WordPress管理者を保護する方法に関するガイド - MalCare

公開: 2023-04-13

安全な WordPress 管理者: WordPress Web サイトで 1 分間に90,000 件を超えるハッキングの試みが行われていることをご存知ですか? これが意味することは、サイトの大小に関係なく、Web サイトに対するハッキングの試みが差し迫っていることです。 セキュリティは、Web サイトの最大の関心事の 1 つです。

ハッカーはWordPress Web サイトをハッキングするためにさまざまな手法を使用しますが、ブルート フォース攻撃はそのような手法の 1 つです。 これには、Web サイトのログイン ページで一般的に使用されるユーザー名パスワードの組み合わせを試すことが含まれます

ブルート フォース攻撃が成功すると、 WordPress 管理者にアクセスできるようになります。 WordPress 管理エリアは、WordPress を利用した Web サイトの管理センターです。 管理者へのフル アクセス権を持つユーザーは、サイトを完全に制御できます。 したがって、WordPress 管理者をブルート フォース攻撃から保護することが重要です。

WordPress管理者を保護する方法?

サイトの WordPress 管理者をハッキングの試みから保護するのに役立ついくつかの手法を考え出しました。

1.強力なパスワードを使用する

Web サイトの所有者が犯す最も一般的な間違いの 1 つは、脆弱なパスワードを使用することです。 何年にもわたって、パスワード クラッキング技術は成熟してきました。 推測しやすいパスワードは、数分以内にクラックされます。 強力なパスワードは、巧妙なパスワード クラッキング技術からサイトを守るのに役立ちます。 WordPress サイト用の非常に強力なパスワードを作成する方法に関する優れた記事を次に示します

ただし、強力なパスワードを覚えておくことは問題になる可能性があります。 この投稿では、 WordPress の強力なパスワードを管理する方法について説明します

多くの人が犯すもう 1 つの非常によくある間違いは、複数のサイトで同じパスワードを使用する場合です。 1 つのパスワードが侵害されると、そのパスワードに関連付けられているすべてのアカウントが侵害されます。 したがって、アカウントごとに異なるパスワードを使用すると、この状況を回避するのに役立ちます。

2.一般的なユーザー名の使用を避ける

WordPress のパスワードを保護することは、WordPress のログイン資格情報を保護するための重要なステップです。 ログイン資格情報の 2 番目のコンポーネントはユーザー名です。 ユーザー名が推測しやすい場合、ハッカーはパスワードだけに集中する必要があります。

最も一般的な WordPress ユーザー名の 1 つは「admin」です。 数年前まで、WordPress は「admin」をユーザー名として自動提案していました。 WordPress は「admin」の推奨をやめましたが、多くのサイト所有者はまだそれを使用しています。 ユーザー名として「admin」を使用して、いくつかの新しいユーザー アカウントが作成されています。 これらの Web サイトはすべて、自分自身を簡単なターゲットにしています。

WordPress は一意のユーザー名の使用を強制しないため、共通のユーザー名を使用しているユーザーがいないこと、および「admin」で新しいアカウントが作成されていないことを確認する必要があります。 一般的に使用されるユーザー名のこの完全なリストを見て、避けるべきユーザー名を確認してください。

3. WordPress のログインページを非表示にする

WordPress Web サイトは、あらかじめ決められた方法で動作します。 適切な例として、すべての WordPress Web サイトには、この「www.anysite.com/wp-admin」のようなデフォルトのログイン ページが付属しています これにより、ハッカーは複数のターゲット WordPress サイトに対して同時に自動攻撃を仕掛けることができるため、ハッカーの仕事が容易になります。 しかし、ログイン ページを変更して非表示にすると、サイトへのこの種の攻撃を防ぐことができます。

ログインページを変更し、プラグインが提案する URL を使用するために使用できるプラグインは多数あります。 同じプラグインを使用している他の Web サイトが同じ URL を使用している可能性があります。 また、ハッカーが URL の形式を知っている場合、ログイン ページを隠しても意味がありません。 したがって、独自のカスタム ログイン ページ URL を作成できるツールを使用してください。

4. HTTP 認証を実装する

WordPress 管理者を保護するために、wp-admin フォルダー全体をパスワードで保護できます。 wp-admin フォルダーには、WordPress ダッシュボードを強化する管理ファイルが含まれています。 このフォルダにアクセスできるユーザーは、サイト全体を制御できます。 パスワードがフォルダー全体を保護している場合、誰かが管理セクションを要求するたびに、サーバーが認証プロセスを開始します。 ブラウザーは、ユーザーに HTTP 認証パスワードを要求します。 HTTP Auth AskApache Password Protectなど、 WordPress管理者にHTTP認証を実装するために使用できるツールはたくさんあります.

安全な WordPress 管理者
WordPressログインページで有効化されたHTTP認証

5. Google 認証システムを使用する

Web サイトのハッキング手法がますます巧妙化する今日では、強力なユーザー資格情報に加えて、別のログイン保護層を追加するのが一般的です。 この手法は、 2 要素認証(2FA)と呼ばれます この方法では、自分だけがスマートフォンで受信できるコードを送信します。 WordPress ダッシュボードへのアクセスが許可される前に、サイトに一意のコードを入力する必要があります。 このアプローチの利点は、ハッカーがあなたの資格情報を解読できたとしても、あなたのデバイスだけに送信されたコードが必要になることです.

安全な WordPress 管理者
WordPress ダッシュボードにアクセスするには、スマートフォンに送信されたパスコードを入力する必要がありました

2 要素認証に使用できる WordPress プラグインは多数あります。 Mini Orange を使用してサイトで 2FA を有効にし、WordPress 管理者を保護し、同じガイドを作成しました

6. ログイン試行の失敗回数を制限する

ブルート フォース攻撃を受けた Web サイトでは、何百回ものログイン試行の失敗が発生します。 WordPress 管理者に対するこの執拗な猛攻撃を防ぐために、サイトでのログイン試行の失敗回数を制限できます。 MalCare セキュリティ プラグインは、ログイン試行が 3 回失敗すると、ユーザーがログインを試みるのを防ぎます。 WordPress ログインページへのアクセスを再度許可するには、CAPTCHA を解決する必要があります。 これは、ユーザーが人間であるか、サイトでブルート フォース攻撃を実行しようとしている自動化されたボットであるかを判断するのに役立ちます。

安全な WordPress 管理者
ボットは画像ベースの CAPTCHA をバイパスできません

7. SSL 証明書をインストールする

当サイトのURLを見てください! 横に「セキュア」と書かれた緑色の錠前が見えますか? 私たちのサイトには SSL 証明書がインストールされているため、誰もスヌープしてユーザーのログイン資格情報を読み取ることはできません。 SSL 証明書のない Web サイトは、無意識のうちにサイトの機密情報を公開する危険があります。

安全な WordPress 管理者
このウェブサイトにはSSL証明書がインストールされています

昔は、SSL 証明書は支払いページまたは WordPress 管理エリア用でした。 しかし現在、SSL 証明書はサイト全体を保護するのに役立ちます。 Web をより安全な場所にするための取り組みにおいて、Google はSSL 証明書がランキング要因であると明確に述べています ComodoLet's Encryptなどのプロバイダーから SSL 証明書を取得できます。Webホストは、サイトでの証明書のセットアップを支援します。

8. 悪意のある IP アドレスをブラックリストに登録する

インターネットを利用する人は誰でも IP アドレスを持っています。 WordPress Web サイトに攻撃を仕掛けるハッカーでさえ、IP アドレスを持っています。 これらの IP アドレスを記録しておくと、サイトへのアクセスをブロックできます。 MalCare – 最高の WordPress セキュリティ プラグインの 1 つで、サイトで失敗したログイン試行の詳細 (IP アドレス) を提供します。 ほぼ定期的に同じ IP から多くの試行が失敗している場合は、次のコードを .htaccess ファイルに配置するだけで、これらの疑わしい IP が Web サイトにアクセスするのをブロックできます。

 注文許可、拒否

192.168.20.10 からの拒否

すべてから許可する

「192.168.20.10」は、サイトの 1 つでブロックしたかった IP アドレスです。 ブロックしたいIPに置き換えることができます。

9. セキュリティ キーの変更

サイトにログインするたびにログイン資格情報を入力する必要はありません。 ブラウザーがこれらの資格情報をどのように保存するのか疑問に思ったことはありませんか? アカウントにサインインすると、ログイン情報はブラウザの Cookie に暗号化されて保存されます。 セキュリティ キーは、この暗号化を改善するのに役立つ単なるランダム変数です。 サイトがハッキングされた場合、秘密鍵を変更すると Cookie が無効になり、すべてのアクティブなユーザーが自動的にログアウトされます。 追い出されると、ハッカーは WordPress 管理者にアクセスできなくなります。

安全な WordPress 管理者
MalCare Security Service を使用したセキュリティ キーの変更

オーバー・トゥ・ユー

WordPress 管理者を保護する方法は 1 つではないため、必ず複数の方法を使用してください。 WordPress 管理者を保護するための最も推奨される方法をいくつか紹介しました。 ただし、これらの方法を実装する前に、サイトをバックアップする必要があります 何か問題が発生した場合は、バックアップを復元するだけで、サイトをすぐに稼働させることができます.

これらに加えて、IP ブロック、ログイン ページの保護、wp-config.php によるサイトの保護、WordPress セキュリティに関するこの完全なガイドに従うこと、MalCare などの WordPress セキュリティ プラグインのインストールなど、さらにいくつかのセキュリティ対策を講じることができます。

MalCare は、上記の対策のいくつかを実装するのに役立ちます。 たとえば、MalCare Security Plugin は、セキュリティ キーの変更、ログイン試行の失敗回数の制限、Web サイトの更新の維持などに役立ちます。

MalCare セキュリティ プラグインを今すぐお試しください!