WordPress セキュリティ プラグイン – 必要ですか?

Google は「WordPress セキュリティ プラグイン」に対して 2,200 万件を超える結果を提供し、公式の WordPress プラグイン ページには 1,000 を超えるセキュリティ プラグインがリストされており、その人気を否定するものはありません。 しかし、本当の問題は、そもそもあなたのサイトにそれが本当に必要なのかということです.

それらの名前だけで、サイトでできると宣伝されていることから、この分野のいくつかのソリューションは、WordPress が安全に動作することを保証する必須のプラグインとして位置付けられています. おそらく、セキュリティについて完全に心配するのをやめることができるように.

これは現実とはかけ離れています。

実際、不十分に構築された WordPress セキュリティ プラグインを使用すると、実際にはサイトの速度が低下する可能性があります。リクエストがサーバーによって処理される前に、ネットワーク レベルで実際に発生するはずの機能が追加されます。

ですから、これ以上苦労することなく、すぐに飛び込みましょう。

WordPress セキュリティプラグインが必要ですか?

すべての Web サイトは、悪意のあるハッカーの潜在的なターゲットです。あるものは他のものよりも大きなターゲットです。 これは秘密ではありません。

人気のある出版物であるFast Company は、最近(執筆時点で)不快な Apple News 通知を送信し始めた誰かによってシステムが侵害されました。

悪意を持ってサイトにアクセスしようとする人々は、必ずしも大企業をターゲットにしているわけではありません。 中小企業は、これを前提にすれば、より簡単な標的になる可能性があり、その結果、おそらく予防策が少なくなります。

状況に対処する煩わしさ、時間の浪費、サイトにアクセスできない間に生成された可能性のある収益の損失を超えて、企業には顧客情報を保護する法的義務があります。 この義務には、規制措置のリスクが伴います。

言うまでもなく、誰も攻撃の犠牲になりたくありません。 しかし、WordPress サイトのグローバル エコシステムが独立して約 6,355 億ドル (USD) と評価されていることを考えると、セキュリティの約束を売り込むことが良いビジネス チャンスであることが証明されたことは当然のことです。

ハッカーが WordPress サイトを攻撃する方法

WordPress はオープンソースであるため、WordPress コアやテーマやプラグインで発見された脆弱性は、最終的には一般に知られるようになります。 残念ながら、これは WordPress が脆弱性に対するパッチを発行できるようになる前に発生する可能性があり、悪意のある人に好機をもたらします。 悪意のある攻撃者はこの機会を十分に認識しており、脆弱なテーマまたはプラグインを実行している可能性のあるサイトを自動的にターゲットにして、何が可能かを確認します.

これらの脆弱性がなくても、人間とボットの両方がブルート フォース攻撃を使用してサイトへのアクセスを試みることはよくあることです。 これには、デフォルトまたは一般的なユーザー名とパスワードの組み合わせを使用するユーザー アカウントを特定するために、複数のログイン リクエストを繰り返し送信することが含まれます。

WordPress サイトがハッキングされる可能性のある方法は多数あります。そのため、サーバー レベルでの広範なアプローチが非常に重要です。最も可能性の高いハッキングのリスクには、次のようなものがあります。

ブルート フォース攻撃: このタイプの攻撃には、サイトの管理パネルにアクセスしようとして、さまざまなユーザー名とパスワードの組み合わせを繰り返し試行することが含まれます。

SQL インジェクション: このタイプの攻撃には、Web サイトのデータベースに悪意のあるコードを挿入することが含まれます。これにより、機密情報を盗んだり、サイトの機能を妨害したりすることができます。

クロスサイト スクリプティング (XSS) : このタイプの攻撃では、Web サイトに悪意のあるコードが挿入され、ユーザーのブラウザーによって実行されます。これは、ログイン資格情報などの機密情報を盗んだり、ユーザーを悪意のある Web サイトにリダイレクトしたりするために使用できます。

ファイル インジェクション: このタイプの攻撃には、バックドアやマルウェアなどの悪意のあるファイルを Web サイトにアップロードすることが含まれます。これらのファイルは、サイトへの不正アクセスに使用される可能性があります。

古いソフトウェア: Web サイトが定期的に更新されていない場合、ハッカーが悪用できる脆弱性が存在する可能性があります。

フィッシング: このタイプの攻撃は、偽のログイン ページを作成して、ログイン資格情報、クレジット カード番号、その他の個人情報などの機密情報をユーザーに提供させます。

セキュリティプラグインが賢明な選択ではない理由

プラグインの仕組みのおかげで、リクエストがサーバーに到達したときにのみ機能します。 これは、セキュリティ プラグインが PHP レベルでのみチャレンジできることを意味します。 たとえば、これには、サーバーがリクエストを受信した後の不正アクセスの可能性を防ぐための何らかのメカニズムを備えたログインが含まれる場合があります。

もちろん、この結果は、リクエストと出力処理の開始の間に位置するため、サーバーへのすべてのリクエストで追加のサーバー リソースを消費します。 pluginvulnerabilities.comは、ゼロデイ脆弱性に対して 31 のセキュリティ プラグインをテストしましたが、攻撃をかわすことができたのは 6 つだけでした。

WordPress セキュリティ プラグインは、トラフィックの処理を開始する前に完全にロードする必要があります。 これは、 Web サイトが攻撃を受けていなくても、これらのプラグインがリソースを消費することを意味します。

また、WordPress のセキュリティ プラグイン自体に脆弱性が存在することも前代未聞ではなく、ハッカーによって悪用される可能性もあります。

たとえば、400 万人以上のユーザーを抱える人気のセキュリティ プラグインである Wordfence は、クロス サイト スクリプティングやアクセス コントロールの破損など、複数の脆弱性を長年にわたって報告しています。 これらの脆弱性にはすぐにパッチが適用されましたが、短期間ではありますが、システムが公開されたという事実は変わりません。

また、セキュリティ プラグインが誤ったセキュリティ感覚を生み出す危険性もあります。以前は、サイト管理者が一般的なセキュリティ プラグインをインストールし、あらゆる種類の攻撃からサイトを保護できると信じて、定期的なソフトウェア アップデート、強力なパスワード、2 要素認証などの他の重要なセキュリティ対策を怠っていました。 、およびバックアップ。

私たちが確認したもう 1 つの問題は、セキュリティ プラグインが既存のテーマや他のプラグインとの互換性の問題を引き起こす場合です。 場合によっては、この競合により、サイトが攻撃に対して脆弱になる可能性があります。

また、セキュリティ プラグインを使用して誤検知が発生することもよくあります。 過度に熱心なプラグインは、正当なアクションに悪意のあるものとしてフラグを立てることができるため、誤った警告が表示され、管理者やユーザーに不便が生じる可能性があります。

要するに、WordPress サイトのセキュリティに関して言えば、設定して忘れるのに使用できるプラグイン ソリューションは存在しないということです。 セキュリティは常に警戒を必要とする進化する有機的な獣です。

使用する価値のあるセキュリティ プラグインはありますか?

では、WordPress Web サイトをどのように保護しますか?

まず、Servebolt で行っているように、セキュリティ、スケーリング、およびパフォーマンスの能力をもたらす WordPress ホスティング プロバイダーと連携します。 サイトの基盤となるインフラストラクチャを完全に安全に保つことに関連する面倒な作業を行います。

さらに、実際の Web サイト訪問者に可能な限り最高のエクスペリエンスを提供できるように、すべての悪意のある (および潜在的に悪意のある) 要求がサーバーに到達する前、つまりリソー​​スを消費する前にブロックする必要があります。

このタイプのソリューションの一例は Cloudflare です。 Cloudflare は、コンテンツ配信ネットワーク (CDN)、ドメイン ネーム システム (DNS)、Web アプリケーション ファイアウォール (WAF) など、さまざまなインターネット セキュリティ サービスを提供する会社です。 これらのサービスは連携して、DDoS 攻撃、SQL インジェクション、クロスサイト スクリプティング (XSS) などのさまざまな形式のサイバー攻撃から Web サイトを保護します。 Cloudflare は、SSL/TLS 暗号化などの追加機能や、Web サイトのセキュリティをさらに強化するためのボット管理システムも提供します。

Servebolt では、このアプローチに加えて、 Web サイトのセキュリティを強化できる2 つのマネージド プロアクティブ サービス、 Accelerated DomainsとServebolt CDNを提供しています。これらは Cloudflare の Enterprise 製品の上に構築されており、サインアップしたすべての顧客に 2 つの無料ドメインを提供します。

私たちは、サーバーベースのセキュリティ製品と、Cloudflare の WAF が私たちを通じて実装されている場合はその上に構築するものを両方使用しています。 ハッキングの試みを減らすための追加のセキュリティ対策を追加し、Cloudflare を使用してブルート フォース ハッキングの試みを減らすときにサーバーへの直接アクセスを防止します。 これらの対策は、潜在的に有害なリクエストを自動的にブロックするように構成されており、構成やメンテナンスは必要ありません。

それはさておき、一部のプラグインはサイトのセキュリティを向上させることができますが、これらはワンストップ ソリューションを提供するものではありません。

• Two-Factor :このプラグインは WordPress チームによって開発され、時間ベースのワンタイム パスワード (OTP、Google Authenticator)、Universal 2nd Factor (FIDO U2F、YubiKey)、電子メール、およびバックアップ検証を使用して 2 要素認証を有効にします。コード。

資格情報がインターネット上で漏洩した場合、悪意のあるトラフィックのほとんどがファイアウォールによってブロックされていても、サーバーが侵害される可能性があります. 悪意のあるユーザーを抑止するために、2 要素認証を使用することを強くお勧めします。

Servebolt で使用する代替手段はCloudflare Accessです。

• Patchstack &WPScan:Patchstack や WPScan などの脆弱性スキャナーは、脆弱性の追跡に役立ちます。 たとえば、WP Scan は、WordPress のセキュリティ専門家が管理する37,000 以上の脆弱性の既知のデータベースに対して、サーバーへの脅威を継続的にチェックします。 脅威が検出された場合、電子メールまたはカスタム Webhook を使用して、問題を解決するために必要なすべての情報と推奨事項を含む通知をトリガーできます。

WordPress サイトを強化するためのヒント

Accelerated DomainsまたはServebolt CDNを使用すると、多くの既知の攻撃からサイトを保護できます。 ログイン レート制限と XML-RPC を自動的に実装して、サイトのログイン ページに対する悪意のあるブルート フォース攻撃から保護します。 ただし、次の追加のセキュリティ プラクティスを Web サイトに実装することで、セキュリティをさらに強化できます。

ファイル アクセスの制限

サーバー上の各ファイルとフォルダーには、アクセス権が関連付けられており、特定のファイルまたはディレクトリを読み取り、書き込み、および実行できるユーザーを指定します。 サイトのパブリック アセットに対するオープン アクセス権を持つことは大したことではないように思えるかもしれませんが、それは間違いなく悪い習慣です。 さらに、 .htaccessやwp-config.phpなどの一部の機密ファイルは、安全にロックダウンする必要があります。

すべての機密ファイルを可能な限りロックダウンし、絶対に必要な場合にのみこれらのアクセス許可を一時的に緩めることをお勧めします。

.htaccessの場合、権限レベルを644に変更する必要があります。これにより、ファイルの所有者に読み取り/書き込みアクセスが許可され、他のすべてのユーザーはファイルの読み取りのみが可能になります。

許可モードを400または440に設定することにより、 wp-config.phpファイルに対してこれらの許可をさらに制限できます。つまり、所有者 (または、オプションで、選択したグループの他のメンバーも) のみがファイルを読み取ることができ、変更中はファイルを読み取ることができます。 root ユーザーのみが作成できます。

特定の WordPress ディレクトリの権限要件を詳しく見てみましょう。

• ルート WordPress ディレクトリ (/):

.htaccessを除くすべてのファイルは、自分のアカウントだけが書き込み可能にする必要があります。.htaccessを除くすべてのファイルのアクセス許可モードを 644 に設定します。

• WordPress 管理エリア (/wp-admin/):

すべてのファイルは、自分のアカウントだけが書き込み可能である必要があります。すべてのファイルのアクセス許可モードを 644 に設定してください。

• WordPress アプリケーション ロジック (/wp-includes/):

すべてのファイルは、自分のアカウントだけが書き込み可能である必要があります。すべてのファイルのアクセス許可モードを 644 に設定してください。

• ユーザー提供のコンテンツ (/wp-content/):

このディレクトリは、ユーザーと Web サーバー プロセスの両方が書き込み可能にすることを目的としています。すべてのファイルのアクセス許可モードを 664 に設定します。

ただし、/wp-content/ ディレクトリ内には、次のものが含まれる場合があります。

• テーマ ファイル (/wp-content/themes/):

組み込みのテーマ エディターを使用する場合は、すべてのファイルが Web サーバー プロセスによって書き込み可能である必要があります。 エディターを使用する必要がない場合は、すべてのファイルを自分のユーザー アカウントだけが書き込み可能にすることができます。

• プラグイン ファイル (/wp-content/plugins/):

すべてのファイルは、自分のユーザー アカウントだけが書き込み可能である必要があります。 ただし、一部のサードパーティ プラグインには書き込みアクセスが必要な場合があります。 書き込み権限を削除し、ケースバイケースで特定のプラグインにのみ付与することをお勧めします。

選択したディレクトリで PHP ファイルの実行を無効にする

不要なディレクトリでの PHP ファイルの実行を制限することで、WordPress Web サイトのセキュリティをさらに向上させることができます。

ユーザーが悪意のある PHP スクリプトをアップロードして実行しようとする可能性があるため、無効にする最初の場所は/wp-content/フォルダーです。

目的のフォルダーに.htaccessという名前のファイルを作成し、次のコードを貼り付けることで、PHP の実行を無効にすることができます。

 <ファイル *.php>

全部否定する

</ファイル>

上記のコードは、指定されたディレクトリ内のすべての PHP ファイルの実行を禁止するルールを作成します。 これは、ハッカーが悪意のある PHP コードをファイルに挿入したとしても、サーバー上で実行できないため、Web サイトへの損害を防ぐことができます。

ディレクトリのインデックス作成と参照を無効にする

ディレクトリの参照は、Web サイトの特定のディレクトリで使用可能なすべてのファイルとディレクトリを表示する Web サーバーの機能です。 有効にすると、インターネット上の誰でも、Web サイトの任意のパスにあるすべてのコンテンツを表示できます。 これは、機密情報とサーバー構成を明らかにする可能性があるため、重大なセキュリティ リスクです。

たとえば、誰かがhttps://www.example.com/staticにアクセスすると、このパスにあるすべてのファイルを表示 (およびダウンロード) できます。 この機能をオフにすることを強くお勧めします。 これを行うには、次の行を.htaccessファイルに追加します。

 オプション -インデックス

Fail2ban を使用してブルート フォース攻撃を阻止する

Fail2ban は、定義済みの条件に基づいて IP アドレスをブロックするためのファイアウォール ルールを動的に作成できるサーバー用のユーティリティです。 ユーザーが連続して 3 回ログインに失敗した場合、WordPress でユーザーを一時的にブロックするために使用できます。

「admin」ユーザー名を使用しないでください

ハッカーにとって、管理者権限を持つアカウントは王冠のようなものです。管理者アカウントは、サーバー上のすべてのドアのロックを解除できます。 当然のことながら、これはハッカーが標的とする最初のアカウントです。 この管理者アカウントに別の名前を使用して、このプロセスを困難にし、ブルート フォース攻撃を阻止することをお勧めします。

まだ「admin」ユーザー名を使用している場合は、別の名前で 2 つ目のアカウントを作成し、管理者アクセスを許可する必要があります。2 番目のアカウントにログインし、古い管理者アカウントを削除します。

データベース ユーザー権限の制限

データベースのセキュリティは、あらゆる Web サイトにとって最も重要です。 サーバーに複数のサイトをインストールする場合は、サイトごとに個別のデータベースとユーザーを作成してください。 これにより、侵入者がシステム全体にアクセスして個人情報を盗むことがより困難になります。

また、MySQL アカウントの権限を適切に構成し、リモート TCP 接続などの不要な機能を無効にする必要があります。 データベース ユーザーがホワイトリストに登録された場所にいない場合、ログイン試行を制限することもできます。 たとえば、接続がローカルホストで開始されていない場合、ルート接続へのアクセスをブロックできます。

さらに、WordPress は、通常の機能のために MySQL データベースへの読み取りおよび書き込み権限のみを必要とします。 データベース ユーザーに SELECT、INSERT、UPDATE、および DELETE のみを付与した場合でも、すべて正常に機能します。 ただし、サードパーティのプラグインや WordPress の更新により、データベース スキーマを変更したり、新しいテーブルを作成したりするときに、エラーが発生することがあります。 このセキュリティ対策を使用している場合は、各プラグインのリリース ノートとドキュメントをよくお読みください。

wp-admin URL を変更する

ハッカーが WordPress サイトに対してブルート フォース攻撃を仕掛けるのをより困難にするために、管理ダッシュボードのデフォルト URL をわかりにくいものに変更することを検討してください。 これを行うには、ログイン URL を簡単にカスタマイズできるWPS Hide LoginやChange wp-admin login などのプラグインを使用できます。

ファイル編集を無効にする

WordPress のファイル編集機能により、管理者はテーマとプラグインのファイルをダッシュ​​ボードから直接編集できます。 サイトをセットアップする際には便利ですが、管理者アカウントが侵害された場合、セキュリティ上のリスクが生じる可能性があります。 ファイル編集機能を無効にすると、このリスクが軽減されます。

すべての新しいリビジョンはバージョン管理で追跡され、サイトに公開する前にテストを行う必要があるため、これにより偶発的な編集が減り、変更のドキュメントが改善されます。

WordPress でのファイル編集を無効にするには、サイトの wp-config.php ファイルに次のコード行を追加します。

 define ('DISALLOW_FILE_EDIT', true );

データベース接頭辞の変更

WordPress は、識別を容易にするために、すべてのテーブル名に共通のテキスト文字列を使用します。 このプレフィックスを変更すると、SQL インジェクション攻撃やその他の形式のデータベース エクスプロイトを実行するときに、悪意のあるアクターがテーブル名を推測することが難しくなります。

小さくて取るに足らない改善のように思えるかもしれませんが、インターネット上の攻撃のほとんどは、簡単に達成できることだけを目的とした自動化されたボットによって実行されます。 デフォルト値を変更することで、ほとんどの自動化された攻撃を防御できます。

現在のデータベース プレフィックスは、WordPress ルート ディレクトリの wp-config.php ファイルに保存されています。 デフォルト値は次のようになります。

 $table_prefix = 'wp_';

「wp_」プレフィックスを、選択した新しい一意のプレフィックスに置き換えることができます。 文字、数字、およびアンダースコアのみを使用できることに注意してください。 例えば：

 $table_prefix = 'my_custom_prefix_123_';

変更を wp-config.php ファイルに保存した後、既存の SQL テーブルを新しい名前で手動で更新する必要があります。 これを行う方法がわからない場合は、 Brozzme DB Prefixなどのプラグインを使用できます。

非アクティブなユーザーを自動的にログアウトする

WordPress に自動ログアウト機能を実装すると、一定期間非アクティブ状態が続くとユーザーのセッションを自動的に終了することで、サイトのセキュリティを向上させることができます。 この機能は、ユーザーがログアウトを忘れた場合やデバイスを放置した場合に、サイトへの不正アクセスを防ぐのに役立ちます。

WordPress に自動ログアウト機能を実装するには、 Inactive Logoutなどのプラグインを使用できます。 そうすることで、許可されていない個人が機密情報にアクセスできないようにすることで、ユーザーのプライバシーを保護することができます。

行動後レポート – サイトと評判を守るために今すぐ行動を起こしましょう

毎日 30,000 の Web サイトがハッキングされており、WordPress が Web の 43% を支えているため、毎日 12,900 の WordPress サイトが深刻な侵害を受けている可能性があります。

残念ながら、WordPress サイトを安全に保つ方法についてオンラインで詳しく説明されているアドバイスは、あいまいであるか、時代遅れであるか、単に間違っているかのいずれかです。 この悪いアドバイス、サードパーティのプラグインのみへの依存、そして一度設定したセキュリティは忘れてもいいという思い込みが、非常に多くの侵害の原因となっています。

セキュリティは「完了」することはありませんが、頭を悩ませる必要はありません。この記事のアドバイスのほとんどは、ほとんどの人にとって非常に簡単です。 もちろん、セキュリティを真剣に考えている強力な Web ホスティング会社を持つことは、ほとんどの人にとって重要な第一歩です。

WordPress サイトを安全に保つことについて質問はありますか?お気軽にお問い合わせください。Servebolt クラウドが訪問者に可能な限り最高のエクスペリエンスを提供するのにどのように役立つかを喜んでご説明いたします. または、このガイドですべての質問に回答済みで、Servebolt アプローチを試す準備ができている場合は…

経験的に高速なマネージド ホスティングに興味がありますか? WordPress ホスティングへのアプローチをお試しください:

• スケーラビリティ:実際のユーザー ワークロード テストでは、Servebolt は 65 ミリ秒の平均応答時間を実現し、2 番目に優れた製品よりも 4.9 倍高速でした。
• 最速のグローバル読み込み時間:平均ページ読み込み時間は 1.26 秒で、グローバルな WebPageTest の結果のリストのトップになりました。
• 最速のコンピューティング速度: Servebolt サーバーは、前代未聞のデータベース速度を提供し、1 秒あたりのクエリ処理速度は平均の 2.44 倍、PHP の実行速度は 2 番目に優れたサーバーの 2.6 倍です。
• 完璧なセキュリティと稼働時間:すべてのモニターで 100% の稼働時間と SSL 実装の A+ 評価により、サイトがオンラインで安全であることを保証できます。