WordPressのセキュリティ:ハッカーからサイトを保護する方法

公開: 2021-10-15

ビジネスサイト、オンラインストア、趣味のブログのいずれを立ち上げようとも、WordPressは柔軟性、使いやすさ、高度な機能を提供し、大成功を収めるのに役立ちます。

ただし、稼働する準備が整う前に、セキュリティについて数分間考えてください。 サイトを可能な限り保護して、ハッカーからサイトを保護し、ファンや顧客のために常に機能するようにします。

WordPressのセキュリティが重要なのはなぜですか?

あなたのウェブサイトはあなたが誰であるか、あなたが提供するコンテンツとサービスの種類、そして彼らがあなたのブランドに何を期待できるかをあなたの訪問者に伝えます。 素晴らしい第一印象を与え、既存のファンとの信頼と忠誠を築く場所です。

そのため、Webサイトが常に稼働していることを確認することが非常に重要です。 マルウェアへのリンクが突然含まれたり、ハッキング後に実行が非常に遅くなったり、完全にオフラインになったりすると、評判に影響を与えます。

サイトがハッキングされた場合、視聴回数、売り上げ、または広告の表示回数が減少するため、お金を失う可能性があります。 正常に機能するように復元するには、コストがかかる場合があります。 また、検索エンジンのランキングを失う可能性があります—時には永久に。 だから、お金を節約する(そして顔を節約する!)ために、あなたのウェブサイトがロックされて安全であることを確認してください。

WordPressのウェブサイトはどのようにハッキングされていますか?

Googleは最近、ハッカーがWebサイトにアクセスする主な方法のリストをリリースしました。 それらのいくつかを詳しく見てみましょう。

侵害されたパスワード

ブルートフォース攻撃は、ハッカーがサイトに侵入する最も一般的な方法の1つです。 彼らはボットを使用して、適切なものが見つかるまで、さまざまなユーザー名とパスワード(1秒あたり数千の組み合わせ)を試します。

安全でないプラグインとテーマ

プラグインやテーマに見られる脆弱性は、悪意のある人物が侵入する比較的簡単な方法です。高品質のテーマの開発者は、定期的な更新でこれらの脆弱性のパッチをリリースしますが、すべてのWordPressユーザーがサイトを頻繁に更新するわけではありません。 また、nullの無料バージョンのプレミアムプラグインとテーマには、多くの場合、コードにバックドアが埋め込まれています。ハッカーがサイトにリモートでログインして、好きなことを行うためのアクセスポイントです。

弱いセキュリティポリシー

サイトへのアクセスを必要としない人に許可したり、安全でないパスワードを許可したりするなどの不十分なセキュリティ慣行は、人々があなたのWebサイトにアクセスしやすくします。

なぜ誰かがウェブサイトをハッキングするのでしょうか?

  1. 彼らはお金を盗もうとしています。 彼らは、顧客のクレジットカード情報を収集したり、訪問者を詐欺師向けに設計された悪意のあるWebサイトに誘導したりする場合があります。
  2. 彼らは情報を収集したいと考えています。 個人データを第三者に販売したり、金銭と引き換えに情報を人質にしたりする可能性があります。
  3. 彼らはあなたのサイトを削除したいと思っています。 これは通常、個人的な動機があり、一般的なWebサイトの所有者にとって脅威となることはめったにありません。
  4. 彼らはあなたのサイトを破壊したいと思っています。 繰り返しますが、これは通常個人的なものです。 ハッカーは、声明を出すことに同意しない誰かのWebサイトを改ざんする可能性があります。
  5. 彼らは他の誰かを攻撃したい。 攻撃者は、Webサイトを使用してマルウェアやランサムウェアをインターネット全体に拡散したり、Webサーバーを使用して他人を悪意を持って攻撃したりする可能性があります。
  6. 彼らは学びたいのです。 ハッカーはどういうわけか練習しなければなりませんよね? 彼らは将来、より大きく、より儲かるターゲットのためのトレーニングの場としてあなたのウェブサイトを使うかもしれません。

WordPressサイトをハッカーから保護する方法

1.高品質のホストを選択します

あなたのホスティング会社はあなたのセキュリティパートナーであり、評判の良いものを選ぶことが重要です。 あなたはあなたが支払うものを手に入れます、そして多くの割引ホストはしっかりしたセキュリティ慣行を実装していません。

しかし、どれを選ぶべきかをどうやって知るのでしょうか? 安全なホスティングプロバイダーのいくつかの兆候は次のとおりです。

  • 定期的なバックアップ。プランに含まれているか、追加料金がかかります。
  • サイト訪問者のデータを保護するSSL証明書。
  • サイトがハッキングされた場合に備えて、24時間年中無休のサポート。
  • サーバー上のファイルとデータベースを保護する組み込みのファイアウォール。
  • サイト上の疑わしいコードとアクティビティを警告するセキュリティスキャン。
  • 評判が良い。 多くの場合、レビューと推奨事項は、ホストの品質を判断するための最良の方法です。

また、十分な知識と強力なセキュリティを備えた企業は、追加費用を支払うだけの価値があることを忘れないでください。 始めるために推奨されるWordPressホストのリストは次のとおりです。

2.ソフトウェアを最新の状態に保つ

ウェブサイトを安全に保つための一番の方法は、ソフトウェア(WordPress、テーマ、プラグイン)を定期的に更新することです。 新しいリリースはセキュリティの脆弱性にパッチを適用することが多いため、更新が早ければ早いほどよいでしょう。

安定していて一度に複数のニーズを満たす信頼できるプラグインを選択することで、WordPressのセキュリティリスクを最小限に抑えることもできます。 たとえば、Jetpack Securityは、単一のJetpackプラグインに組み込まれたWordPressセキュリティツールのスイート全体を提供します。 したがって、数十のプラグインをインストールしたり、サイトへの攻撃のリスクを高めたりすることなく、追加機能の恩恵を受けることもできます。

3.安全なユーザー名とパスワードを作成します

一意のユーザー名と安全なパスワードを選択して、ハッカーに推測させてください。 20文字以上、大文字、小文字、数字、記号を使用してください。

追加のユーザーでサイトを構築している場合は、各ユーザーに正しい権限を設定していることを確認してください。 たとえば、新しいインターンにコアファイルやその他の重要なデータへのアクセスを許可したくない場合があります。 これはWooCommerceのユーザー権限に関するすばらしい記事ですが、その多くはあらゆる種類のサイトに当てはまります。

また、開発者、マーケティングエージェンシー、サポート担当者などのサードパーティのアカウントを作成する場合は、作業が完了したら必ずアクセスを削除してください。

4.オフサイトバックアップを設定します

バックアップは、コンテンツ、ハードワーク、および顧客または訪問者のデータを保護するために重要です。 サイトの問題に関係なく、完全バックアップを手元に用意しておくと、すぐに立ち上げて再度実行できるようになります。

ただし、適切な種類のバックアップを選択することが重要です。 たとえば、バックアップがサーバーではなくクラウドに保存されていることを確認してください。 つまり、サイトにアクセスできなくなったり、サーバーが危険にさらされたりした場合でも、クリーンなバージョンを復元できます。

そこで、JetpackBackupが輝いています。 すべてのバックアップを自分のサイトで使用する同じ安全なサーバーに保存するだけでなく、保護を強化するために複数の暗号化されたバックアップを保持します。

Jetpackバックアップの復元

さらに、リアルタイムと毎日の2つのオプションから選択できます。

リアルタイムバックアップは、定期的に更新されるオンラインストア、メンバーシップフォーラム、またはWebサイトに最適です。 Jetpackは、販売が行われたり、ページが更新されたり、コメントが追加されたりするたびに、サイトのコピーを保存します。 これは、何が起こっても、単一の販売や情報を失うことはないことを意味します。

毎日のバックアップは、頻繁に更新されない静的サイトに適しています。 Jetpackは、変更が加えられたときにではなく、1日に1回ファイルとデータベースを保存します。

一番良いところ? セットアップは非常に簡単です。複雑なサーバー構成は必要ありません。 いくつかの簡単な手順を実行し、サポートが必要な場合はJetpackの比類のないカスタマーサポートチームに連絡してください。

最高のWordPressバックアッププラグインをスタンドアロンツールとして、または完全なセキュリティスイートの一部として使用できます。

5.ブルートフォース攻撃からの保護を追加します

ブルートフォース攻撃は、ハッカーがボットを使用して、最終的にサイトにアクセスするまで、1秒あたり数千のユーザー名とパスワードの組み合わせを推測するときに発生します。 これらの攻撃はサイト情報を危険にさらすだけでなく、サーバーに過負荷をかけることで速度を低下させる可能性があります。

安全なログイン情報は間違いなく役立ちますが、最善の予防策は、彼らの進路を阻止するツールです。 Jetpackの無料のブルートフォース攻撃保護機能は、疑わしいIPアドレスがサイトに到達する前にブロックします。

サイトでブロックされた悪意のある攻撃の数:14,989

セットアップはこれ以上ないほど簡単です—あなたがしなければならないのは機能をオンに切り替えることだけです—そしてあなたはダッシュボードから直接ブロックされた攻撃の数を見ることができます。 ヒント:平均は5,193です!

6.マルウェアをスキャンします

ハッカーがなんとか侵入した場合は、トラブルシューティングできるように、すぐに知りたいと思うでしょう。 結局のところ、サイトがダウンしたり安全でなくなったりする時間が長ければ長いほど、評判やデータへのダメージは大きくなります。

ただし、Jetpack Scanはサイトでマルウェア、悪意のある人物、疑わしいアクティビティを自動的に検索し、何かが見つかった場合はすぐに警告します。 ワンクリックで既知のハッキングの大部分を修正することもでき、時間とお金の両方を節約できます。

Webサイトで実行されているマルウェアスキャン

また、複雑な技術用語の解読に時間を費やす必要はありません。JetpackScanダッシュボードは、すべてを素人の言葉で説明し、必要なすべてのステップを案内します。 あなたはそれを設定してそれを忘れることができます、あなたのウェブサイトが24時間年中無休で監視されていることを知って安心してください。

WordPressマルウェアスキャンツールの詳細をご覧ください。

7.ダウンタイムの監視を実装する

それが悪意のある攻撃の結果であろうと単純な間違いの結果であろうと、あなたのウェブサイトがダウンした場合、あなたは即座に行動を起こす必要があります。 しかし、サイトが機能していることを確認するために、一日中サイトをリロードする時間はありません。

Jetpackからのダウンタイム通知

JetpackのWordPressダウンタイム監視ツールは、サイトを24時間年中無休で監視し、応答が停止した場合に通知します。 次に、アクティビティログを使用して、何がいつ問題になったかを正確に判断できるため、適切に対応し、数時間や数日ではなく、数分以内に復旧して実行できます。

8.未使用のプラグインとテーマを削除します

サイトにインストールしたテーマとプラグインが多いほど、ハッカーがそれらを利用する機会が増えます。 プラグインは機能を追加するための優れた方法ですが、少しハウスキーピングを行い、使用しなくなったプラグインを削除します。

また、サイトエラーのトラブルシューティング時にフォールバックできるデフォルトのテーマ以外に、追加のテーマを保存する必要はありません。

ボーナス:これらを削除すると、サイトの速度も向上します。

9.管理者の2要素認証をオンにします

二要素認証は、ハッカーがパスワード物理的なアイテムの両方を持っている必要があるため、ログインページを保護するための非常に効果的な方法です。 管理者がサイトにログインするとき、電話に送信される1回限りのコードを入力する必要があります。

Jetpackはこの機能を無料で提供しているため、強力なパスワードよりも一歩進んだ簡単な方法です。 複数のユーザーがいますか? それらすべてに2要素認証を簡単に要求します。

10.WordPressファイアウォールを設定します

WordPressファイアウォールは、サイトに到達するすべてのトラフィックを監視し、ハッカーに対するバリケードとして機能します。 優れたホスティングプランにはサーバーを保護するファイアウォールが含まれていますが、WordPress専用のファイアウォールもインストールすることをお勧めします。

優れたファイアウォールプラグインには、悪意のある攻撃者(疑わしいIPアドレス、悪意のあるボット、「オフ」に見えるトラフィック)に関する情報のデータベースがあり、Webサイトを攻撃する前にそれらをブロックします。 WordPressプラグインリポジトリで最も人気のあるオプションのいくつかを見ることができます。

11.サイトのアクティビティを監視します

Webサイトで発生したすべてのログがあれば、それを簡単に調べて、疑わしいものを特定できます。 また、サイトがハッキングされた場合は、それが発生した時刻を特定し、実行されたアクションを把握し、どのアカウントが侵害されたかをはるかに簡単に見つけることができます。

ウェブサイトで起こった活動

JetpackのWordPressのアクティビティログは、ログインの試行や公開されたページから、削除されたプラグイン、更新されたテーマ、変更された設定まで、発生したすべての主要な変更を追跡します。 イベントごとに、タイムスタンプ、変更を加えたユーザー、およびそれらが行ったことの説明を確認できます。 その後、この情報を使用して、問題が発生する直前のバックアップのトラブルシューティングまたは復元を行うことができます。

WordPressサイトが安全でない場合はどうなりますか?

ほとんどの攻撃者は特にあなたをターゲットにしておらず、アクセスしやすいサイトを探しているだけです。 したがって、WordPressサイトが適切に保護されていない場合、ハッキングの犠牲になる可能性が高くなります。 最終的に、これは次のことにつながる可能性があります。

  • 評判の低下。 サイトにセキュリティ警告が表示されたり、ダウンしたり、疑わしいWebサイトにリダイレクトされたりすると、サイトの訪問者には見栄えが悪くなります。 彼らはあなたのブログやビジネスへの信頼を失い、あなたの売り上げや広告収入を失うかもしれません。
  • 盗まれた顧客データ。 ハッカーがeコマースストアにアクセスすると、自分で使用したり、サードパーティに販売したりできる個人情報を収集する可能性があります。
  • 破損したウェブサイトファイル。 Webサイトの一部または全部を失う可能性があり、何年にもわたるハードワークが発生する可能性があります。
  • 検索結果からの削除。 サイトがハッキングされた場合、Googleによってブロックリストに登録され、検索結果から完全に削除される可能性があります。
  • サイトのトラフィックが失われました。 低い(または存在しない)検索エンジンのランキングと、セキュリティ警告のあるサイトにアクセスしたくない人との間で、サイトのトラフィックが大幅に減少する可能性があります。
  • 広告収入の減少。 広告ネットワークは、クライアントの広告が安全でないサイトで実行されることを望んでいません。 したがって、サイトがハッキングされた場合、そのサイトは広告ネットワークから削除され、完全に禁止され、広告からの収入が減少または排除される可能性があります。 削除されなくても、トラフィックの減少は広告クリックに悪影響を及ぼします。

WordPressサイトがハッキングされているかどうかはどうすればわかりますか?

Webサイトがハッキングされているのか、それとも他の種類の問題が発生しているのかを判断するのが難しい場合があります。 ただし、サイトハッキングの兆候は次のとおりです。

  • URLをロードすると、Webサイトにセキュリティ警告が表示されます。
  • セキュリティプラグインが問題を報告します。
  • あなたのホストは問題についてあなたに電子メールを送ります。
  • あなたのウェブサイトは完全に別の場所にリダイレクトしますが、あなたはそのリダイレクトをしていません。
  • サイトのページに奇妙なコード行が表示されます。
  • サイトが完全にダウンしていますが、これは他の原因による可能性もあります。
  • サイト上の広告は、疑わしいWebサイトにリダイレクトされます。
  • あなたのサイトは突然非常にゆっくりとロードされるか、他の方法で奇妙に動作しています。

WordPressサイトがハッキングされた場合はどうすればよいですか?

WordPressサイトがハッキングされた場合、問題を修正してファイルとデータベースを回復するために実行できるいくつかの手順があります。

  1. 何が起こったかを判断します。 Jetpackを使用している場合は、アクティビティログを調べて、誰が、いつ、何を変更したかを確認してください。 これは、侵害されたアカウントを特定し、影響を受けるファイルを特定するのに役立ちます。
  2. マルウェアスキャンを実行します。 Jetpack Scanなどのツールを使用して、マルウェアやその他のハッキングの兆候がないかWebサイトファイルを検索します。 JetpackのWordPress用マルウェアスキャンツールを使用している場合は、ワンクリックで問題の大部分を修正することもできます。
  3. バックアップを復元します。 Webサイトのバックアップを定期的に作成する場合は、ハッキングが発生する前のバックアップを復元してください。 Jetpack Backupを使用している場合、ファイルはサーバーとは別に保存されるため、危険にさらされることはありません。
  4. すべてのパスワードをリセットし、疑わしいユーザーを削除します WordPressサイトとホスティングプロバイダーのすべてのパスワードをリセットします。 作成していない疑わしいユーザーアカウントを見つけた場合は、それらを削除します。
  5. ウェブサイトのセキュリティ専門家を雇う。 自分でマルウェアを削除できない場合、またはサイトが安全であることを確認したい場合は、Codeableなどのサービスからセキュリティ専門家を雇うことを検討してください。
  6. プラグイン、テーマ、WordPressのバージョンを更新します。 これは、ハッカーが利用できた可能性のある脆弱性を保護するのに役立ちます。
  7. サイトをGoogleに再送信します。 サイトがブロックリストに登録されている場合は、Google検索コンソールを使用してレビューをリクエストし、リストから削除してください。

詳細については、WordPressサイトがハッキングされた場合の対処方法について説明しているガイドをお読みください。

起動する準備ができました

作業を最初から適切なWordPressセキュリティに入れることで、サイトを成功に導くことができ、今後数年間、安全かつ効率的にサイトを実行できるようになります。 サイトハッキングの防止は、発生後に修正するよりもはるかに簡単であることを忘れないでください。

Jetpack Securityパッケージを使用すると、このリストの大部分のアイテムをわずか数分でチェックできます。開発者や複雑なセットアップは必要ありません。

最高のWordPressセキュリティプラグインを使い始めましょう。