WordPress管理エリアを保護するための10の優れたヒント

公開: 2022-07-12

2016年のHackedWebsiteReportによると、Sucuriが知っている8,000の感染したWebサイトのうち、74%がWordPressベースです。この深刻な統計は、サイトのWebセキュリティに関する継続的かつ継続的な懸念を理解するのに部分的に役立ちます。

悪意のあるサードパーティは、さまざまな方法を使用してWordPressWebサイトを攻撃します。 管理ダッシュボードが最も脆弱なターゲットになります。 これは、重要なデータを含むサイトのハブのようなものです。 管理ダッシュボードに侵入すると、サイトに重大な損害を与える危険なアクションを実行します。

疑わしい攻撃を効果的に防ぐには、WordPress管理者を保護する必要があります。 今日の記事は、ログイン領域を狭める10の方法に焦点を当てています。 詳細を掘り下げる前に、管理者ログインを保護するいくつかの理由を簡単に説明しましょう。

WordPress管理者を保護する理由

Webサイトのエクスプロイトについて話すとき、私たちは間違いなく、ハッカーが洗練されたコンピューターシステムを使用してサーバーに侵入することを考えています。

実際、プロセスはそれよりもはるかに簡単です。 彼らは単にあなたのウェブサイトのバックエンドにアクセスしてそれを制御することができます。 次に、データを失い、法的な問題に直面し、Webサイトのクリーニングにお金を費やすという結果に苦しみます。

ほとんどの場合、ハッカーはサイトにマルウェアを残して、電話番号やクレジットカードの詳細などの顧客データを盗みます。 この個人情報が盗まれると、顧客はお金を失って煩わされるだけでなく、ブランドの評判を損なうことになります。

購入者は、情報が完全に保護されているかどうかわからないため、オンラインストアに戻って購入することはありません。 顧客データも慎重に保護していないため、訴訟に巻き込まれる可能性があります。

さらに、サイバー攻撃によるWebサイトのクリーンアップにはコストがかかります。 これに対処するには、WordPressのメンテナンスサービスを雇う必要があります。

WordPress管理者を保護するために適用できる複数のテクニックがあります。 以下は、技術者でない人から技術に精通した人まで、サイト所有者にとって最も簡単な10のソリューションです。

#1デフォルトの管理者ユーザー名を変更する

WordPressは、すべてのWebサイトのデフォルトのユーザー名に管理者を割り当てます。 そしてサイバー犯罪者は確かにこれを知っています。 彼らはあなたのサイトにログインするためにあなたのパスワードを簡単に推測します。 彼らはどこかでそれを取得するか、ブルートフォース攻撃を試みることができます。

管理者ログインを保護するには、管理者ではなく別のユーザー名を使用する必要があります。 幸い、WordPressでユーザー名を変更するのは簡単です。

  1. Webサイトの管理メニューでユーザーにアクセスします
  2. すべてのユーザーを選択し、管理者プロファイルを開きます
    pda-all-users
  3. ユーザー名とパスワードを更新します
  4. 変更を保存します

#2強力なパスワードを使用してWordPress管理者を保護する

ハッキングされたWordPressサイトの8%は、弱いパスワードに由来していると推定されています。 したがって、アカウントには強力なパスワードを使用することを忘れないでください。 パスワードには、文字、数字、および特殊文字を組み合わせた8文字以上が含まれている必要があります。 ユーザー名を変更する[ユーザー]ページで、新しいパスワードを直接入力できます。

パスワードジェネレータは、ランダムで強力なパスワードの作成に大いに役立ちます。 パスワードに含める要素を選択するだけで、ツールにジョブを処理させることができます。

ただし、管理するパスワードとアカウントが大量にあるため、すべてのパスワードを覚えるのは面倒です。 幸いなことに、パスワードマネージャーアプリが手元にあり、ハッキングされることを心配せずにパスワードを安全に保存することができます。

#3カスタムログインURLを作成する

ユーザー名に加えて、WordPressは/wp-login.phpをウェブサイトドメインに追加することでデフォルトのログインリンクも提供します。 たとえば、 www.example.com /wp-login.phpです。 デフォルトのログインURLとユーザー名の両方をそのままにしておくと、ハッカーは途中でサイト管理者にアクセスできるようになります。

wp-login.phpファイルを編集してカスタム管理者ログインURLを作成できますが、プラグインを使用することを強くお勧めします。 サーバーに触れたり、Webサイトを破壊する可能性のあるファイルやフォルダーに変更を加えたりする必要はありません。

WordPressログインリンクをカスタマイズするプラグインを選択するときは、WPSHideLoginを考慮に入れてください。 このプラグインは、世界中の100万人を超えるユーザーから信頼を得ており、これまでのところこのニッチで最も人気のあるソリューションであることが証明されています。

プラグインの使用を開始するには、以下の4つの手順に従ってください。

  1. WPSHideLoginをサイトにインストールしてアクティブ化します
  2. 管理メニューの[設定]に移動します
  3. WPSHideLoginを選択します
  4. [ログインURL]ボックスに新しいログインリンクを入力します

変更を保存することを忘れないでください。 完了すると、新しいログインリンクと正しいアカウントの詳細を持つユーザーのみが管理ページにアクセスできます。

#4パスワード保護wp-adminフォルダ

wp-adminフォルダーは、ルートディレクトリにある重要な管理ファイルで構成されています。 このwp-adminフォルダーをパスワードで保護することにより、管理者用に追加のセキュリティレイヤーを作成できます。

  1. ホスティングcPannelにログインするか、FTPクライアントに接続します
  2. ヒットパスワード保護ディレクトリまたはディレクトリプライバシー
    pda-password-protect-directory
  3. /public_html/ディレクトリの下にあるwp-adminフォルダを見つけます
  4. [このディレクトリをパスワードで保護する]オプションを有効にします
  5. ユーザー名とパスワードを入力します
    pda-username-password-directory
  6. [保存]をクリックします

これは、ユーザーがWordPress管理ページを取得しようとするといつでも表示されるものです。 管理者の資格情報データを送信する前に、最初の認証レイヤーを通過するために適切なユーザー名とパスワードを入力する必要があります。

pda-admin-authentication

#5すべてのユーザーのパスワードをリセット

WordPress管理者を保護する別の方法は、特にマルチユーザーWebサイトで、すべてのユーザーにパスワードのリセットを強制することです。 これをすばやく実現するには、EmergencyPasswordResetプラグインのサポートが必要です。

有効化すると、管理者はパスワードをリセットし、ワンクリックでリセットリンクを自動的に電子メールで送信できるようになります。 以下の手順を実行します。

  1. 緊急パスワードリセットプラグインをインストールします
  2. [ユーザー][緊急パスワードリセット]に移動します
    pda-emergency-password-reset
  3. [すべてのパスワードをリセット]ボタンを押します

それでおしまい!

#6ログイン試行を制限する

WordPressでは、ユーザーが管理領域に正常にアクセスできるようになるまで、ユーザーはログイン情報を何度でも入力できます。 それでも、このオプションはハッカーにあなたのサイトをブルートフォース攻撃する機会を与えます。

これらの悪意のあるユーザーは、多くの場合、最も一般的なパスワードライブラリを持っています。 ハッカーは自動化されたスクリプトを使用して、何千もの潜在的なパスワードを調べます。

リスクを軽減するために、WordfenceSecurityプラグインを使用してログインの試行を制限できます。 これは、サイトのセキュリティとWordPressファイアウォールを担当するブルートフォース攻撃を防ぐための単なるプラグインではありません。 このプラグインの有用性については、次のセクションで説明します。

  1. サイトにWordfenceSecurityプラグインをインストールしてアクティブ化します
  2. Wordfenceを開き、[すべてのオプション]を選択します
    pda-wordfence-enable-brute-force-attack
  3. [ファイアウォールオプション]で[ブルートフォース保護を有効にする]をオンにします
  4. ユーザーが失敗したログイン情報を送信できる時間を入力します

最大試行回数に達してもログインできる場合、プラグインはIPアドレスをすぐにブロックします。

#7IPアドレスによるログインアクセスの制限

この方法は、管理領域へのアクセスを必要とするユーザーが数人いる場合に有利です。 ファイル転送プロトコル(FTP)またはWebホストのファイルマネージャーを介して.htaccessファイルを編集する必要があります。

以下のコードをファイルに追加します。

 AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName「WordPress管理者アクセス制御」
AuthType Basic
<LIMIT GET>
注文拒否、許可
すべてから否定する
#ホワイトリストIPアドレス
xx.xx.xx.xxxから許可
</ LIMIT>

xx.xx.xx.xxxを実際のIPアドレスに置き換えます。

.htaccessファイルを変更することは非常に危険です。 .htaccessファイルを編集する前に、サイトのバックアップを作成することを忘れないでください。 このようにして、サイトに問題が発生した場合に以前のバージョンを元に戻すことができます。

#82要素認証を設定する

二要素認証(2FA)を使用すると、WordPress管理者にセキュリティレイヤーを追加できます。 たとえば、モバイルデバイスに送信されたセキュリティコードを入力するか、FaceIDを使用します。

上で紹介したWordfenceプラグインをインストールしている場合は、追加のソリューションを使用せずにこの機能を利用できます。

  1. Wordfenceにアクセスし、[ログインセキュリティ]セクションを開きます
  2. 認証システムアプリでQRコードをスキャンします

#9ログインのヒントを無効にする

ユーザーが管理ダッシュボードにログインできない場合、WordPressはユーザー名またはパスワードが正しくないかどうかを通知するエラーメッセージを表示します。 これにより、ユーザーはログイン資格情報に関するヒントを得ることができます。

ランダムなユーザー名とパスワードを使用して管理者ページにアクセスするハッカーの例を見てみましょう。 彼らが詳細の1つを知っているなら、彼らはただ正しい他のものを探す必要があります。

テーマのfunctions.phpファイルを編集することでこれを止めることができます。 WordPressバックエンドの[外観] →[テーマエディター] →[ functions.php ]に移動します。 次に、functions.phpファイルに次のコードを入力します。

 関数no_wordpress_errors(){
return'何かが間違っています!';
}
add_filter('login_errors'、'no_wordpress_errors');

#10Webサイトアプリケーションファイアウォールを使用する

ファイアウォールは、WordPress管理者を保護するための古いソリューションではありません。 サイトのトラフィックを監視し、悪意のあるリクエストがサイトにアクセスするのをブロックします。 試してみることができる人気のあるプラグインには、Wordfence、iThemes Security、Sucuriなどがあります。

不審なユーザーを遠ざけるだけでなく、これらのプラグインはマルウェアをスキャンします。 ブルートフォース攻撃の防止、2要素認証、CAPTCHAなどから選択できるログイン保護オプションがたくさんあります。

WordPress管理者を保護する時間

WordPressのエクスプロイトの結果は壊滅的です。 管理者ログインサイバー犯罪により、顧客、ブランドの評判、およびお金が失われます。

予防は常に治療よりも優れています。 プラグインの有無にかかわらず、WordPress管理エリアを保護するための10のヒントを確認しました。

管理者のユーザー名とパスワードを変更するには、数回クリックする必要があります。 プラグインをインストールして、カスタムログインURLを生成し、ログイン試行を制限し、2FAを設定し、ファイアウォールを適用できます。 コードを使用して、wp-adminフォルダーをパスワードで保護し、IPアドレスでログインを制限し、ログインヒントを無効にする必要があります。

これらの方法をいくつ適用しましたか? 以下のコメントセクションで私たちと共有してください。