安全なWooCommerceストアの9ポイントチェックリスト

WooCommerceはWordPress用の人気のあるeコマースプラグインであり、すべてのオンラインストアの28％以上に電力を供給しています。 公的にアクセス可能なソフトウェアとして、WordPressをカスタマイズおよび変更して、独自のWooCommerceWebサイトを構築できます。 一方、インターネット上のすべてのWebサイトと同様に、WordPressWebサイトもハッカーに対して脆弱です。 また、回避可能なセキュリティの問題があるため、WordPressのコアWebサイトとは実際には関係ありません。

この投稿では、eコマースストアが悪意のあるユーザーによって危険にさらされるのを防ぐための、WooCommerceのセキュリティに関する重要なヒントを紹介します。 さまざまな方法で計画と実装を行うことができますが、サイトのセキュリティを最適化するための簡単で効果的なソリューションがあります。これについてもここで説明します。

WooCommerceのセキュリティを強化するための9ポイントのチェックリスト

WooCommerceのセキュリティを強化する方法を見てみましょう。 自分で簡単に実装できるこれらのセキュリティ対策の中には、WordPressの専門家の介入が必要なものもあります。

1.プラグインを最新の状態に保ちます

プラグインとテーマの更新は不可欠です–理由は次のとおりです。

• ハッカーはプラグインやテーマの脆弱性を悪用し、それらのプラグイン/テーマを介してWebサイトを攻撃し始める可能性があります。 彼らは、ビジネスや顧客のデータにアクセスして、ダークウェブで販売したり、資金を送金したり、詐欺を実行したりすることに成功する可能性があります。

• 古いプラグインはセキュリティ違反の91％の原因であり、更新が必要になります。 さらに、何千ものWebサイトが毎日ハッキングされています。 ハッカーがあなたの店に侵入した場合、彼らは悪意のあるコードを無防備なユーザーにあなたのサイトに渡す可能性があります。 または、DDoS攻撃を開始して、Webサイトの速度を低下させたりシャットダウンしたりして、ダウンタイムを引き起こす可能性があります。これは、1分あたり平均5,600ドルの費用がかかります。

• プラグインとテーマのアップデートには、バグ修正とパフォーマンスの改善が含まれています。 最新バージョンは、以前のソフトウェアバージョンで特定された問題を修正し、新しい機能を追加する場合もあります。 プラグイン/テーマを維持することで、それらを使用可能で安全に保つことができます。

WordPressのテーマまたはプラグインを更新するには、WordPress管理者の[更新]タブにアクセスしてください。 ライブWebサイトのクローンであるステージングサイトのテーマ/プラグインを最初に更新して、変更をライブサイトに適用する前にテストすることをお勧めします。 これは、プラグインのコードがコアWPファイルで使用されているコードと互換性がないために、プラグインを更新すると「致命的なエラー」が発生する場合があるためです。

技術的なバックグラウンドがある場合は、ステージングサイトをより簡単に設定できます。 そうでない場合は、専門家がセットアップして、アップデートのインストールに問題がないことを確認できます。 WooCommerceのセキュリティを管理し、更新の問題から生じる結果を回避することもできます。

2.専用のWooCommerceホスティングプロバイダーを選択します

WooCommerceの特別なホスティングが必要ですか？ ええと、平均的なWooCommerceサイトはデータベースを集中的に使用し、大量のトラフィックに対応する必要があることを考えると、専用のWooCommerceホスティング会社が通常のホスティングサービスよりも適しています。 WooCommerceのセキュリティの観点から、このようなプロバイダーは、サイトの必要なすべての領域をカバーする専門的なサポートを提供することが期待できます。

ホスティングプロバイダーを探しているときに確認するセキュリティ機能の一部を次に示します。

• 暗号化された接続を有効にし、ハッカーが名前、住所、パスワード、クレジットカード番号、およびその他の機密データを見るのをブロックするSSL証明書。

• 攻撃が発生した場合にサイトを復旧して実行するための自動バックアップ。

• 攻撃をリアルタイムで検出して軽減するための攻撃監視。

• 知識豊富なWooCommerceホスティングエキスパートによる24時間年中無休のサポートにより、セキュリティ上の懸念事項をサポートします。

• プラグインと変更をライブにプッシュする前にストアに安全にテストするための組み込みのステージング環境。

パフォーマンスに関しては、プロバイダーが約束した稼働時間の保証に焦点を当てることができます。 多くの製品を扱う大規模なWooCommerceサイトがあり、毎日かなりのトラフィックを集めている場合は、99.9％の稼働率が保証されます。

3.WordPressセキュリティプラグインを使用してファイアウォールを設定します

ホスティングプロバイダーがファイアウォールを提供している場合でも、ファイアウォールをWebサイトレベルで設定すると、セキュリティがさらに強化され、コンピューターネットワークへの不正アクセスが防止されます。 プラグインを使用してファイアウォールを設定し、高度な技術知識がある場合はさらにカスタマイズを追加できます。 WordFenceは、WordPressの信頼できるファイアウォールです。 これは完全なWordPressセキュリティプラグインであり、次のような一連の機能を提供します。

• 悪意のあるトラフィックを識別してブロックするWebアプリケーションファイアウォール（WAF）

• 定義された回数の誤ったログイン試行の後にユーザーをブロックするブルートフォース攻撃に対する保護

• ハッカーがサイトにインストールした可能性のある悪意のあるソフトウェアを特定するためのマルウェアスキャン

• reCAPTCHAや2要素認証などのログインセキュリティを有効にします

最も重要なWordFence機能の多くは、無料バージョンで利用できます。 プレミアムバージョンへのアップグレードには年間99ドルの費用がかかり、WordFenceチームが検出するとすぐに、新しい脅威やマルウェアからサイトを保護するリアルタイムIPブロッキングやファイアウォールルールなどの高度な機能が付属しています。

WordFenceのようなオールインワンのセキュリティプラグインが提供する機能を手動で実装することが可能です。 非常に簡単なものもありますが、特別な要件があります。 たとえば、独自のファイアウォールを設定する場合は、サーバーへのフルアクセスが必要です。これは、専用サーバーを使用しない限り不可能です。 さらに、コマンドラインインターフェイスで作業する必要があります。コマンドラインインターフェイスは、Web開発のスキルがある場合にのみシンプルで楽しいものです。

4.ログインページをより安全にします

Webサイトの管理領域は、ユーザー名とパスワードのさまざまな組み合わせを試すことでWP-adminにアクセスしようとするブルートフォース攻撃の脅威にさらされています。 ブルートフォース攻撃または盗まれた資格情報の使用は、ハッキング内の侵害の80％以上を占めています。 ストアの管理者ログインページのセキュリティを強化するために実行できるWooCommerceのセキュリティアクションがいくつかあります。

ユーザー名を「admin」から別の名前に変更します

ハッカーの一般的なトリックは、デフォルトのWordPress管理者ユーザー名である「admin」を悪用してアカウントにログインしようとすることです。 WordPressの初期のバージョンはデフォルトで「admin」ユーザー名に設定されていたため、ストアの所有者がそれを使用する習慣がある可能性があります。 Wp-admin攻撃のリスクを減らすには、「admin」を別の名前に変更する必要がありますが、何もありません。 手順は次のとおりです。

1. >新しいユーザーの追加に移動します
2. 希望するユーザー名で新しいユーザーを作成し、それに「管理者」の役割を与えます
3. 以前の「admin」アカウントからログアウトし、新しいアカウントにログインします
4. ユーザーのリストに戻り、古い「admin」アカウントを削除します

二要素認証を有効にする（2FA）

二要素認証では、身元を確認するために2つの方法が必要です。 これは、WordPress管理者アカウントへのアクセスを制限するための2番目の防衛線として機能します。 保護するアカウントに2FAを追加する認証システムアプリで有効にできます。

オーセンティケーターアプリは、WP管理者アカウントにログインしているのが自分であることを確認するために使用できる1回限りのコードを生成します。 まず、スマートフォンまたはタブレットで認証デバイスを設定する必要があります。 このプロセス中に、アプリは、QRコードをスキャンするか、携帯電話にカメラがない場合は手動でコードを入力することにより、携帯電話に保存する秘密鍵を生成します。 これにより、アプリのサーバーと携帯電話に秘密鍵のコピーがあります。 その後、ログインするためにユーザー名とパスワードを入力するたびに、アプリは、管理者アカウントにサインインするために入力するアクセスコード（通常は6つのデジタル番号）を送信します。

WordFenceを使用して2FAを設定する方法の例を次に示します。

1. Google認証システムなどの認証システムアプリをスマートフォンやタブレットにダウンロードします
2. WordFenceをインストールしてアクティブ化する
3. WordFenceの「ログインセキュリティ」ページに移動します
4. オーセンティケーターアプリを開き、WordFenceに表示されるQRコードをスキャンします
5. リカバリコードセクションで[ダウンロード]をクリックします。これにより、認証システムアプリにアクセスできなくなった場合に使用できる一連のコードが提供されます。
6. 認証システムアプリから6桁のコードを入力します
7. 「アクティブ化」をクリックします

5.ストアアカウントに強力なパスワードを要求する

WooCommerceは、ビジネスモデルに合ったストアを作成する柔軟性を提供します。 これには、チーム内でのさまざまなアクセスレベルの提供が含まれます。 チームメンバー全員のストアアカウントを保護することは、WooCommerceのセキュリティを強化する簡単な方法です。

従業員は自分のパスワードが強力であるべきだと理解していますが、それでも1秒以内にハッキングされる可能性のある弱いパスワードを使用する傾向があります。 強力なパスワードポリシーは、複雑なパスワードを作成する必要性を繰り返す可能性があります。 ストアマネージャーや管理者のような一部の役割だけで安全なパスワードを作成するのではなく、すべてのユーザーにパスワードの複雑さのポリシーを適用する方が安全なオプションです。

これを実現する1つの方法は、iThemes Securityプラグインを使用して、ストアアカウントに強力なパスワードを設定させることです。 これがあなたがそれについて行くことができる方法です：

1. プラグインをインストールしてアクティブ化します
2. セットアップページで、ウェブサイトのタイプとして「eコマース」を選択します
3. ユーザーとして「自己」を選択します
4. プラグインが「パスワードポリシーでユーザーアカウントを保護しますか？」と尋ねたら、トグルを「はい」に設定します。

6.すべてのサードパーティeコマースプラットフォームに固有のパスワードを作成します

WooCommerceのセキュリティで見過ごされがちなのは、WooCommerceストアに接続されているサービスに使用するさまざまなアカウントのパスワードハッキングに対する脆弱性です。 WooCommerceストアに接続しているすべてのサービスに同じパスワードを使用すると、ハッカーの仕事が簡単になります。 代わりに検討すべきことは次のとおりです。

• StripeやPayPalなどのすべての支払いゲートウェイ、ホスティング、およびWooCommerceストアで使用するその他のサードパーティサービスに個別のパスワードを設定します。 パスワードの1つが公開されていても、他のアカウントは安全です。

• パスワードが互いに十分に区別されていることを確認してください。 数字や文字を変更または追加するだけでパスワードを再利用することは効果がありません。

7.ストアの定期的なバックアップを維持します

バックアップはハッカーからサイトを保護しませんが、サイトが危険にさらされた場合に貴重なデータにアクセスできるようにします。 データのバックアップコピーがあると、サイバー攻撃や、ハードウェア障害やトラフィックの急増によるクラッシュなどの他のイベントの後で、サイトをオンラインに戻すのに役立ちます。 毎日のバックアップにより、予期しないイベントが発生したときに顧客、注文、および製品の情報を復元でき、顧客と収益の損失を回避するためにビジネスの継続性が維持されます。

便利な解決策は、BlogVaultのようなリアルタイムのWordPressバックアッププラグインを使用することです。 リアルタイムバックアップは、任意の時点にデータを復元する機能を提供し、セキュリティ関連の問題の絶え間ない脅威に直面している大規模なデータベースがある場合に特に役立ちます。

8.データベースを保護します

WordPressデータベースは、Webサイト上のすべての情報を保存しているため、魅力的なターゲットになっています。 WordPressはデータベース管理システムとしてMySQLを使用しています。 WordPressサイトのPHPコードには、データベースと通信するためのSQLコマンドが含まれています。 SQLをハッキングする方法の1つは、ハッカーがSQLコードの一部を使用してデータベースを操作し、貴重な情報にアクセスする場合です。 このタイプの攻撃はSQLインジェクションであり、データベース駆動型Webサイトで一般的です。

幸い、WordPressデータベースを保護する方法はいくつかあります。開始するのに役立つ2つの方法があります。

デフォルトのテーブルプレフィックスを変更する

WooCommerceストアのデフォルトのテーブルプレフィックスはwp_です。 この設定をデフォルトのままにしておくと、ストアがSQLインジェクションに開かれます。 ストアをセットアップするときにPhpMyAdminでこの設定を変更するか、DBPrefixなどのプラグインを使用できます。 テーブルプレフィックスを変更する前に、必ずWPデータベースをバックアップしてください。 また、WordPressのメンテナンスとセキュリティの更新をかなり計画している場合は、Webサイトの訪問者をメンテナンスページまたは一時的なページに誘導することができます。

wp-configファイルを保護します

wp-config.phpファイルは、管理者パスワードを含むすべてのストアのデータベース情報が含まれているため、WooCommerceストアで最も重要なファイルです。 このファイルをルートサブディレクトリのデフォルトの位置から上位のサブディレクトリに移動すると、潜在的なハッカーがファイルを見つけるのが難しくなります。

注： Codeableは、投稿に記載されている（プラグイン）推奨事項のいずれとも提携していません。

9.精査されたWordPressセキュリティ専門家を雇う

WooCommerceストアを安全に保つために実行できる最も効果的なアクションは、WordPressのセキュリティ専門家を雇うことです。 基本的なSSL証明書のインストールから、大規模なeコマースサイトへのブルートフォース攻撃から保護するためのファイアウォールの実装まで、セキュリティプロフェッショナルを雇うことで、注文の管理や在庫の追跡など、ストアの他の部分に集中できます。

WooCommerceのセキュリティ専門家を見つける方法

DIY、代理店の採用、ウェブ上の多数のマーケットプレイスでのフリーランサーの検索など、多くのオプションがあります。 WordPressのセキュリティ専門家を提供する機関は通常、さまざまなサービスをパッケージに詰め込んでいるため、このオプションを選択する場合は、不要なサービスに注意してください。

フリーランサーのマーケットプレイスでは、精査されたWP開発者を選択するために追加料金を支払うか、自分で評価する必要があります。 これらのサイトでは、最良の入札を選択します。サイトがこの要件を明示していないという理由だけで、フリーランサーが有能であると感じるプロジェクトに入札するという保証はありません。

より良いオプションは、Codeableのセキュリティ専門家を見つけることです。

• Codeableは、WordPressに特化したフリーランサープラットフォームです。
• それはあなたのプロジェクトをあなた自身と同様のセキュリティプロジェクトに取り組んだ精査されたWordPress/WooCommerceの専門家と一致させます。 これにより、当て推量がなくなり、仕事に適した個人を確保するのに役立ちます。
• Codeableを一般的なフリーランスマーケットプレイスと一線を画すのは、プロジェクトを成功させることができる専門家とのみ協力することです。 プロジェクトを慎重に検討した上で、プロジェクトに同意したWooCommerceのセキュリティ専門家にアクセスできるので安心です。
• Codeableは、小規模なプロジェクトやセキュリティ監査などの1回限りのタスクに最適なオプションです。 代理店を雇うよりも安く、戦略的な活動にかかる時間を大幅に節約できます。
• 採用プロセスは簡単で、WooCommerceのセキュリティとメンテナンスの計画について気が変わった場合でも採用する義務はありません。

新たな脅威からWooCommerceストアを保護する

Woocommerceセキュリティ計画を実施することで、既存および新規のサイバーセキュリティの脅威に効果的に対応できます。 WordPressおよびeコマース固有のセキュリティ問題をプロアクティブに管理することは、ビジネスを中断することなく実行し、ハッキングによる経済的損失を回避し、顧客の信頼を維持するために不可欠です。

CodeableのWordPressセキュリティエキスパートがセキュリティリスクの管理をお手伝いします。

プロジェクトを提出し、セキュリティ上の懸念を迅速に軽減します。 Codeableはコストにやさしく、返金保証を提供するため、小さなタスクでテストして、より大きなセキュリティプロジェクトに使用するかどうかを決定できます。