WordPressウェブサイトを保護する方法-9つのヒント| JustLearnWP.com
公開: 2020-01-13WordPressは、間違いなく世界で最も人気のあるCMSであり、世界の市場シェアの約半分を誇っています。 それが長い間存在していたことを考えると驚くことではありません、そしてそれは開発者が愛する多くの優れた機能を持っています。
とはいえ、その人気は、十分に保護されていないWordPressサイトを狙うサイバー攻撃者の標的であることも意味します。 したがって、WordPressを標的とした攻撃の次の犠牲者にならないでください! だから、ハッカーから保護するために何をすべきか。 心配しないでください! WordPressのセキュリティを強化するために従うべきいくつかの重要なステップをまとめました。
SSLを使用する
SSLはSecureSocketLayerの略で、Webサイトにクライアントサーバーセキュリティを実装し、サーバーとブラウザ間のデータを保護するプロトコルです。 SSL証明書と呼ばれるものをインストールすることで、SSLセキュリティを有効にできます。 このようにして、特にサイトがクレジットカード情報などの機密データを処理する場合に、あなたとあなたのユーザーを保護することができます。
Let'sEncryptは無料のSSL証明書を提供します。
WordPressのウェブサイトに応じて購入できるSSL証明書には多くの種類があります。 たとえば、サイトのメインドメインとその下の他のドメインおよびサブドメインを保護するマルチドメインSSLを購入できます。 肝心なのは、WordPressWebサイトに適したSSLを購入する必要があるということです。
テーマとプラグインのセキュリティに焦点を当てる
攻撃者がWordPresssiteに侵入する最も簡単な方法の1つは、テーマとプラグインを使用することです。 WordPressアーキテクチャには私たちが気に入っている機能がありますが、残念ながら、いくつかのクールなテーマとWordPresspluginsは無料ではありません。
一部の不正な開発者は、コミュニティへの無料アクセスを提供するこれらのテーマやプラグインを海賊版にすることがよくあります。 かなりのように聞こえますか? そうではないかもしれません。
海賊版のほとんどは、WordPressWebサイトに潜在的なリスクをもたらす可能性があります。 不正な開発者がこれらの製品をリバースエンジニアリングするのは簡単なことであり、悪意のあるコードを隠さずに無料で提供したいと思うことは間違いありません。
一般的に、無料か有料かにかかわらず、プラグインとテーマに注意する必要があります。 WordPressプラグインとテーマを扱うときに覚えておくべきいくつかのセキュリティのヒントを次に示します。
- 信頼できるソースからのテーマとプラグインのみをインストールします(レビューが多いほど良いです)
- 新しいバージョンがリリースされるたびに、テーマとプラグインを更新します
- 古いプラグインとテーマを非アクティブ化してアンインストールします
WordPressのパスワードを保護する
パスワードセキュリティは、WordPressセキュリティのもう1つの側面であり、しばしば無視されます。 多くの場合、パスワードを頻繁に変更したり、推測しにくい長い形式のパスワードを使用したりするなど、簡単な手順です。
実際、WordPress Webサイトに対して使用される一般的なタイプの攻撃は、ブルートフォース攻撃として知られているものです。 これは、攻撃者がログインパスワードを推測しようとする場所であり、パスワードが簡単に解読されれば間違いなく簡単になります。
- 銀行などの機密性の高いアプリケーションの有効期限が切れるパスワードを設定する
- WordPressサイトユーザーのセッションを設定する
- 認証のレイヤーを追加する
認証のレイヤーを追加することは、ハッカーがブルートフォースなどの攻撃を通じてサイトにアクセスする可能性を減らすもう1つの方法です。 言い換えれば、パスワードを解読するだけで誰かがあなたのサイトにアクセスすることを望まないのです。それだけです。
チャレンジのレイヤーをもう1つ追加して、さらにタフにすることができます。 良い例は、通常のユーザー名/電子メール-パスワードの組み合わせに加えてSMS検証のようなものを追加できる2要素認証(2FA)として知られているものです。
WordPressのログインページを変更する
ブルートフォース攻撃やサービス拒否(DOS)のような攻撃を減らす別の方法は、WordPressのログインページをデフォルトのページから変更することです。これにより、ハッカーがサイトを攻撃しようとするのが難しくなります。
HideMyWPは非常に強力で人気のあるセキュリティプラグインであり、WordPressサイトを保護するための多くの機能を提供します。
WordPressloginページの変更は非常に簡単です。 ログインURLをカスタマイズするプラグインを見つけて、WordPressにインストールするだけで、準備完了です。
WordPressサイトへのトラフィックをフィルタリングする
特に疑わしいと思われるトラフィックをフィルタリングすることで、WordPressWebサイトを保護することもできます。 たとえば、訪問者がいないと予想される場所からのトラフィックをブロックできます。
WordPressloginおよびダッシュボードページにアクセスできるIPを制限できます。 繰り返しになりますが、ファイアウォールプラグインの使用、CAPTCHAチャレンジの使用など、このようなルールや制限を構築するのに役立つツールはたくさんあります。
WordPressファイルとデータベースを保護する
サードパーティのホストは、ホスティングレベルでサイトを保護するのに役立ちますが、WordPressファイルを保護するためにサイトで作業する必要があります。 たとえば、セキュリティ違反を回避するために、ファイルのアクセス許可が正しいことを確認する必要があります。 WordPressファイルとDBを保護する他の方法は次のとおりです。
- データベースプレフィックスをデフォルトのプレフィックスから変更します
- バックエンドで悪意のあるコードが実行されるのを防ぐために、PHPファイルの実行を無効にします。
- ディレクトリブラウジングを無効にする
- wp-config.phpファイルと.htaccessファイルを非表示にします
適切なユーザー権限を割り当てる
チームのすべてのユーザーには、役割に基づいて特権を割り当てる必要があります。 このようにして、WordPressusersを対象とする脆弱性のみを防止します。 高レベルのWordPress特権は、その責任を引き受けて保護できるユーザーにのみ割り当てる必要があります。
WordPressサイトをバックアップする
最後に、サイトを定期的にバックアップして、望ましくない状況が発生した場合に備えて復旧ポイントを確保します。 サードパーティのバックアッププラグイン、Webホスト、Webサイトのメンテナンスサービス、および定期的にバックアップを取るのに役立つ手動の方法があります。
JetPackは、多くの機能を提供し、バックアップがその1つである場合、Webサイトをバックアップおよび保護するための最良のプラグインの1つです。 Jetpackをインストールし、バックアップ機能を使用します。
ダウンタイムがビジネスの損失につながる可能性があるように、災害はいつでもWebサイトに影響を与える可能性があります。これが、頻繁にバックアップを行う必要がある理由です。 自動バックアップをスケジュールして、簡単に実行できるようにすることをお勧めします。
最終的な考え
WordPressサイトを保護し、ビジネスを保護するために実行する必要のある主要なセキュリティ手順のいくつかについて説明しました。 確かにすべてではありませんが、WordPressのセキュリティの観点からボールを転がすのに役立つはずです。