してサイトにアクセスし、サイバー攻撃のリスクを高める可能性があります。

21.安全なWordPressテーマを使用する

ヌルのWordPressテーマは、元のプレミアムテーマの違法コピーです。 ほとんどの場合、これらのテーマはユーザーを引き付けるために低価格で販売されています。 ただし、セキュリティ上の問題がいくつかある場合があります。

nullされたテーマは違法にリリースされるため、ユーザーは開発者からの支援を受けられません。 つまり、サイトに問題がある場合は、問題を解決してWordPressWebサイトを自分で保護する方法を見つける必要があります。

ハッカーの標的になることを避けるために、公式リポジトリまたは評判の良い開発者からのWordPressテーマを使用することをお勧めします。 または、何百ものプレミアムWordPressテーマがあるThemeForestなどの公式テーママーケットプレイスでサードパーティのテーマを探すこともできます。

WordPressウェブサイトのセキュリティ：最終的な考え

WordPressは、誰でも簡単にWebサイトを作成できる、人気のある堅牢なコンテンツ管理システムです。 ただし、広く使用されているため、ハッカーの標的として人気があります。

幸い、WordPressサイトを保護するために実行できるいくつかの手順があります。 ただし、上記のすべてを実行する必要はないことに注意してください。 基本的なベストプラクティスに従うと、競合他社よりもはるかに優位に立つことができます。

その後、あなたができることをし、できると感じます。 セキュリティは継続的な取り組みであり、1回限りのイベントではありません。 あなたはいつでももっと多くのことをすることができますが、始めることは不可欠なことです。

それで全部です; 私たちの投稿が、WordPressWebサイトを保護するための最良のWordPressセキュリティのヒントを学ぶのに役立つことを願っています。 この投稿が気に入った場合は、以下もお読みください。

• あなたのサイトを保護するための最高のWordPressセキュリティプラグイン
• あなたのSEOランキングを改善するためのWordPressSEOのヒント
• 2022年にWordPressのウェブサイトをスピードアップする方法