WordPressウェブサイトを保護する方法

公開: 2020-09-25

マネージドWordPressホスティングサービス(Pressidiumなど)は通常、ホスティングプラットフォームのセキュリティに重点を置いています。 これらのシステムでホストされているWordPressWebサイトを安全に保つために、一連の機能が展開されています。

ただし、WordPressWebサイトのセキュリティを確保するためにWordPressホストができることはたくさんあります。 Webサイトの所有者には、Webサイトの安全性を確保する上で果たすべき独自の役割があります。 この記事では、WordPressWebサイトを保護するために実行できる手順を見ていきます。

あなたのウェブサイトを安全に保つ–概要

多くのWebサイトのハッキングは、Webサイトの所有者が行ったアクション(または不作為)の直接の結果として発生します。 プラグインを最新バージョンに更新しなかったり、弱いパスワードを使用したりすると、ハッカーが標的とする悪用可能な弱点がサイト全体で実行されます。 良いニュースは、WordPressWebサイトを安全に保つために実行できる簡単な手順がいくつかあることです。 これらには以下が含まれます:

  • あなたと他のウェブサイトユーザーが強力なパスワードを使用していることを確認してください
  • キャプチャメカニズムを使用する
  • 二要素認証(2FA)を使用する
  • 非アクティブなユーザーを削除する
  • 「ログイン試行回数の制限」システムを使用する
  • コアファイル、プラグイン、テーマを常に最新バージョンに更新してください
  • デフォルトのログインURLを変更する
  • nullのテーマとプラグインの使用は避けてください

これらのステップのいくつかを詳しく見て、それらをWebサイトに適用する方法を見つけましょう。

ユーザーが強力なパスワードを使用していることを確認してください

弱いパスワードからWordPressWebサイトを保護できるサーバー側ファイアウォールやその他のホスティングセキュリティシステムはありません。 弱いパスワードの使用に関する既知の問題にもかかわらず、統計によれば、驚くべき35%のユーザーが、WordPressからより強力なパスワードを選択するように促されたにもかかわらず、WordPressWebサイトを保護するために依然として弱いパスワードを使用しています。

弱いパスワードを確認する

おそらく、これから導き出せる結論は、一部のユーザーは、弱いパスワードが使用されたときに自分のWebサイトがどれほど脆弱になるかを単に知らないということです。 残念ながら、ハッカーはずっと前に、特定のパターン(生年月日やペットの名前など)に従う予測可能なパスワードを選択するユーザーを利用する方法を考え出していました。

他の人は、弱いパスワードの脆弱性を認識している一方で、それでもなお、おそらくそれが簡単なことであるために、これらを使用し続けます。 結局のところ、単純なパスワードを覚えるのは、ランダムな文字、数字、記号で構成されるより複雑なパスワードよりもはるかに簡単です。

間違いなく、あなたのパスワードはハッカーに対する重要な防御線を提供します。 強いほど良いです。 理想的には、パスワードは一意で、ランダムに生成され、定期的に更新される必要があります。

ログインフォームでキャプチャメカニズムを使用する

キャプチャの目的は、自動化されたタスクを実行するソフトウェアアプリケーションである「ボット」から人間を区別することです。 ハッカーはこれらを利用して、Webサイトにアクセスするためにランダムなデータを使用して継続的に試行するようにボットに指示することにより、ログインページを介してWebサイトにアクセスしようとすることができます。 キャプチャは、人間とボットを区別することで、サイトに対するこの種の攻撃の発生を防ぐのに役立つように設計されています。 キャプチャは30年間使用されており、ボットの活動からキャプチャを保護するために、今でも無数のWebサイトに展開されています。

ボットのログイン試行をブロックする目的で、キャプチャをWordPressWebサイトに追加できます。 これを行う簡単な方法は、Googleのキャプチャシステムを利用するLogin noCaptchareCaptchaプラグインをインストールすることです。

ログインreCaptcha

インストールすると、おなじみのreCaptchaチェックボックスがログインパネルの下に表示されます。 これにチェックマークを付けると、離れています(とにかく正しいユーザー名とパスワードを知っていると仮定します!)。

プラグインを機能させるには、無料のGoogle reCaptchaアカウントにサインアップする必要があります。これにより、サイトキーと秘密キーを生成できます。

サイトと秘密鍵を生成する方法:

  1. Googleアカウントにログインします(まだアカウントをお持ちでない場合は、アカウントを登録する必要があります)。 Google reCaptchaページに移動し、右上に表示される[管理コンソール]をクリックします。
  2. 右上にある「プラス+」アイコンをクリックして、新しいWebサイトを登録します。 必要な情報を入力してください。
  3. 送信ボタンを押すと、次のようなページが表示されます。
GooglereCaptchaサイトのキー

次に、プロモートされたプラグイン設定のボックスにこれらの値を貼り付ける必要があります。

二要素認証(2FA)

二要素認証プロセスを使用すると、「ブルートフォース」攻撃と呼ばれる攻撃を防ぐことで、Webサイトのログインページにセキュリティの層が追加されます。 この種の攻撃では、ボットが推測されたパスワードとユーザー名を使用してWebサイトに継続的にログインしようとします(通常、123passwordなどの既知の「弱い」パスワードを利用する事前定義されたリストに従います。ボットは成功するまでサイトへのアクセスを試み続けます。これは2つの面で悪いニュースです。まず、パスワードが正しい場合、Webサイトがハッキングされています。次に、これらの継続的なログイン試行により、サーバーの負荷が増加し、正当なWebサイトの速度が低下する可能性があります。ユーザー。

幸いなことに、これを防ぐのに役立つサードパーティのプラグインが利用可能です。

2要素プラグイン

プラグインコントリビューターによるTwo-actorプラグインは、ユーザーに通常のログイン資格情報と一緒に認証コードを提供するように強制することにより、Webサイトに2要素保護を提供する便利で使いやすいプラグインです。 このコードは、メールで送信することも、Google認証システムなどのワンタイムパスワードジェネレーターを使用して生成することもできます。

2要素プラグイン

Google認証システムプラグイン

Google Authenticatorプラグインは、WordPressWebサイトを保護するために展開できるもう1つの人気のある2FAプラグインです。 この完全に無料のプラグインは、SMSを含む多くの2FA認証オプションを提供し、もちろんGoogle認証システムアプリを使用します。 これを設定するのはかなり迅速で簡単です。 プラグインをアクティブ化するときのプロンプトに従ってください。

Google認証システムプラグイン

非アクティブなユーザーを削除する

攻撃者のもう1つの簡単な標的は、長期間使用されていないWebサイトのユーザーアカウントです。 この結果、パスワードは、ユーザーが最近アカウントを作成した場合や定期的にWebサイトにログインしている場合よりも弱いことがよくあります。 このため、非アクティブなアカウントを定期的に削除することをお勧めします。

プラグインを使用すると、When Last Loginプラグインなど、これらの非アクティブなユーザーを簡単に検出できます。

有効にすると、管理者ユーザーリストテーブルにカスタム列を追加するだけで、そのユーザーの最終ログイン日時のタイムスタンプが表示されます。 この列を並べ替えることで、非アクティブなユーザーを一目で識別できます。つまり、必要に応じて削除できます。

最終ログイン時

次に、[ユーザー]-> [すべてのユーザー]で、追加された[最終ログイン]列で並べ替えます。

最終ログイン時最終ログイン列

ログイン試行を制限する

WordPressサイトにセキュリティの層を追加する別の方法は、特定の時間枠内で許可されるログイン試行の回数を制限することです。 この手法は、継続的なログイン推測を行うボットを阻止します。 さらに、この機能を提供する一部のプラグインは、ログイン試行の発信元のIPアドレスをブロックすることもできます。これにより、そのIPアドレスで動作する特定のボットが、今後サイトに対して繰り返し攻撃を試みるのを防ぐことができます。

この機能を提供する優れたプラグインは、無料のLimit LoginAttemptsReloadedプラグインです。

ログイン試行の制限リロードされたプラグイン

これを書いている時点で100万以上のインストールがあるので、プラグインがうまく機能することを確信できます。

インストールしてアクティブ化したら、[設定]メニューに移動し、[ログイン試行の制限]をクリックします。 ユーザーがWebサイトからロックアウトされるまでに許可される再試行回数など、さまざまなパラメーターを変更できます。

ログイン試行の制限設定

ログイン試行を制限することは、Webサイトを保護するための非常に効果的な方法です。そのため、PressidiumがホストするすべてのWebサイトでこれをデフォルトとして有効にしています。

注:Jetpackを使用している場合、「保護モジュール」と呼ばれる最近の機能リリースには、デフォルトで制限ログイン試行システムが含まれています。 このシステムは、ブロックされたログイン試行とIPをホワイトリストに登録するオプションに関する情報も提供します。 このプラグインを使用している場合は、別の「ログイン制限」プラグインをインストールする必要はありません。

コアファイル、プラグイン、テーマを最新バージョンに更新してください

他の多くの利点の中でも、WordPressコア、テーマ、プラグインを更新することは、Webサイトのセキュリティにとって重要です。 統計によると、古いバージョン、テーマ、プラグインは、ハッカーがWebサイトにアクセスするための最も一般的な方法であり、これらを最新の状態に保つことが最優先事項です。

Pressidiumでは、最初にテストした後、WordPressコアを自動的に最新バージョンに更新して、クライアントのWebサイトで問題を引き起こす可能性のある重要な問題がないことを確認します。 これらの更新は自動的に実行されるため、Webサイトが常に最新バージョンのWordPressを実行しているので安心できます。

Pressidiumであなたのウェブサイトをホストする

60日間の返金保証

私たちの計画を見る

さらに、Pressidiumダッシュボードからアクセスできるプラグイン更新機能を提供することにより、ホストされているWebサイトでのプラグインの更新を可能な限り簡単にします。 これにより、クライアントはWebサイトのプラグインを更新する必要があるかどうかを一目で確認できます。 その場合、Pressidiumダッシュボード内から数回クリックするだけで更新を実行できます。 また、ホストされているWebサイトを定期的にスキャンして、既知の脆弱性があるプラグインを探し、この脆弱性をWebサイトの所有者に電子メールで通知します。 古いプラグインがウェブサイトに極端なリスクをもたらす場合は、ウェブサイトの所有者に代わってこれを積極的に更新します。

デフォルトのログインURLを変更する

ログインページを保護する(実際には「正面玄関」を保護する)方法を実行したので、泥棒(またはハッカー!)が侵入を試みることさえできないように正面玄関を隠すためのオプションを見てみましょう。 。

これを行うための優れた方法は、デフォルトのWordPressログインURLの場所をカスタムのものに変更して変更することです。 そうすることで、wp-loginからのトラフィックを即座にブロックします。つまり、Webサイトでブルートフォース攻撃が発生することはありません。

ログインページの場所をすばやく変更できるプラグインの1つに、WPSHideLoginがあります。

WPS非表示ログイン

nullのテーマとプラグインの使用は避けてください

ヌルのテーマまたはプラグインは、通常、害を及ぼすように設計されたマルウェアまたは変更されたコードを含むものです。 それらはしばしば「安価で」入手可能であり、それが人々にアピールする理由です。 結局のところ、プレミアムテーマやプラグインにお金をかけなければならないことを本当に好む人は誰もいません。 いくつかのヌルのテーマとプラグインが「本物の」バージョンの数分の1のコストで利用できるので、なぜそれらが使いたくなるのかがわかります。

実際には、ヌルバージョンを使用して行う「節約」は、Webサイトがマルウェアに感染した結果として発生するコストによって影が薄くなることがよくあります。 悪意のあるコードが含まれていない場合でも、プラグインやテーマのエクスペリエンスを台無しにする可能性のある迷惑な広告やポップアップが表示されることがよくあります。 さらに、もちろん元の開発者によってサポートされていないため、問題が発生した場合に頼る人は誰もいません。

要するに、ヌルのテーマやプラグインを使用しないでください…それは本当に価値がありません!

結論

ハッキングされたWebサイトは、誰の利益にもなりません(もちろんハッカーは別として)。 高品質のマネージドWordPressホスティングは、ウェブサイトのセキュリティを大幅に向上させることができますが、ウェブサイトの所有者はウェブサイトのセキュリティを確保する役割も担っていることを忘れないでください。

上で概説した簡単な手順のいくつかに従うだけでも、Webサイトのセキュリティを向上させるのに役立ち、実装する価値があります。