WordPress マルウェア スキャナーとは何ですか? その価値はありますか?

公開: 2024-03-12

WordPress Web サイトが数百万ドル規模の e コマース ストアであっても、個人のブログであっても、マルウェアの悪影響は壊滅的なものになる可能性があります。 どれだけの予防策を講じても、いつ誰かが新たなセキュリティ脆弱性を見つけて悪用するかわかりません。

多くの種類のマルウェアは Web サイトの日常的な機能を妨げないため、侵害されていることさえ気づかない可能性があります。 マルウェアは隠れている一方で、密かに機密データを盗んだり、有害な Web サイトへのスパム リンクを挿入したり、悪意のあるリダイレクトを追加したり、訪問者に詐欺メールを送信したり、サーバーを使用して暗号通貨のマイニングを行ったりします。 何かがおかしいことに気づくまでに数週間から数か月かかる場合があり、その頃には検索エンジンからブロックリストに登録され、ユーザーの信頼を失い、データを回復するための困難な取り組みが始まっています。

マルウェア感染を防ぐための最初のステップは、厳格なセキュリティ対策を導入することです。 次のステップは、Jetpack Scan などのマルウェア スキャナーをインストールして、より一般的なタイプのマルウェアを検出し、大規模な被害が発生する前に削除することです。

この記事では、マルウェア スキャナーの仕組みと、マルウェア スキャナーが Web サイトのセキュリティにとって重要である理由について説明します。 また、マルウェア スキャナーに関するいくつかの一般的な誤解を暴き、ソリューションを選択する際に考慮すべき要素について説明し、WordPress サイトにマルウェア スキャナーをインストールする方法を示します。

Web サイト マルウェア スキャナーとは何ですか?

Web サイト マルウェア スキャナーは、Web サイトのサーバー上の悪意のあるコードとソフトウェア (一般にマルウェアと呼ばれます) を識別するように設計されています。 サーバー上のファイルとディレクトリをスキャンし、マルウェアの存在を示す可能性のある特性、動作、および一般にシグネチャと呼ばれる既知のマルウェア パターンを検索します。

これらのスキャンは通常、サーバー上の悪意のあるファイルとアクティビティを継続的に監視するために、一貫した定期的な間隔で実行されます。 少なくとも、このアプローチではマルウェアによる被害を最小限に抑えることができますが、多くの場合、マルウェアが実行されたり損害を与えたりする前にマルウェアを検出してブロックできます。

マルウェア スキャナーが悪意のあるコードを識別すると、通常、脅威に対処するためのオプションが提供されます。 これには、感染ファイルの隔離、ファイルの駆除の試行、Web 管理者への手動削除の通知などが含まれる場合があります。

WordPress サイトにマルウェア スキャナーを導入する価値はありますか?

適切なセキュリティ対策を講じていても、サイトがハッキングされる可能性があります。 完璧な解決策はなく、ハッカーは常に Web サイトに侵入し、検出を回避する新しい方法を考案することに熱心に取り組んでいます。

世界最大手の企業が依然としてハッキングされた Web サイトに定期的に対処しなければならない場合、あなたのサイトが 100% 侵入不可能であると考える理由はありません。 セキュリティを適切に実践すれば、リスクが大幅に軽減され、大部分のハッキングが防止されます。 ただし、何かがすり抜けてしまった場合は、マルウェア スキャナーがそれらの脅威を迅速に特定して排除するのに役立ちます。

マルウェアを迅速に特定することで、WordPress Web サイトの評判を保護し、安定したサイトのパフォーマンスを維持できます。 マルウェアがウェブサイト上でチェックされずに実行されると、検索エンジンのペナルティやブロックリストに登録される可能性があります。 また、サーバーのリソースを使用して悪意のあるソフトウェアを実行することにより、サイトの速度が低下する可能性があります。

マルウェア スキャナーの役割

マルウェア スキャナーはセキュリティ エコシステムで重要な役割を果たします。 マルウェアが Web サイトの第一防御線をすり抜けてサイトに侵入する可能性がある場合、スキャナーは専門家が即座に行動を起こし、潜在的な被害を軽減するのに役立ちます。 マルウェア スキャナーの役割をもう少し詳しく見てみましょう。

脅威の早期検出

マルウェア スキャナーは、拡張機能の既知の脆弱性を先制して探し、必要な修正を更新または適用するようにユーザーに警告します。 いくつかの追加の脆弱性スキャナーは、次のことを警告する場合があります。

  • 安全でないユーザーパスワード
  • 古いプラグインとテーマ
  • WordPress コアファイルが古い、または設定が間違っている
  • ブロックリストへの登録
  • 不審なサイト活動

合理化されたクリーンアッププロセス

一部のマルウェア スキャナーには、マルウェアを自動的に削除したり、感染した WordPress ファイルまたはディレクトリに関するレポートを提供したりするオプションが含まれているため、問題のあるコードを簡単に見つけて削除できます。

他のセキュリティ対策との統合

マルウェア スキャナーは、多層セキュリティ戦略の重要なコンポーネントであり、セキュリティのスイス チーズ モデルと呼ばれることもあります。 ウェブサイトを安全に保つには、個別のセキュリティ対策だけでは十分ではありません。 攻撃者が侵入できる穴が常に存在します。 スイス チーズ戦略を採用すると、複数の保護層が作成され、これらを組み合わせて使用​​すると、より完全な防御が実現します。

マルウェア スキャナーが広範なセキュリティ ソフトウェア パッケージの一部として提供されているか、使用している他のセキュリティ ツールと互換性がある場合、Web サイトにマルウェア保護層が追加されます。

WordPress マルウェア スキャナーに関する一般的な誤解を暴く

誤解 1: スキャナーは誤った安心感をもたらす

マルウェア スキャナーを Web サイトのセキュリティの唯一の方法とみなすべきではありません。 完全なセキュリティを実現するにはマルウェア スキャナーのみが必要であると約束するセキュリティ ソフトウェアは避けるべきです。 マルウェアのスキャンは不要だと主張するセキュリティ ソフトウェア会社も同様です。

こう考えてみてください。ドアや窓を施錠したままにしても、侵入者が侵入する可能性はあります。入り口と出口が 1 つしかない地下の洞窟に家を建て、複数の柵で囲まれ、ワニでいっぱいの堀を設けることもできます。 、そして一連の複雑なブービートラップ。

しかし、これはほとんどの住宅所有者にとって現実的ではないだけでなく(そして、ほとんどの HOA 規則に明らかに違反しています)、招待客にとっても非常に不快なことであり、侵入者がいずれにせよ侵入する可能性があります。

合理的なアプローチとしては、すべての窓とドアに安全な鍵をかけて、外出中は貴重品を鍵のかかった金庫に隠しておき、敷地内に侵入したり家に入ろうとする侵入者を捕まえるために屋外に防犯カメラを設置したりすることが考えられます。 。

これと同じアプローチが Web サイトのセキュリティにも当てはまります。 Web サイトを 100% 安全にする唯一の方法は、あなた以外の人が Web サイトにアクセスできないようにすることです (これでは、Web サイトを持つ目的が損なわれてしまいます)。 セキュリティと使いやすさのバランスは常に必要ですが、それがどのようなものになるかはニーズによって異なります。

セキュリティに最も大きな影響を与える予防策に重点を置きマルウェア スキャン プラグインをインストールして、すり抜ける可能性のある最も一般的な脅威とセキュリティの脆弱性を検出します。

誤解 2: すべてのスキャナーは同等である

すべての WordPress マルウェア スキャナーが同じように動作するわけではなく、同じ機能を提供するわけでもありません。 コストの違いもあり、各ソフトウェア プロバイダーの製品には、異なる価格帯の異なるサービス層が存在する場合があります。

マルウェア スキャナーの違いは次のとおりです。

  • スキャン方法。 マルウェア スキャナーは、WordPress Web サイトをスキャンするためにさまざまな手法を使用できます。 シグネチャベースの検出、ヒューリスティック分析、または動作分析に依存するものもあれば、これらの方法を組み合わせて使用​​するものもあります。
  • リアルタイム監視。 一部の WordPress マルウェア スキャナーはリアルタイム監視を提供し、Web サイト上のマルウェアや不審なアクティビティを継続的にチェックします。 スケジュールされたスキャンまたはオンデマンド スキャンを提供するものもあります。
  • データベースとファイル システムのスキャン。 マルウェア スキャナは、Web サイトのデータベースとファイル システムの両方をスキャンして、悪意のあるコードやファイルを検出することがあります。 これらのスキャンの深さと徹底的さはさまざまです。
  • 除去機能。 ほとんどのマルウェア スキャナーはマルウェアを検出できますが、すべてのマルウェア スキャナーが自動または手動の削除オプションを提供しているわけではありません。 マルウェアの存在を警告するだけで、削除プロセスを Web サイト管理者に任せるものもあります。
  • 使いやすさ。 ユーザー インターフェイスと使いやすさは、WordPress マルウェア スキャナーによって異なります。 ユーザーフレンドリーなダッシュボードと詳細なレポートを提供するものもありますが、学習曲線が急な場合もあります。
  • 統合。 特定の WordPress マルウェア削除プラグインとスキャナーは、特定の WordPress セキュリティ サービスとシームレスに連携するように設計されており、WordPress ユーザーにとって統合が容易になります。
  • 互換性。 マルウェア スキャナーと WordPress 設定 (ホスティング プラットフォーム、WordPress のバージョン、プラグイン、使用しているテーマなど) との互換性は異なる場合があります。 一部のスキャナーには制限や互換性の問題がある場合があります。
  • リソースの使用量。 Web サイトのパフォーマンスとサーバー リソースへの影響は、マルウェア スキャナーによって異なる場合があります。 ローカル スキャナーはリモート スキャナーよりも多くのリソースを消費するため、サイトの速度と応答性に影響を与える可能性があります。
  • 料金。 一部のマルウェア スキャナーは無料バージョンを提供していますが、他のマルウェア スキャナーはサブスクリプションまたは 1 回限りの支払いが必要なプレミアム ツールまたはサービスです。 価格構造と機能は大きく異なる場合があります。
  • サポートとアップデート。 マルウェア スキャナーの開発者によって提供されるカスタマー サポートのレベルと更新の頻度は異なる場合があり、これはツールの有効性を維持するために非常に重要です。
  • 追加機能。 一部のマルウェア スキャナーには、ファイアウォール保護、脆弱性スキャン、ブロックリスト チェックなどの追加のセキュリティ機能が含まれている場合がありますが、マルウェアの検出のみに焦点を当てているものもあります。

スキャナーには多くの違いがあるため、特定のニーズ、予算、技術要件に合ったマルウェア スキャナーを選択できるように、徹底的な調査を行うことが重要です。

誤解 3: スキャナーにより Web サイトの速度が低下する

はい、ローカル スキャナーはリソースを大量に消費する可能性がありますが、それでも、通常 Web トラフィックが最も少ない時間帯にこれらのスキャンを実行するように設定できます。

ローカルのマルウェア スキャナーによる定期的なスキャンよりも一貫してサイトの速度を低下させる要因は他にもたくさんあります。 Web サイトが遅い原因として最も一般的なものは次のとおりです。

  • 低品質のホスティング。 WordPress Web サイトが、ストレージ、メモリ、CPU リソースが制限された低品質のホスティング プランでホストされている場合、読み込み時間が遅くなります。 共有サーバー上にある場合、「隣接」サイトが効率的に設定されているか、マルウェアに感染しているか、サーバー リソースを大量に消費するタスクを実行しているかどうかはわかりません。
  • 大きな画像ファイルとビデオファイル。 画像ファイルのサイズが(必要な品質を維持しながら)可能な限り小さくなるように最適化されていない場合、Web サイトの読み込み時間が遅くなる可能性があります。 ビデオ ファイルはサーバー リソースを大量に消費する可能性があるため、ビデオ コンテンツをより効率的に配信するように設計された Jetpack VideoPress のようなサービスを使用してオフサイトでホストするのが最適です。
  • キャッシュが不足している。 キャッシュは、Web サーバーから前処理されたコンテンツを一時的に保存して提供することで、Web サイトのパフォーマンスを向上させます。これにより、リクエストが行われるたびにコンテンツを最初から再生成することなく、コンテンツをすぐに取得してユーザーに配信できるようになります。 これにより、サーバーへの負担が軽減され、Web ページの読み込みにかかる時間が最小限に抑えられます。
  • 最適化されていないコード。 コードの縮小、圧縮、非同期または遅延読み込みなどの手法は、パフォーマンスを大幅に向上させるのに役立ちます。
  • プラグインとテーマの肥大化。 コーディングが不十分なテーマやプラグインを使用したり、プラグインが多すぎたり、冗長なプラグインを使用したりすると、Web サイトの速度が低下する可能性があります。
  • コンテンツ配信ネットワーク (CDN) を使用しません。 CDN は、エンド ユーザーに Web コンテンツをより効率的に配信し、パフォーマンスを向上させることを目的として、地理的に複数の場所に戦略的に配置されたサーバーの分散ネットワークです。 CDN は、遅延を短縮し、配信元サーバーの負荷を最小限に抑え、全体的なユーザー エクスペリエンスを向上させるように設計されています。

サイトの速度を最適化するためにできる限りのことを行っており、サイトが常に高速に読み込まれるようにしたい場合は、リモート スキャンを使用する WordPress マルウェア スキャナーを選択してください。 リモート スキャナーは独自のサーバー リソースを使用してスキャンを実行するため、ユーザー自身のサーバーへの影響はほとんどありません。

検討しているスキャナーの種類に関係なく、マルウェア スキャナーよりもサイトの速度を低下させるものが 1 つあることは間違いありません。それは実際のマルウェアです。

誤解 4: マルウェアによってスキャナー プラグインが無効になる場合は、スキャナー プラグインをインストールする意味がありません。

WordPress Web サイトのほぼすべてのマルウェア スキャナ ソリューションの主な問題は、使用するためにプラグインをインストールする必要があることです。 そして、追加の卑劣なマルウェアや管理者レベルのアクセス権を取得したハッカーが簡単に侵入し、マルウェア スキャナ プラグインを削除できるとしたら、なぜわざわざする必要があるのでしょうか。 ポイントは何ですか?

真実は、マルウェア スキャナーが完璧ではないからといって、マルウェア スキャナーが役に立たないということではなく、Web サイトのセキュリティに対する包括的で多層的なアプローチの重要なコンポーネントであるということです。 高品質のマルウェア スキャン サービスを他の予防的なセキュリティ対策と組み合わせて使用​​すると、最高の保護機能と対応機能の両方が提供されます。

マルウェアの疑いがある場合に迅速に対応する方法

セキュリティ プラグインが悪意のある者によって削除されるのではないかと心配な場合は、迅速に対応するためにできることをいくつか紹介します。

  • サービスへの接続が中断されたときにアラートを送信するマルウェア スキャン サービスを使用します。 少なくとも、サービスは Web サイトに接続できない場合に電子メールで通知を送信する必要があります。
  • セキュリティ ソフトウェア会社からのメール用のフィルターを作成します。 誤って SPAM フォルダーに入らないように、それらに高優先度または重要のフラグを付けてください。
  • サービスが中断された場合、携帯電話に即座に通知を受け取ります。 潜在的な問題に対する最新情報をできるだけ早く入手できるように、選択したセキュリティ ソフトウェア会社がプッシュ通知または SMS アラートを提供していることを確認してください。
  • を使用してください オフサイトでホストされているアクティビティ ログ。 セキュリティ サービスがアクティビティ ログを提供し、Web サイトが侵害された場合でもアクセスできるように、ログが Web サイトとは別のサーバーに保存されていることを確認してください。 ログを確認すると、サイトがいつハッキングされたかを示す可能性のある異常なアクティビティを見つけることができるはずです。

サイトにログインし、スキャナーが無効になっているか削除されていることがわかった場合は、次のステップのための 2 つの異なるオプションが表示されます。

  1. クリーンなバックアップから復元します。 特定の日にサイトが感染していなかったことがわかっている場合は、その日に作成された以前のバックアップから Web サイトを復元できます。 Web ホストが毎日のバックアップを保持している場合は、そこから復元することも、リアルタイムで動作して最も包括的な保護を実現し、ファイルをオフサイトに保存してセキュリティを強化し、リソースへの負担を軽減する Jetpack VaultPress Backup のようなプラグインを使用することもできます。

注:前回のクリーン バックアップ以降に注文が行われた e コマース サイトがある場合、または新しい投稿や商品を公開した場合は、バックアップを復元するときにそのデータが失われる可能性があります。 再インポートできるように、バックアップから復元する前に、ファイル、顧客、投稿、製品、注文を必ずエクスポートしてください。

ここでも Jetpack Backup が威力を発揮します。 サイトの残りの部分を最近の注文が行われる前の日付に復元する必要がある場合でも、WooCommerce の注文データは保持されます。

エクスポートされたファイルを調べて、マルウェアの痕跡が隠されていないことを確認する必要があります。 これを行うには、バックアップ ファイルとエクスポートされたファイルをステージング サイトに復元し、実際の環境に展開する前にスキャンを実行します。

  1. セキュリティ プラグインの新しいコピーをインストールし、スキャンを実行します。 ハッキングがいつ行われたかわからない場合は、セキュリティ プラグインを削除し、WordPress.org ライブラリまたは開発者の Web サイトから新しいコピーを直接再インストールする必要があります。 セキュリティ プラグイン自体が侵害された場合、プラグインに加えられた変更は上書きされます。

    次に、サイトのスキャンを実行します。 スキャンでマルウェアが検出された場合は、スキャナーでマルウェアを削除するか、手動で修正することができます。

    スキャンを実行してもマルウェアが検出されなかったが、何か不審なことが起こっているのではないかと心配な場合は、記事「WordPress サイトからマルウェアを検出して削除する方法」の手順に従ってください。 この記事の最後には、マルウェアを削除した後に将来の攻撃から保護するために何をすべきかに関するいくつかの優れた手順も含まれています。

マルウェア スキャナーを選択する際に考慮すべき 5 つの要素

1. ローカル スキャナーですか、それともリモート スキャナーですか?

スキャナーの中には、独自のサーバー上でローカルに動作するものと、リモート サーバー上で動作するものがあります。 ローカル スキャナー、完全なリモート スキャナー、プラグインを使用して WordPress サイトと統合するリモート スキャナーの間には、注意すべき重要な違いがいくつかあります。

ローカルスキャナ

ローカル マルウェア スキャナーは、WordPress サイトがホストされている Web サーバーに (プラグイン経由で) 直接インストールされ、そのサーバー環境内で実行されます。 WordPress のファイル、ディレクトリ、データベースのディープ スキャンと監視に重点を置いています。 リアルタイムの監視を提供したり、特定の間隔でスキャンして Web サイト所有者に不審な変更やアクティビティを警告するように設定したりできます。

ローカル スキャナーはファイルやディレクトリにアクセスできるため、マルウェア感染の自動クリーンアップを提供するものもあります。

ローカル スキャナーの欠点は、リモート スキャナーよりも多くのサーバー リソースを消費する可能性があり、Web サイトのパフォーマンスに影響を与える可能性があることです。 これは、Web サイトが共有ホスティング環境に配置されており、使用できるリソースが限られている場合に考慮することが特に重要です。

さらに、ローカル スキャナーとマルウェアは同じ環境内で実行されるため、マルウェアがスキャナーを直接攻撃し、マルウェアが疑わしいものとしてフラグ付けされないようにホワイトリストに登録される可能性があります。

リモート専用スキャナー

リモート マルウェア スキャナーは、サードパーティのセキュリティ サービス プロバイダーによって外部でホストされます。 これらはホストとは別のサーバーから動作します。 サイトのスキャン中に比較されるデータは外部サーバー上にあるため、サイトにインストールされている可能性のあるマルウェアは、それ自体をホワイトリストに登録するなどの変更を加えることができません。

純粋なリモート スキャナ (サイトの URL を入力して手動スキャンを実行するブラウザベースのサービスなど) は、ローカル スキャナのように Web サイトのファイル システムやデータベースに直接アクセスできないため、チェックできるのは、 Web サイトの一般にアクセス可能な部分を通じて脆弱性とマルウェアの証拠を検出します。 これは、まったくレビューできないサイト コンポーネントがたくさんあることを意味します。

統合されたリモートスキャナー

WordPress Web サイト用に特別に設計されたほとんどのリモート スキャナーは、ディープ ディレクトリ アクセスを許可する権限を持つサイトへの安全な接続を確立するプラグインのインストールに依存しています。

このアプローチには次の利点があります。

  • スキャン中のサイトのパフォーマンスへの影響が軽減されます。 スキャン プロセスのほとんどまたはすべてをリモートで実行すると、Web サイトの速度を低下させることなくスキャンが可能になります。
  • ファイルとディレクトリの詳細なスキャンと自動クリーンアップ。 リモート マルウェア スキャナーにローカル コンポーネントがあるということは、スキャナーがファイルとディレクトリにアクセスできるようになり、詳細なスキャンと自動マルウェア クリーンアップが可能になることを意味します。 これにより、マルウェアを検出して迅速に削除できる可能性が高まります。
  • 最新のデータベースと比較されるスキャン。 既知のマルウェアのデータベースがプロバイダーによってオフサイトでホストされている場合、プラグインが古くても、スキャンは常に入手可能な最新の情報と比較されます。
  • オフサイトのロギング。 スキャナはリモート サーバーで情報を収集しているため、その情報はリモートに保存される可能性もあります。 こうすることで、マルウェア感染 (またはその他の理由) により Web サイトにアクセスできなくなった場合でも、すべてのアクティビティ ログを確認することができます。

このハイブリッド アプローチを使用するスキャナーが、おそらく最も効率的で堅牢なオプションとなるでしょう。

2. Web アプリケーション ファイアウォール (WAF) はありますか?

マルウェア スキャナーと WAF は主な目的が異なりますが、相互に効果的に補完して、さまざまな脅威に対する包括的な保護を提供します。

WAF とマルウェア スキャナーを組み合わせることで、より包括的な防御が保証されます。 WAF は、悪意のあるトラフィック、不審なリクエスト、SQL インジェクション、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (CSRF) などの一般的な Web アプリケーション攻撃を含む、幅広い脅威をブロックおよび軽減するように設計されています。 WordPress サイトがハッキングされた場合でも、WAF は悪意のあるリクエストをブロックすることでマルウェアの拡散を防ぐことができます。

WAF のもう 1 つの利点は、受信 Web トラフィックを検査し、脅威が発生したときにブロックすることで、リアルタイムの監視と保護を提供できることです。 WAF は、疑わしいパターンや動作を特定することで、ゼロデイ脆弱性や新たな脅威から保護する機能も備えています。 新しいマルウェアの種類や攻撃手法が出現した場合、多くの場合、マルウェア スキャナーがそれを認識するように更新される前に、WAF がそれを検出してブロックできます。

マルウェア スキャナーを Web アプリケーション ファイアウォールと統合することで、マルウェアの検出と削除からプロアクティブな脅威の防止と軽減に至るまで、Web セキュリティのさまざまな側面に対処する多層防御戦略を作成できます。

3. スキャナーを開発および管理しているのは誰ですか?

使用しているセキュリティ ソフトウェアの開発者が信頼できるかどうかを知ることが重要です。 セキュリティ ソフトウェアは一流で、適切にメンテナンスされ、WordPress で動作するように特別に設計されている必要があります。

マルウェア スキャナ ソフトウェア会社を評価する場合は、次の点を検討してください。

  • 彼らは確立された評判の良い開発者ですか? 評判の良い開発者はツールを積極的に保守し、新しい脅威や脆弱性に対処するためのアップデートをリリースします。 開発者を知ることで、継続的なサポートと改善に対するツールの取り組みを評価できます。
  • 彼らは WordPress のセキュリティについて深く理解していますか? 開発者と WordPress セキュリティ コミュニティでの評判を知ると、スキャナーが信頼できるかどうかを判断するのに役立ちます。 特に WordPress サイトを対象とした製品を開発し、WordPress に長年取り組んできた開発者は、WordPress 用の効果的で安全なツールを作成および保守する可能性が高くなります。
  • データ処理における透明性とプライバシーに取り組んでいますか? マルウェア スキャナーは、ファイルやデータベースのコンテンツなど、Web サイトに関する機密情報にアクセスします。 データの使用とストレージの慣行に関する透明性により、データが安全に扱われているかどうかを知る必要がある情報が得られます。
  • ユーザーの間で尊重されていますか? オンラインでの存在感が強い開発者は、活発なユーザー コミュニティを持っていることがよくあります。 ユーザーのフィードバックとレビューをチェックすると、マルウェア スキャナーの有効性と信頼性についての洞察が得られます。
  • 高レベルのカスタマーサポートはありますか? 緊急のセキュリティ問題に関しては、問題が発生した場合に、テクニカル サポート、質問、支援に簡単に連絡できるようにしたいと考えています。 マルウェア スキャナーの開発者が必要なサポートを提供していることを確認してください。

WordPress マルウェア スキャナーの背後にある開発者と管理者を理解することは、ツールの正当性、セキュリティ、有効性を確保するために重要です。 WordPress セキュリティ プラグインに関する広範な背景を持つ評判の高い開発者は、信頼性が高く安全なソリューションを提供し、タイムリーなサポートと更新を提供し、データ処理の実践について透明性を保つ可能性が高くなります。 WordPress サイト用のマルウェア スキャナーを選択するときは、開発者とその実績を調査し、情報に基づいた選択をすることが賢明です。

4. 攻撃による経済的影響と比べて、どれくらいの費用がかかりますか?

WordPress マルウェア スキャナーのコストは、機能、性能、選択したプロバイダーなどのいくつかの要因によって大きく異なります。 WordPress マルウェア スキャナーの一般的な価格帯には次のものがあります。

  • 無料のプラグイン。 WordPress プラグイン ディレクトリには、無料のマルウェア スキャナ プラグインがいくつかあります。 これらのプラグインは、基本的なマルウェア スキャン機能を無料で提供します。 単純なスキャンのニーズには役立ちますが、高度な機能やサポートが欠けている場合があります。
  • プレミアムプラグイン。 プレミアム WordPress マルウェア スキャナー プラグインは通常、より高度な機能、より頻繁なスキャン、自動クリーンアップ、および追加のセキュリティ対策を提供します。 プレミアム プラグインの価格は、機能や保護する Web サイトの数に応じて、年間約 100 ドルから 500 ドル以上の範囲です。 一部のプレミアム プラグインでは、アップグレードを決定する前にソフトウェアをしばらく試してみたい場合に、機能が制限された無料バージョンも提供されています。
  • エンタープライズ ソリューション。 複雑な WordPress Web サイトと高度なセキュリティ要件を持つ大規模な組織は、カスタムのエンタープライズ ソリューションを選択する場合があります。 これらのソリューションの価格は大きく異なり、通常、Web サイトの数、カスタマイズ、サービス レベル アグリーメント (SLA) などの特定のニーズに基づいてプロバイダーと交渉されます。
  • ワンタイムスキャンサービス。 一部の企業は、固定料金で 1 回限りのスキャンとクリーンアップ サービスを提供しています。 1 回限りのスキャンおよび削除サービスの料金は、クリーンアップの複雑さと Web サイトの規模に応じて、通常 50 ドルから 200 ドル以上の範囲です。

WordPress マルウェア スキャナーを選択するときは、Web サイト固有のニーズと予算を考慮することが重要です。 基本的なニーズには無料バージョンのセキュリティ プラグインで十分ですが、プレミアム プラグインとサブスクリプション サービスは、より包括的なセキュリティ機能とサポートを提供します。

5. 他のセキュリティ ソリューションとうまく統合できますか?

WordPress サイトの保護には多くの手順が必要であり、継続的なプロセスです。 これは、単に設定して忘れることができるものではありません。 リアルタイム バックアップ、Web アプリケーション ファイアウォール (WAF)、ブルート フォース保護、強力なパスワード、二要素認証 (2FA)、Web サイトの機密領域にアクセスするための厳格な権限設定、その他の予防措置などの予防策はすべて、重要な部分です。ウェブサイトを安全に保ちます。

マルウェア スキャナーは、その優れたセキュリティ エコシステムの一部にすぎません。

一部の WordPress マルウェア削除プラグインまたはスキャナーは独立しているため、使用している他のセキュリティ ソフトウェアと互換性がない場合があります。 他のマルウェア スキャナーは、より広範な機能を備えたセキュリティ プラグインに統合されているか、同じ開発者による一連のプラグイン内の 1 つのモジュールです。

たとえば、Jetpack Scan は単独で有効にすることもできますが、人気のある WordPress セキュリティ プラン Jetpack Security の一部としても利用でき、以下を提供します。

  • マルウェアのスキャンと削除。 Jetpack は WordPress サイトを自動的にスキャンし、検出されたほとんどのマルウェアをワンクリックで削除できます。
  • ブルートフォース攻撃からの保護。 これらの攻撃は、ユーザー名とパスワードの組み合わせを素早く循環させてログイン フォームに送信するボットによる悪意のあるログイン試行です。 適切な組み合わせを入力して Web サイトにアクセスできれば、マルウェアをインストールしたり、機密データを盗んだり、サイトを完全にシャットダウンしたりする可能性があります。

たとえ成功しなかったとしても、フォームの送信が頻繁に繰り返されると HTTP リクエストが急増し、Web サイトの速度が大幅に低下したり、サーバーのメモリ不足が発生してサイトが応答しなくなる可能性があります。

Jetpack がこのタイプのボット アクティビティを検出すると、その IP によるログイン フォームへのアクセスをブロックし、サイトの機能に影響を与える前に過剰な HTTP リクエストを防ぎます。

  • ダウンタイムの監視。 Jetpack Security は、Web サイトの可用性とパフォーマンスを積極的かつ継続的に追跡および評価し、予期せぬ中断や利用不能期間が発生した場合に警告します。
  • Web アプリケーション ファイアウォール (WAF)。 WAF は、Web トラフィックと Web サイト自体の間の障壁として機能し、オンラインの脅威や攻撃から Web サイトを保護します。 送受信トラフィックをフィルタリングして監視し、悪意のあるアクティビティを特定してブロックします。
  • Vault「バックアップ」を押します。 セキュリティのもう 1 つの重要な側面は、Web サイトのバックアップを定期的に作成して保存することです。 Web サイトのバックアップを定期的に保存しておくと、サイトがマルウェアに感染した場合でも、以前のクリーンなバージョンのサイトを復元できます。

    VaultPress は、サイトのリアルタイムの自動バックアップを取得し、オフサイトの独自のサーバーに保存します。これにより、サーバーが侵害された場合でも安全に保つことができます。
  • Akismet のスパム対策保護。 コメントスパムは迷惑なものですが、セキュリティ上の脅威として見落とされがちです。 コメント スパムは通常、クリック ファーミングや SEO バックリンクを目的として一方的なアフィリエイト リンクを追加しますが、フィッシング リンクやマルウェアが含まれる場合もあります。 スパマーは、他のボットが使用できるスパム可能サイトのリストにあなたのサイトを追加することもあります。その場合、スパム コメントが殺到したり、HTTP リクエストが急増したり、あなたのサイトが水飲み場攻撃のハブになったりする可能性があります。

    Akismet では、スパムを識別して阻止するためにキャプチャやその他のユーザー インターフェイスを追加する必要はありません。 バックグラウンドで静かに動作してスパム コメントやフォームの送信をブロックするため、訪問者はスムーズなエクスペリエンスを楽しむことができます。

    Akismet は、他のどの企業よりも長くスパム対策ビジネスに携わっており、世界で最も包括的なデータベースを持っています。 また、使用されるデータはすべてクラウドに保存されるため、Akismet はサイトの速度、直帰率、コンバージョン率に悪影響を及ぼしません。

どのマルウェア スキャナーを選択する場合でも、追加のセキュリティ防止機能のオプションが含まれていること、または使用している他のプラグインやセキュリティ対策と連携できることを確認してください。

Jetpack のメリットを詳しく見る

Jetpack が WordPress サイトの保護、高速化、成長にどのように役立つかを学びましょう。 初年度は最大 50% オフになります。

プランを調べる

WordPress サイトにマルウェア スキャナーをインストールして使用する方法

サイトにマルウェア スキャナーをインストールするのは、WordPress ダッシュボードで[プラグイン] → [新規追加] に移動し、「マルウェア スキャナー」を検索し、ニーズに合った適切な WordPress プラグインを見つけて、使用したいプラグインで[インストール] をクリックするだけです。

スキャナーには追加の設定が必要な場合があります。これらの手順は通常、プラグイン開発者の Web サイトで見つけることができます。または、WordPress プラグイン ディレクトリのマルウェア スキャン プラグインのページの[詳細]タブにリストされている場合もあります。

プレミアム マルウェア スキャナーを使用している場合、開発者は、スキャナーのインストールと構成方法に関するドキュメントを Web サイトまたは購入時に提供する必要があります。

この例では、Jetpack Scan をインストールして有効にする方法を説明します。

Jetpack スキャンのインストール

Jetpack スキャンは、Jetpack Protect プラグインを通じて利用できるプレミアム機能です。

より包括的なツールが必要な場合は、完全な Jetpack プラグインを備えたセキュリティ プランまたはコンプリート プランを通じて、追加の WordPress セキュリティ機能と一緒にスキャンにアクセスできます。

WordPress.com アカウントをまだお持ちでない場合は、チェックアウト プロセス中に作成するように求められます。 購入後、Jetpack Scan をインストールするサイトを選択するよう求められます。 Web サイトがリストに表示されない場合は、Web サイトに基本の Jetpack プラグインをインストールし、WordPress.com アカウントに接続する必要があります。 Jetpack Scan を使用するには、メインの Jetpack プラグインが必要です。

1. Jetpackのインストール

WordPress サイトのダッシュボードに移動し、 「プラグイン」→「新規追加」に移動し、「Jetpack」を検索して「インストール」をクリックします。 Jetpack がインストールされたら、 [アクティブ化]をクリックします。

WordPressサイトのダッシュボードに移動し、プラグインに移動し、新しい追加、「JetPack」を検索し、[インストールとアクティブ]をクリックします。

2. JetPackをWordPress.comアカウントに接続します

WebサイトのWordPressダッシュボードでJetPack→JetPackに移動します。 [接続][接続]をクリックします。 ユーザー アカウントを接続するように求められます。

既にログインしていない場合は、WordPress.com資格情報を入力し、 [ユーザーアカウントを接続]をクリックします。

次に、 [承認]をクリックして、サイトをWordPress.comに接続します。

3.ジェットパックスキャンのアクティブ化

サイトのWordPressダッシュボードで、 JetPack→Dashboardに移動し、[マイプラン]タブをクリックします。 そのタブの左上には、「ライセンスキーがありましたか? ここでアクティブ化します。」 こちらのアクティブをクリックします。

サイトのWordPressダッシュボードで、JetPack→Dashboardに移動し、[マイプラン]タブをクリックします。こちらのアクティブをクリックします。

ここから、購入に関連付けられているライセンスキーを選択し、 [アクティブ化]をクリックできます。

注:サイトがJetPackスキャンに接続されると、JetPackプランを変更または追加するか、サイトを新しいホストに移動する場合でも、サイトはJetPackスキャンソリューションに残ります。

JetPackスキャンのセットアップを完了します

Jetpackスキャンがアクティブになるとすぐに、最初のスキャンがすぐに開始されます。 しかし、あなたがやりたいことはもう少しあります:

1.ファイル許可が正しく設定されていることを確認してください

JetPackスキャンがWebサイトをスキャンするためには、 /jetpack-temp /ディレクトリ( /wp-content /and /wp-includes /に沿ってサイトのルートにある)にファイルを作成できる必要があります。 スキャン中に一時的なヘルパーファイルをこのディレクトリに書き込み、スキャンが完了した後に削除します。

ファイルの変更を防ぐサーバーでサイトがホストされている場合、JetPackが / JetPack-TEMP /ディレクトリにファイルを書き込むことができるようにホストと連携する必要があります。

2.サーバー資格情報を追加します

JetPackはサーバーの資格情報なしでサイトをスキャンできますが、サーバーの資格情報はワンクリック修正を使用する必要があります。 サーバーの資格情報は、スキャンをより速く、信頼性を高めるのにも役立ちます。

リモートアクセス/サーバー資格情報を追加する方法の詳細をご覧ください。

スキャンの実行

SiteのWordPressダッシュボードでJetPack→スキャンに移動します。 スキャンページを開いた後、スキャナー履歴の2つのインターフェイスが表示されます。

SiteのWordPressダッシュボードでJetPack→スキャンに移動します。スキャンページを開いた後、スキャナーと履歴の2つのインターフェイスが表示されます。

スキャナーページには、サイトの現在の状態の一眼レベルの参照が提供されます。 サイトが見栄えが良いことを示すか、現在アクティブな脅威を一覧表示します。

スキャナーページには、サイトの現在の状態の一面での参照を提供します。サイトが見栄えが良いことを示すか、現在アクティブな脅威を一覧表示します。

[スキャン]ボタンをクリックすると、新しいスキャンが開始されます。

履歴ページには、サイトに影響を与えた以前のすべての脅威のリストが表示されます。 それらの修正/無視ステータスでそれらをフィルタリングすることができますが、必要に応じて無視された脅威を修正することを決定します。

履歴ページには、サイトに影響を与えた以前のすべての脅威のリストが表示されます。それらの修正/無視ステータスでそれらをフィルタリングすることができますが、必要に応じて無視された脅威を修正することを決定します。

スキャンが完了すると、脅威が見つかった場合は通知が表示されます。 これらの通知は、サイトのWordPress管理者であるWordPress.comダッシュボードにあり、メールで送信されます。

どのデータがスキャンされますか?

  • プラグイン内のすべてのファイル、必須のプラグイン、テーマ、およびアップロードディレクトリ。
  • /wp-config.phpのようなWordPressルートディレクトリからの特定のファイル。
  • / wp-contentディレクトリ内の他の選択ファイル。

スキャンはどのくらいの頻度で発生しますか?

スキャンは、毎日または手動でトリガーされたときに発生します。

脅威を修正するにはどうすればよいですか?

JetPackスキャンは、検出されたほとんどの脅威に対してワンクリック修正を提供します。

Auto-Fix Allボタンは、すべての脅威を一度に処理します。 各脅威に個別に対処したい場合は、脅威をクリックして問題に関する詳細情報を確認できます。 ここから、クリックして脅威を無視するか、脅威を修正できます。

Auto-Fix Allボタンは、すべての脅威を一度に処理します。ここから、クリックして脅威を無視するか、脅威を修正できます。

脅威とそれらが無視されたか固定されているかどうかは、履歴タブに記録されます。

ワンクリック修正で解決できないより複雑な問題については、このガイドに従ってハッキングされたWordPressサイトをクリーニングしてください。 マルウェアを削除し、サイトのセキュリティを改善して将来のハッキングを防ぐことであなたを導きます。

よくある質問

マルウェアとは正確には何ですか?また、他のサイバー脅威とどのように違いますか?

マルウェアは、コンピューターシステム、ネットワーク、およびデータを傷つける、悪用、または侵害する特定の意図を備えた悪意のあるコードインジェクションを利用する幅広いカテゴリのソフトウェアです。 マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェア、アドウェア、ランサムウェア、ルートキットなど、幅広いソフトウェアタイプが含まれます。

マルウェアが他のいくつかの脅威と異なる1つの方法は、その意図です。 マルウェアは、データを妥協、損傷、盗む、または操作し、システムへの不正アクセスを獲得するために意図的に作成されています。

マルウェアは、他の脅威とは異なる機能も異なります。

マルウェア機能のいくつかの側面には次のものがあります。

  • カバー操作。 マルウェアは、検出を回避するように設計されており、目的を途切れることなく実行できます。
  • 伝播技術。 マルウェアは、電子メールの添付ファイル、感染したファイル、悪意のあるダウンロード、感染したウェブサイト、取り外し可能なメディア、ソーシャルエンジニアリング戦術など、さまざまな手段を通じて広がります。

ウイルスやワームのようないくつかのタイプのマルウェアは、自立して他のシステムに自律的に広がることができ、感染症のカスケードを作成できます。

  • ペイロード。 マルウェアにはペイロードが搭載されています。これは、実行しようとする悪意のあるアクションです。 これには、機密データの盗み、ファイルの損傷、監視の実施、または他のシステムへの攻撃の起動が含まれます。
  • コマンドと制御。 多くのマルウェアバリエーションは、サイバー犯罪者によって制御されたリモートサーバーとの接続を確立し、指示と更新を受け取ること、盗まれたデータをアップロードする、または他のターゲットに伝播することができます。
  • 進化と適応。 マルウェアは継続的に進化し、検出を回避し、その有効性を向上させます。 サイバー犯罪者は、新しいバージョンとマルウェアのバリエーションを頻繁にリリースして、新たな脆弱性を活用します。

対照的に、他の脅威は常に悪意を持っているとは限らず、有害なコードを広めたり展開したりする自動化されたメカニズムを持っているか、密かに動作するように設計されている場合があります。 例えば:

  • 脆弱性とエクスプロイト。 脆弱性は、攻撃者が搾取できるソフトウェアまたはシステムの弱点です。 エクスプロイトは、これらの脆弱性を活用するツールまたはテクニックです。 エクスプロイトは悪意のあるアクションとマルウェアのインストールにつながる可能性がありますが、エクスプロイトには必ずしもマルウェアの展開が含まれるわけではありません。
  • セキュリティの誤解。 セキュリティの誤解は、ソフトウェア、サーバー、またはネットワークの構成に誤りがあることに起因します。 これらのエラーは、システムを攻撃に公開する可能性がありますが、悪意を持って作成されたものではありません。
  • フィッシングとソーシャルエンジニアリング。 フィッシング攻撃やソーシャルエンジニアリングにはマルウェアコンポーネントも含まれる場合がありますが、そのような攻撃の多くは、悪意のあるソフトウェアではなく、単に欺ceptionに依存しています。 彼らは、あなたが使用する友人、家族、またはサービスのような信頼できるソースを装って、繊細な情報を明らかにしたり、有害な行動をとったりすることを個人に倒します。
  • サービス拒否(DOS)攻撃。 DOS攻撃は、過度のトラフィックやリクエストでそれらを圧倒することにより、サービスやネットワークを混乱させることを目的としています。 影響は有害な場合がありますが、DOS攻撃にはマルウェアや不正アクセスが含まれません。
  • ブルートフォース攻撃。 ブルートフォース攻撃には、システムにアクセスするために、パスワードまたは暗号化キーのあらゆる可能な組み合わせを試みることが含まれます。 彼らは不正アクセスにつながる可能性がありますが、必ずしもマルウェアを含むとは限りません。

マルウェアは有害な行動を実施するために明示的に作成されていますが、他の脅威には、特定の有害なソフトウェアを使用することなく、システムを妥協することもできない脆弱性、搾取、誤った不足、またはソーシャルエンジニアリングの戦術が含まれる場合があります。 脅威の各タイプには、その潜在的な結果から保護するために、特定の予防と緩和戦略が必要です。

ハッカーは通常、MalwareをWordPressのWebサイトにどのように導入しますか?

ハッカーは、プラグイン、テーマ、およびWordPressコアファイルの脆弱性を使用して、WordPressサイトにマルウェアをインストールできます。 また、セキュリティの誤解を活用したり、フィッシングテクニックやソーシャルエンジニアリングを使用したり、ブルートフォース攻撃を使用して、不正アクセスを獲得し、サイトにマルウェアをインストールすることもできます。

一般的な方法の1つは、リークされたパスワードのデータベースとともに「管理者」などの一般的なユーザー名を試すことで管理者アクセスを獲得することです。そのため、一意のユーザー名とより複雑なパスワードがセキュリティに重要です。

彼らが導入するマルウェアは、次のようなさまざまな形をとることができます:

  • ウイルス。 ウイルスは、自分自身を複製し、あるシステムから別のシステムに広がるように設計されています。 正当なプログラムまたはファイルに添付または埋め込み、これらの感染したプログラムまたはファイルが実行されると、ウイルスコードがアクティブ化され、他のファイルやシステムに感染する可能性があります。
  • ワーム。 ワームはウイルスに似ており、自己修復するように設計されているという点です。 ワームとウイルスの違いは、ウイルスが既存のファイルに付着し、ユーザーアクションに依存して伝播することです。 ワームは自己完結型のプログラムであり、自動的に広がる可能性があります。
  • トロイの木馬。 VirgilのAeneidの有名なTrojan Horseにちなんで名付けられたTrojanマルウェアは、しばしば無害または望ましいソフトウェアまたは他のファイルタイプに偽装し、ユーザーにダウンロードして実行するようにします。 トロイの木馬は、さまざまな方法を使用して、機密データを盗んだり、ファイルを損傷したり、追加のマルウェアをダウンロードしたり、ユーザーの動作をスパイしたりします。
  • スパイウェア。 Spywareは、ユーザーの知識や同意なしに情報をひそかに収集するように設計されています。 情報は、ログイン資格情報とクレジットカード情報をキャプチャするための個人データ、閲覧習慣、またはキーストロークなどです。
  • ランサムウェア。 ランサムウェアは、被害者のファイルを暗号化したり、アカウントやデバイスからロックしたりして、アクセスできません。 攻撃者は、被害者から、通常はビットコインのような暗号通貨で身代金を要求し、復号化キーを提供するか、妥協したシステムのロックを解除します。 ランサムウェア攻撃は財政的に動機付けられており、近年ますます普及しています。
  • ルートキットとバックドア。 rootkitsとバックドアは、通常の認証プロトコルをバイパスする管理者レベルのアクセスを作成することにより、Webサイト、ネットワーク、またはデバイスへの不正アクセスと制御を獲得しようとします。 ルートキットとバックドアは、セキュリティソフトウェアと管理者による検出を回避しながら、妥協したシステムへの持続的で隠されたアクセスを維持するためによく使用されるため、特にステルスで洗練されています。

私のWordPressサイトが小さい場合、私はまだマルウェア攻撃のリスクがありますか?

すべてのWebサイトは、どんなに大きくても小さくても、マルウェア攻撃の試みのリスクがあります。 実際、多くの小規模から中規模のWebサイトは、これらのタイプのサイトが一般にセキュリティに専念するためのリソースが少なく、リソースが少ないことを知っているため、攻撃のリスクが高くなります。

JetPackスキャンはリアルタイムのマルウェアスキャンを提供しますか?

JetpackのWAFはリアルタイムで実行されますが、マルウェアスキャンは毎日自動的にサイトで実行されます。 いつでも手動でサイトをスキャンすることもできます。

マルウェアスキャナーは私のウェブサイトのパフォーマンスを遅くすることができますか?

サーバーのリソースを使用してサイトをスキャンするローカルマルウェアスキャナーは、サイトのパフォーマンスを遅くすることができます。 オフサイトサーバーを使用してスキャンを実行するリモートスキャナーは、サイトのパフォーマンスに影響を与えません。

マルウェアスキャナーにはさまざまな種類がありますが、もしそうなら、これはWordPressに最適ですか?

はい、マルウェアスキャナーにはさまざまな種類があります。ローカルスキャナー、完全なリモートスキャナー、プラグインを介してローカルサーバーにアクセスできるリモートスキャナーです。

ローカル スキャナーはファイルやディレクトリのディープ スキャンを実行できますが、Web サイトとの比較に使用される情報はサーバーに保存されるため、マルウェアによる改ざんに対して脆弱になります。 ローカル スキャナーはサーバー リソースを使用してスキャンを実行するため、Web サイトのパフォーマンスにも影響を与える可能性があるため、Web サイトのトラフィックが少ない時間帯にスキャンをスケジュールすることをお勧めします。

Web サイトの URL を入力して手動でスキャンを実行するブラウザベースのスキャナなどの純粋なリモート スキャナは、Web サイト上の公開されているディレクトリとページのみをスキャンできます。 これは、より深いレベルに隠されたマルウェアを検出できないことを意味します。 ただし、これらは独自のサーバー上で実行されるため、スキャン中のサイトのパフォーマンスを最大化するのに役立ちます。

これらのタイプのスキャナーの中には、機能の違いもいくつかあります。 たとえば、一部のスキャナーは手動で操作する必要がありますが、他のスキャナーは定期的な間隔 (毎日、毎週、毎月など) で Web サイトを自動的にスキャンするように設定できます。 スキャナーは、実行するスキャンの品質や WordPress サイトのスキャンに使用する方法も異なります。

WordPress サイトに最適なスキャナーの種類は Jetpack Scan のようなもので、リモート スキャンを使用しますが、すべてのファイルとディレクトリにアクセスできるため、Web サイトのパフォーマンスに影響を与えない徹底的な自動スキャンを実行できます。 また、スキャン履歴とアクティビティ データをログに記録し、リモート サーバーに保存して、Web サイトがダウンした場合や Web サイトからロックアウトされた場合でもアクセスできるようにする必要があります。

WordPress サイトでマルウェア スキャンを実行する頻度はどれくらいですか?

感染の疑いがない場合でも、定期的に WordPress サイトをスキャンすることをお勧めします。 頻度は、Web サイトのアクティビティ、コンテンツを更新または追加する頻度、および許容できるリスクのレベルによって異なります。 アクティブな Web サイトの場合、多くの場合、毎日または毎週のスキャンが推奨されます。

他にマルウェア スキャンを実行する必要がある場合は次のとおりです。

  • 不審なアクティビティの後。 予期せぬポップアップ、速度の低下、不正アクセス、Web サイトから発信されたスパムメール、不審なファイルなど、Web サイトで異常な点に気付いた場合は、すぐにマルウェア スキャンを実行することが重要です。 迅速な対応により、さらなる損傷やデータ損失を防ぐことができます。
  • 新しいプラグインまたはテーマをインストールした後。 新しいプラグインやテーマをインストールした後、特に信頼できないソースや見慣れない Web サイトからインストールした後は、それらのファイルをアクティブ化する前に、それらのファイルに対してマルウェア スキャンを実行することを検討してください。 これにより、新しく取得したコンテンツの安全性が確保されます。
  • プラグインとテーマの更新後。 更新を実行した後にマルウェア スキャンを実行して、何も侵害されていないことを確認することをお勧めします。

定期的なスキャンは重要ですが、予防も同様に重要であることに注意してください。 強力なセキュリティ対策を実装し、すべてのソフトウェアを更新し、リアルタイムのファイアウォール保護を備えた信頼できるセキュリティ ツールを使用し、ファイルをダウンロードしたりリンクをクリックしたりするときは注意してください。 これらの実践と定期的なマルウェア スキャンを組み合わせることで、安全で信頼性の高い Web サイトを維持できます。

マルウェア スキャナーは検出された脅威も削除しますか、それとも単に脅威を識別するだけですか?

一部のマルウェア スキャナーは、マルウェアを削除できます。 たとえば、Jetpack Scan はマルウェアを削除するためのワンクリック修正を提供します。 他のスキャナーはセキュリティ上の脅威のみを識別するか、自動マルウェア削除を有効にするためにサービスの上位層へのアップグレードが必要になる場合があります。

一部のマルウェアは複雑すぎて自動的に削除できません。 このような場合は、このガイドに従って、WordPress サイトからマルウェアを検出して削除する必要があります。

スキャンに加えて、WordPress サイトには他にどのようなセキュリティ対策を講じるべきですか?

マルウェア スキャンは、優れたセキュリティ戦略の 1 つのコンポーネントにすぎません。 WordPress サイトを安全に保つために行うべきことは他にもあります。 以下に、実装を検討すべき Web サイトのセキュリティに関するベスト プラクティスをいくつか示します。

  • WordPress コア、テーマ、プラグインを常に最新の状態に保ちます。 WordPress のコア ソフトウェア、テーマ、プラグインを最新バージョンに定期的に更新してください。 古いソフトウェアには、攻撃者が悪用できる脆弱性が存在する場合があります。 評判の良い開発者は、ソフトウェアのセキュリティの抜け穴を常に把握しており、それを排除するためのアップデートをリリースしています。 Web サイトのソフトウェアを最新の状態に保つことで、サイトのソフトウェアとインフラストラクチャの弱点の数を最小限に抑えることができます。
  • 強力な認証を使用します。 管理者アカウントにデフォルトの「admin」ユーザー名を使用したり、表示名と同じユーザー名を使用したりしないでください。 WordPress ユーザーアカウントに強力でユニークなパスワードを実装します。 ログイン セキュリティの追加レイヤーとして 2 要素認証 (2FA) を有効にします。
  • ログイン試行を制限します。 ブルート フォース攻撃を防ぐために、ログイン試行回数を制限します。 Jetpack セキュリティは、ブルート フォース保護機能の一環として、ログイン試行を自動的に制限します。
  • サイトのバックアップを定期的に取得します。 Web サイトとそのデータベースの定期的なバックアップを自動化します。リアルタイム バックアップがない場合は、プラグインの更新、追加、削除などの大きな変更を行う前に、Web サイトの手動バックアップを作成します。 マルウェア感染やその他の理由で Web サイトが利用できなくなった場合でもバックアップにアクセスできるように、バックアップが安全にリモートに保存されていることを確認します。
  • 安全なホストを選択してください。 WordPress のセキュリティを専門とする信頼できるホスティングプロバイダーを使用して Web サイトをホスティングします。 サーバーとホスティング環境が安全に構成されていることを確認してください。
  • ファイアウォール保護を使用します。 Web アプリケーション ファイアウォール (WAF) を実装して、悪意のあるトラフィックをフィルタリングし、一般的なセキュリティの脅威をブロックします。
  • 安全なファイル権限を設定します。 WordPress のディレクトリとフォルダーのアクセス許可を 755 に設定します。通常、ファイルのアクセス許可は 644 に設定する必要があります。ただし、 wp-config.phpは除き、600 に設定する必要があります。
  • ディレクトリのリストを無効にします。 ディレクトリの内容を非表示にするように Web サーバーを構成することで、Web サイトのディレクトリが公開されないようにします。
  • セキュリティヘッダー。 コンテンツ セキュリティ ポリシー (CSP)、X-Content-Type-Options、X-Frame-Options などの HTTP ヘッダーを実装して、サイトのセキュリティを強化します。
  • HTTPS 暗号化を使用します。 ほとんどのブラウザでは、Web サイトを正しく表示するには、安全な HTTPS 接続と有効な SSL 証明書が必要です。 サイトの URL の前に https:// ではなく http:// が使用されている場合、そのサイトは安全でないとしてマークされ、ブラウザーにサイトが安全でないという警告が表示される場合があります。 多くのホスティング プロバイダーは、このプロセスをシームレスにするために無料の SSL 証明書を提供しています。
  • データベースのセキュリティを向上させます。 SQL インジェクション攻撃を阻止するために、WordPress のインストール中にデフォルトのデータベース テーブルのプレフィックスを「wp_」から「xyzzy_」などの一意のプレフィックスに変更します。
  • ユーザーの権限を制限します。 ユーザー権限を各役割に必要な最小限に制限します。 管理者レベルのアクセス権を必要のないユーザーに割り当てることは避けてください。
  • ファイルの変更を監視します。 ファイル変更監視を設定して、重要なファイルが予期せず変更または追加されたときにアラートを受信します。
  • DDoS 保護。 分散型サービス拒否攻撃を軽減するには、DDoS 保護サービスまたは CDN を検討してください。 Jetpack Complete は、特に DDoS 保護と CDN の両方を提供します。
  • セキュリティの強化。 XML-RPC、ピンバック、トラックバックなどの不要な機能やサービスを無効にして、セキュリティ強化措置を実装します。
  • ユーザーの教育に投資します。 ソーシャル エンジニアリングやフィッシング攻撃を防ぐためのセキュリティのベスト プラクティスについてチームをトレーニングします。 Web サイトの登録フォームとアカウント管理領域では、ユーザーを圧倒したり不快にさせたりしない方法で、セキュリティ要件とそれが必要な理由を明確かつ簡潔に説明します。
  • 緊急対応計画を策定します。 セキュリティインシデントに対応するための計画を作成します。 必要に応じてバックアップからサイトを迅速に復元する方法を理解してください。

セキュリティは継続的なプロセスであり、常に警戒を怠らず、WordPress Web サイトを常に最新の状態に保ち、進化するセキュリティの脅威から保護することが重要であることを忘れないでください。 セキュリティ対策を定期的に見直し、必要に応じて適応させて、安全なオンライン プレゼンスを維持します。

セキュリティ プロセスを合理化するには、Web サイトを自動的にスキャンし、広範な脅威の防止と検出機能を提供する Jetpack Security などのセキュリティ プランを使用します。

WordPress サイトを保護するために実行できる手順の詳細については、次の記事を読むことを検討してください: WordPress セキュリティ: ハッカーからサイトを保護する方法および WordPress でwp-config.phpを検索、アクセス、編集する方法。

Jetpack セキュリティ: 自動マルウェア スキャン、ワンクリック修正、WordPress のバックアップ

ウェブサイトは、ブランドに対する信頼を築く重要な場所の 1 つです。 ここは、読者と対話し、新しい購読者を変換し、顧客のデータを保存する場所です。 Web サイトが攻撃から十分に保護されていない場合、ビジネスに重大な損害を与え、ユーザーの情報が危険にさらされる可能性があります。

セキュリティに対する多層的なアプローチを提供するクラス最高の WordPress セキュリティ プラグインを使用することは、ユーザー、あなた自身、そしてあなたのブランドを保護するために非常に重要です。

Jetpack セキュリティは WordPress.com の背後にいる人々によって開発および保守されているため、WordPress セキュリティに関する深い知識を持つ開発者によって WordPress 専用に設計されています。 Jetpack のセキュリティ機能には次のものが含まれます。

  • コメントとフォームのスパム対策
  • リアルタイムのクラウドバックアップ
  • 10GBのバックアップストレージ
  • 30 日間のアーカイブとアクティビティ ログ
  • ワンクリックで復元
  • Web サイトのファイアウォール
  • 毎日のマルウェアと脆弱性の自動スキャン
  • ほとんどのマルウェアの問題をワンクリックで修正できます
  • インスタントメールによる脅威通知
  • シングル サインオン (SSO) と 2FA の統合によるログイン セキュリティ
  • 優先サポート

Jetpack セキュリティはリモート スキャン技術も利用しているため、Web サイトの速度やパフォーマンスに影響はありません。 バックアップとアクティビティ ログはオフサイトでホストされているため、Web サイトがダウンした場合でも常にアクセスできます。

サイトがダウンした場合、またはサイトへの Jetpack の接続が失われた場合は、すぐに電子メール通知が届きます (または、Jetpack Manage にアップグレードして SMS テキスト アラートをオプトインします)。そのため、問題や問題にできるだけ早く対応できます。セキュリティ上の脅威。

今すぐ Jetpack Security を入手して、Web サイトに対する安心感と最高レベルの保護をお楽しみください。