WordPress のセキュリティ: ウェブサイトをハッカーから保護するための 8 つのステップ

公開: 2019-02-26

Web サイトのセキュリティは深刻な問題ですが、多くの人はそれがどれほど深刻な問題であるかを知らないかもしれません. しかし、毎日 50,000 を下回らないユニークな Web サイトがハッキングされていることを知ると、この問題に気づき始めるでしょう。

問題は、今日の Web サイトの大部分が WordPress プラットフォームで実行されていることです。 つまり、ハッカーに狙われている Web サイトの大部分が WordPress に基づいているということです。

WordPress 自体は、CMS で実行されているサイトの安全性を確保するために最善を尽くしていますが、間違いが発生することもあります。 この記事では、それが起こらないようにする方法について説明します。

その前ですが…

そもそもなぜWordPressのセキュリティが必要なのですか?

Web サイトの内容によっては、誰かがセキュリティを侵害したときに問題が発生する可能性があることがたくさんあります。 これらのいくつかは次のとおりです。

  • マルウェアのアップロード– ハッカーはさまざまな理由で Web サイト サーバーにマルウェアをアップロードする可能性があります。

彼らはこれを使用して、あなたのウェブサイトに関するデータと情報を収集し、何らかの理由でウェブサイトをどのように運営しているかを知ることができます. そのようなマルウェアが訪問者のコンピュータに自動的にダウンロードされるようにすることさえできます。

それは、ウェブサイトの訪問者との信頼関係を損なうだけでなく、あなたのウェブサイトをブラックリストに載せてしまいます. このような事態が発生した場合、評判を取り戻すことはほとんど不可能です。

  • ユーザー情報を盗む– Web サイトにユーザー情報 (名前、生年月日、年齢、性別などを含むプロファイル) が保存されている場合、これはハッカーにとって重要です。

彼らはそのようなデータを収集し、ブラック Web で、データ マイニング会社やその他の関係者に販売することができます。 これは、ユーザーが信頼してあなたに提出したデータの侵害を構成し、データを安全に保つというあなたの約束を破っています.

  • 財務情報を盗む– これは、オンライン ストアの運営に使用される WordPress Web サイトでは非常に一般的です。 場合によっては、厳密に電子商取引ベースの Web サイトではなく、製品を販売する Web サイトまたはその他の Web サイトである可能性があります。

このような場合、ハッカーは、これまでにクレジット カードや支払いの詳細を Web サイトに送信したことのあるすべての人をだますのに必要なすべてを手に入れます。 これにより多くの顧客が不快感を覚えるという事実に加えて、違反があなたからのものであることを知った場合、彼らはあなたから再び購入することを喜ばないでしょう.

  • 収益の操作– Web サイトは、アフィリエイト ソース、広告ストリームなどから収益を得ている可能性があります。 ハッカーがアクセスを取得した場合、彼らはあなたのアフィリエイト/広告/収入源の詳細を彼らのものに変更し、あなたの売り上げを彼らの側に転用することができます.

彼らはあなたの受取口座を変更して、自分の口座であなたの収益を得る可能性さえあります.

もちろん、これらは WordPress Web サイトの安全性が十分でない場合に起こりうる問題の一部にすぎません。 ハッカーが Web サイトにアクセスしようとする理由は他にもたくさんあります。 したがって、彼らがそうするのに苦労していることを確認する責任はあなたにあります.

WordPress ウェブサイトを安全に保つ

あなたのウェブサイトをハッカーの簡単なターゲットから除外したいですか? できることは次のとおりです。

1.ログインページを保護する

Web サイトがハッキングされる前に、ハッカーは管理ページにアクセスする必要があります。 WordPress のデフォルト設定を使用する場合、ドメイン名の末尾に / wp-adminまたは/wp-login.phpを追加するだけで、管理ページに表示されます。

知らず知らずのうちに、あなたは彼らの一歩を簡単にしました。

これを回避するには、ログイン ページをカスタマイズして、特別に指定されたアドレスのみが表示されるようにします。 そうすれば、ほとんどのハッカーのグリッドから離れたままにすることができます.

2. ウェブサイトのロックダウンを実装する

ブルート フォース攻撃は、正しいパスワードを取得するまで複数のパスワードを試行できることを利用して繁栄します。 これにより、ハッカーはダッシュボードに侵入する前に、考えられる多くの組み合わせを自由に試すことができます.

これに対抗する簡単な方法は、ユーザーが管理領域からブロックされるまでに試行に失敗できる回数を指定することです。

この動きの最も良い点は、そのような活動が記録されたときに通知を受け取ることで、より緊密な船を維持するのに役立ちます. これを可能にする多くの WordPress ファイアウォールおよびセキュリティ プラグイン。

一見の価値があるかもしれません。

3. 良いホスティング会社を選ぶ

比較的高価なホスティング会社がブランド名にお金を払わせていると信じている人々の一員にならないでください. 多くの場合、これらは安価なオプションよりも複数のセキュリティ層を提供するものです.

これらの余分な費用を支払うことによる追加の利点に加えて、すべての努力に対してより優れたセキュリティも得られます. 適切なホスティングの選択がわからない場合は、WordPress ホスティングの選択方法に関する究極のガイドに従ってください。

4.無効なテーマに近づかない

WordPress には、Web サイトで使用できる有料および無料のテーマが多数用意されています。 これらのテーマは、彼らが何をしているかを知っている高度なスキルを持つ開発者によって設計およびコーディングされています。 テーマは WordPress によってテストされ、設定基準に沿っていることも確認されています。

ただし、一部の Web サイトでは、有料テーマのクラック/無効バージョンを無料で提供しています。 クラックされたテーマに悪意のあるコードが含まれていることがわかるまでは、これは大したことのように思えるかもしれません。 サイトに最適なテーマを選択する方法については、ガイドをご覧ください。

5.ファイル編集を無効にする

デフォルトでは、WordPress Web サイトには、テーマとプラグインを変更できるコード エディター機能があります。 これは、 AppearancesまたはPluginsの下のEditorダッシュボードに移動して見つけることができます。

ハッカーがサイトへのアクセスを取得すると、ここにアクセスして悪意のあるコードを挿入する可能性があります。

何かが間違っていることがわかるまで、このような攻撃に対抗する最善の方法は、プラグインとテーマを編集する機能を無効にすることです。

6. ウェブサイトを更新する

WordPress ウェブサイトを保護するためにできる最も簡単な方法の 1 つは、常に最新の状態に保つことです。

新しい更新が行われるということは、開発者がパッチを適用するのに十分重要であると判断した欠陥を発見したことを意味します。 このギャップを埋めないと、彼らが見た欠陥に対して脆弱なままになり、そのような欠陥を回避する方法を知っている誰かがあなたを簡単に利用できるようになります.

プラグインと PHP についても同じことが言えます。プラグインも更新可能であり、通知を受け取ったらすぐに更新する必要があります。 これは、WordPress サイトを最新の PHP バージョンにアップグレードするためのガイドです。

WordPress サイトを更新する前に、サイト全体のバックアップを作成することを強くお勧めします。

7. XML-RPC 機能を無効にする

WordPress の展開に伴い、XML-RPC 機能が自動的に組み込まれます。

良い面を見ないと、この追加には不親切です。 結局のところ、WordPress アカウントをモバイル アプリやデスクトップ アプリにシームレスに接続することが簡単になるのはそのためです。

ただし、ブルートフォース攻撃がはるかに速い速度で簡単に発生するようにもなります.

たとえば、その機能が有効になっている場合、ハッカーはパスワードを 500 回推測する必要はありません。 system.multicall関数を使用して約 50 のリクエストを行うだけで、同じ時間枠で数千のパスワードを試すことができます。

これに対する簡単な修正は、特に使用していない場合は、機能を無効にすることです。

8.アイドルユーザーをログアウトする

ハッカーが遠隔地から Web サイトへのアクセスを取得する必要があるのは、毎回ではありません。 Web サイトに複数のユーザーがいる場合、そのようなハッカーは、ユーザーがコンピューターを離れるまでうろつきます。

そのため、ダッシュボード領域で誰も長時間アイドル状態にさせてはなりません。 多くの銀行や金融のウェブサイトを見たことがあるなら、これは彼らがユーザーデータを安全に保つために使用するのと同じモデルです.

これを行う方法の 1 つは、Idle User Logout プラグインをインストールすることです。 各ユーザーが再度ログインする必要があるまでアイドル状態に費やす時間を指定するように構成してください。

以上のことを踏まえて、最悪の事態に備えておくことをお勧めします。 上記を実装している必要がありますが、Web サイトを時々バックアップするようにしてください。これは、WPvivid バックアップ プラグインのような無料のバックアップ プラグインを使用して簡単に行うことができます。 そうすれば、何か問題が発生した場合でも、バックアップの最後のポイントからいつでも復元できます。

しかし、私たちはあなたのためにそれを望んでいません.

ここで言及していない、WordPress Web サイトを保護するために使用するヒントが他にもありますか? コメントでそれらについてお知らせください。

この記事では、WordPress を保護するための最も重要な手順について説明しました。WordPress サイトをあらゆる面から保護するための究極のガイドも作成しました。