2023 年に WordPress ウェブサイトを保護する方法 (詳細なチュートリアル)

公開: 2023-07-28

WordPress は世界で最も人気のあるコンテンツ管理システム (CMS) の 1 つとなり、Web サイトの 44% 以上が WordPress 上に構築されています。 他のオンライン プラットフォームと同様に、セキュリティは懸念事項リストの最優先事項である必要があります。 この投稿では、WordPress のセキュリティ上の懸念を検証し、WordPress ウェブサイトを安全に保つ方法についてのヒントを提供します。

飛び込んでみましょう。

目次
  • 1 WordPress は安全ですか?
  • 2 WordPress のセキュリティ上の懸念
  • 3 WordPress ウェブサイトを保護する方法
    • 3.1 WordPress のセキュリティ: 適切な WordPress ホスティングを選択する
    • 3.2 WordPress ログインを安全に保つ
    • 3.3 WordPress セキュリティ プラグインのスイートを使用する
    • 3.4 PHP を常に最新の状態に保つ
    • 3.5強力なパスワードを選択する
    • 3.6 WordPress のセキュリティ: ソフトウェアを常に最新の状態に保つ
    • 3.7 SSL証明書のインストール
    • 3.8セキュリティ監査の実施
    • 3.9高度な WordPress セキュリティ技術
  • 4 WordPress ウェブサイトがハッキングされた場合の対処法
  • WordPress のセキュリティに関する5 つの最終的な考え

WordPress は安全ですか?

WordPress.org

ほとんどの場合、そうです。 WordPress 開発者は、定期的に行われるパッチやアップデートを通じてプラットフォームのセキュリティを維持するために懸命に取り組んでいます。 ただし、WordPress はオープンソース フレームワークに基づいて構築されているため、ハッカーはその構築方法を分析し、WordPress Web サイトを制御するための新しい方法を頻繁に開発する可能性があります。 このため、WordPress のセキュリティは非常に重要です。 WordPress の使用に関連するリスクを知ることは、Web サイトを保護する方法をよりよく理解するために重要です。

WordPress のセキュリティ上の懸念

WordPress Web サイトを運用する場合、注意すべき潜在的なリスクがいくつかあります。 最大の懸念の 1 つはハッカーです。 WordPress は非常に人気があるため、古いプラグインやコア ファイルなどの脆弱性を悪用してサイトに不正にアクセスしようとする悪意のある攻撃者の注目を集めています。 バックドア、ブルート フォース攻撃、製薬攻撃、サービス拒否 (DoS) 攻撃、クロスサイト スクリプティング (XSS) などの手法を使用する可能性があります。

未解決のまま放置すると、マルウェア (サイトの訪問者情報を盗むように設計された悪意のあるコード)、Web サイトのまったく別のサイトへの転送、知らないコンテンツの追加、Google からの警告など、深刻な結果が生じる可能性があります。 SERP が発生したり、さらに悪いことに、Web サイトにログインできなくなったりします。

WordPress ウェブサイトを保護する方法

次のセクションでは、潜在的な脅威から Web サイトを保護するために WordPress のセキュリティを強化するためのベスト プラクティスについて説明します。

私たちのYoutubeチャンネルを購読してください

WordPress のセキュリティ: 優れた WordPress ホスティングを選択する

最初のステップは、優れた WordPress ホスティング会社と提携することです。 選択肢が非常に多いため、適切なホストを選択する方法を決定するのが難しい場合があります。 初心者の場合は、WordPress のすべてのセキュリティ更新を提供しながら、WordPress がインストールされているサーバーを維持できる、SiteGround などの優れたマネージド ホスティング プロバイダーを選択するのがおそらく最善です。 テクノロジーに精通している人にとっては、Cloudways などのクラウド ホスティング プロバイダーが最適です。

SiteGround WordPress ホスティング

どちらのオプションでも、Web サイトの安全性を確保するために必要な次のツールがすべて提供されます。

  • 無料のSSL証明書
  • Web アプリケーション ファイアウォール (WAF)
  • SFTPアクセス
  • 分散型サービス拒否 (DDoS) 保護
  • マルウェアからの保護

WordPress ログインを安全に保つ

WordPress のセキュリティを強化するためにできるもう 1 つの簡単な方法は、ログイン資格情報をロックダウンすることです。 これには、プラグインを使用してログイン URL を /wp-admin から任意の URL に変更するなど、いくつかの方法があります。 ログインに 2 要素認証 (2FA) を追加し、ログイン試行を制限することもできます。これは、ボットの撃退に役立ちます。

Googleアプリへのログイン

ログインを保護するもう 1 つの方法は、WordPress 用 Google Apps ログインを使用してログインを Google アカウントにリンクすることです。 ログインがロックダウンされたら、ユーザーの IP アドレスをホワイトリストに登録する必要があります。 これにより、たとえパスワードを解読できたとしても、登録ユーザーのみがアクセスできるようになります。

一連の WordPress セキュリティ プラグインを使用する

もう 1 つの非常に便利な方法は、iThemes Security などの優れたセキュリティ プラグインをインストールすることです。 これにより、2FA の追加、ログイン試行の制限、バックアップのスケジュール設定、WordPress ログインの非表示が可能になります。

imemeセキュリティプラグイン

ホストがバックアップを提供していない場合は、WordPress セキュリティ プラグインに加えて、UpdraftPlus などの優れたバックアップ プラグインをインストールすることを検討してください。 バックアップ プラグインはサイトのファイルの損失を防ぎ、WordPress を最初から再構築する必要がなくなります。 何か問題が発生した場合でも、ほとんど手間をかけずにサイトを簡単に復元できます。 最後に、WP Activity Log のようなアクティビティ ログ プラグインを組み込むと、何がいつ問題になったかを正確に特定できるようになります。

PHP を常に最新の状態に保つ

WordPress が正しく動作するには、PHP、MySQL、HTTPS のサポートという 3 つのものが必要です。 PHP (ハイパーテキスト プリプロセッサ) は、Web 開発で使用される人気のオープンソース スクリプト言語であり、WP のバックボーンです。 WordPress と同様に、オープンソースであるため、悪用しようとする悪意のある攻撃者にとって無防備なままになります。 これらの潜在的な問題を回避するには、PHP を常に最新の状態に保つことが最善です。 WordPress のセキュリティに役立つだけでなく、サイトの最適な実行を維持します。

PHP の仕組み

強力なパスワードを選択する

WordPress セキュリティの最も重要な側面の 1 つは、ログイン用に強力なパスワードを選択することです。 弱いパスワードや簡単に推測できるパスワードを使用すると、サイトが不正アクセスに対して脆弱になり、サイトがボットネットにさらされることになります。 ボットネットは、マルウェアに感染し、ハッカーの制御下にあるコンピューターの集合です。 これらはインターネット上で DDoS 攻撃の主な原因ですが、適切な予防措置を講じることでサイトがそれらの被害に遭わないようにすることができます。

パスワードポリシー作成プラグイン

たとえば、すべてのユーザーがパスワード ポリシーを遵守するようにすることで、サイトを保護できます。 これを行うための優れた方法の 1 つは、Password Policy Maker のようなプラグインをインストールすることです。

WordPress のセキュリティ: ソフトウェアを常に最新の状態に保つ

WordPress セキュリティのもう 1 つの簡単なステップは、WordPress コア、プラグイン、テーマを常に最新の状態に保つことです。 ソフトウェアを古いままにしておくと、セキュリティ侵害、WordPress の白い画面、またはさまざまな一般的なエラーなど、Web サイトに悪影響を及ぼす可能性があります。

自分で更新を続けることも、自動更新を有効にすることもできます。 何があなたに適しているかは、時間、専門知識、WordPress インストールで実行されるソフトウェアの種類など、いくつかの要因によって決まります。 更新を処理するか、自動更新を選択するかに関係なく、更新を実行する前に必ずバックアップを作成する必要があります。

SSL証明書のインストール

優れたホスティング プロバイダーと提携している場合、それに伴う利点の 1 つは無料の SSL 証明書です。 ただし、場合によっては自分でインストールする必要があるかもしれません。 SiteGround などのほとんどのプロバイダーは、数分でインストールできる無料の SSL を提供しています。 これを読むと、 「なぜ SSL 証明書が必要なのでしょうか?」と疑問に思うかもしれません。 説明しましょう。

SSL証明書 WordPressのセキュリティ

画像提供:ヴァレリー・ブロジンスキー | Shutterstock.com

SSL (セキュア ソケット レイヤ) は、ハイパーテキスト転送プロトコル (HTTP) をハイパーテキスト転送プロトコル セキュア (HTTPS) に拡張し、暗号化と追加のセキュリティ レイヤを追加します。 たとえば、HTTP 経由で購入を行う消費者は、クレジット カード情報が悪用される危険があります。 一方、同じ購入を HTTPS 経由で行った場合、情報は保護されます。 安全な接続がなければ、サイトとその訪問者は危険にさらされ、脆弱になります。 そのため、新しい Web サイトに SSL 証明書をインストールすることが重要です。

セキュリティ監査を実施する

サイトを保護するための措置を講じたら、WordPress セキュリティ監査を時々実施することが重要です。 テクノロジーが日々変化するのと同じように、ハッカーが保有するツールも変化します。 マルウェアやその他の戦術は定期的に開発されるため、WordPress Web サイトのセキュリティを確保することは、一度で完了するわけではありません。 定期的なセキュリティチェックをスケジュールし、サイトに問題が発生する可能性のある兆候を探します。 サイトの読み込みが遅い、トラフィックが減少している、追加していない新しいリンクを発見した、または過度のログイン試行が発生した場合は、サイトの安全性を確保するためにセキュリティ スキャンを実行する必要があるかもしれません。

高度な WordPress セキュリティ技術

上記の手順に加えて、WordPress のセキュリティを強化するためにサイトに組み込む高度なテクニックがいくつかあります。

wp-config.php ファイルを強化する

ハッカーの一般的な侵入ポイントの 1 つは、WordPress Web サイトの wp-config.php ファイルです。 名前、ホスト、ユーザー名、パスワードなどのデータベースに関する情報が格納されます。 この重要なファイルを開いたままにしておくと悪影響を及ぼす可能性があるため、常に非表示にすることをお勧めします。

wp-config.php ファイルを移動する

wp-config を移動するには、それをサイトのルート フォルダー (パブリック HTML) にドラッグすると、サイトが ping されるたびに WordPress がそれを検索します。 ただし、サイトのファイル構造に htaccess ファイルが含まれている場合は、次のコードを使用してアクセスを拒否するディレクティブを追加することで、htaccess ファイルをさらに保護できます。 

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

注: これを行う前に、ホスティングプロバイダーが wp-config ファイルを移動するための措置をまだ講じていないことを確認してください。 Kinstaなどの一部のホストは、サイトを安全に保つためにこれを自動的に実行します。

WordPress ソルトキーを変更する

WordPress ソルトキー

wp-config ファイルを保護するもう 1 つの方法は、サイトのソルト キーを変更することです。 これらのキーは、データベースへのパスワードの保存、Cookie へのサインイン、およびその他の WordPress の重要なセキュリティ面の保護層を追加します。 ハッカーがソルト キーを入手すると、保存されているクレジット カード情報、パスワード、その他の重要な情報を含むサイトのデータベースやファイルにアクセスできます。 したがって、定期的に変更することをお勧めします。

ファイルのアクセス許可を変更する

デフォルトでは、ルート ディレクトリ内のファイルは 644 に設定されています。これは、ファイルが読み取りと書き込みの両方が可能であることを意味し、悪意のある攻撃者に対して脆弱なままになります。 WordPress によると、これらはデフォルトの権限のままにすべきではありません。 むしろ、同じサーバー上の他のユーザーがそれらを読み取れないように、440 または 400 に変更する必要があります。 ただし、ファイルのアクセス許可を変更する前に、ホスティング プロバイダーに確認することが重要です。 独自のシステムを導入している場合があるため、権限を変更するとサイトに混乱が生じる可能性があります。

XML-RPC を無効にする

XML-RPC は、Web サイトをサードパーティのアプリやツールに接続できるようにする WordPress API です。 近年ではブルートフォース攻撃に悪用され、WordPress サイトへのアクセスが可能になっています。 これは主に、Zapier 接続を確立するか、アプリを通じてサイトにリモート アクセスするために使用されます。 これらの接続を使用していない場合は、サーバー上で XML-RPC を無効にする必要があります。

これを行うには、htaccess を使用して無効にする、コード スニペットを使用する、プラグインを使用するなど、いくつかの方法があります。 最も高度な方法である htaccess は初心者にとって扱いにくい場合があるため、最も推奨されるアプローチはコード スニペットを使用することです。

htaccess メソッドの場合は、FTP クライアントを使用してサイトのファイルにアクセスし、次のコードを htaccess ファイルに追加します。 

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

注: IP 123.123.123.123は必ず自分のものに変更してください。

あるいは、AIOSEO プラグインのツールの htaccess タブを使用してコードを挿入することもできます。

アイオソ

コード スニペットを使用して XML-PRC を無効にしたい場合は、WPCode プラグインを使用して簡単に実現できます。 API を無効にするために使用できるスニペットが組み込まれています。

XML-PRC を無効にする

WordPress のバージョンを隠す

これは WordPress のセキュリティに関して見落とされがちなステップですが、重要なステップです。 デフォルトでは、WordPress は、どのバージョンがインストールされているかを示すフットプリントをサイトのコードに残します。 これは無害に見えるかもしれませんが、ハッカーは Web サイトのソース コードにアクセスすることで、実行している WordPress のバージョンを特定できます。 それが古い場合、彼らはその情報を使用して、マルウェアや悪意のあるスクリプトを挿入することによってサイトをハッキングする可能性があります。

WordPressのバージョンを隠す

したがって、追加の WordPress セキュリティ対策として、サイトの WordPress バージョンを非表示にして、ハッカーがサイトを制御するのを困難にします。 これには良い方法があります。 ソースコード内の行を削除するコードスニペットプラグインを実装するか、子テーマを作成してfunctions.phpファイルに配置することができます。 

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

あるいは、メタ タグ、データベース クエリ文字列、およびRSS フィード内の WP バージョンを削除したい場合は、次のコードを使用します。 

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

WordPress ウェブサイトがハッキングされた場合の対処法

すべてを正しく行っていたとしても、Web サイトがハッキングされた状況に陥る可能性があります。 ありがたいことに、サイトを回復モードにする、最新のバックアップから復元する、パスワードをリセットするなど、実行できる手順があります。 他のすべてがうまくいかない場合は、ホスティングプロバイダーが助けてくれるかもしれません。

WordPress のセキュリティに関する最終的な考え

WordPress のセキュリティを強化するために必要な手順を実行することで、訪問者にとって安全な状態でサイトが正常に動作し続けることを保証できます。 WordPress は多大なメリットと使いやすさを提供しますが、欠点を理解することが重要です。 ありがたいことに、iThemes のような、物事を順調に進めるのに役立つ WordPress セキュリティ プラグインが多数あります。

WordPress についてさらに詳しい情報をお探しですか? あなたをすぐに WordPress エキスパートに変える詳細な記事をいくつかご覧ください。

  • WordPress のインストール方法: 決定版ガイド
  • 2023 年の WordPress ホスティング オプション ベスト 10 (厳選)
  • 2023 年のベスト WordPress プラグイン 31 (必要なものすべて)
  • 2023 年のベスト WordPress テーマ 10 (比較およびランキング)

Pikovit/shutterstock.com 経由の注目の画像