WordPress セキュリティ: WordPress サイトを保護するための究極のガイド

公開: 2019-05-24

サイバー犯罪は、ハッカーやマルウェアが広大なオンライン環境で猛威を振るい、かつてないほど増加しています。 Google は、毎週 20,000 を超える Web サイトをマルウェアのブラックリストに登録し、50,000 を超える Web サイトを潜在的なフィッシング Web サイトとしてブラックリストに登録しています。 しばらくの間、数字を理解しましょう。 そのため、この記事の目的のために、WordPress のセキュリティを向上させるのに役立つ包括的なガイドをまとめました.

ご覧のとおり、Web サイトがセキュリティのベスト プラクティスに準拠していない場合、サイトとそのすべてのコンテンツがハッキングされる可能性があります。 しかし、セキュリティで保護されていない Web サイトも Google の検索アルゴリズムによって罰せられるため、危険にさらされているのはあなたのコンテンツだけではありません。

ハッカーやマルウェアは、Web サイトのコンテンツにとって危険であるだけでなく、Web サイトにアクセスする人々にも脅威をもたらします。 そのため、基本的なセキュリティ ガイドライン (ちなみにこれは非常に簡単です) に従わない場合、Google は SERP (検索エンジンの結果ページ) であなたを降格させます。

幸いなことに、WordPress ユーザーは、WordPress のセキュリティを大幅に強化するのに役立つ専用のプラグインと超直感的なインターフェースにアクセスできます. WordPress のセキュリティを改善する 10 以上の方法をご紹介します。

WordPressのセキュリティを改善する10以上の方法

1. バックアップ プラグインをインストールする

WPvivid バックアップ プラグイン

ここでのコンセプトは非常にシンプルです – 後で後悔するよりも、今安全であることをお勧めします!

オンライン コンテンツとデータベースをバックアップすることで、ハッカーやマルウェアの餌食になるという不運な出来事があったとしても、すべてが安全に保たれます。 これにより、バックアップ プラグインのインストールが WordPress セキュリティ 101 の第 1 章になり、優先リストの一番上に置かれます。

WPvivid バックアップ プラグインのようなバックアップ プラグインは、データベースを含む WordPress ウェブサイト全体の定期的な自動バックアップを作成できます。 バックアップを毎週または毎日のいずれかにスケジュールするように構成できます。 バックアップされたデータは通常、プラグイン自体によって提供されるか、Google ドライブ、Amazon S3、Dropbox などの既存のさまざまなプラットフォーム間で提供される別のクラウド ストレージ プラットフォームに保存されます。

今後、マルウェアやハッカーが原因でサイトが破損した場合でも、すべてのデータに引き続きアクセスでき、バックアップを Web サイトに復元して、以前の動作状態に戻すことができます。 ハッカーやマルウェアが Web サイトに侵入するために使用したセキュリティの脆弱性を隠蔽して、再発しないようにすることを忘れないでください。

以上のことから、WordPress のセキュリティを向上させるために、WPvivid バックアップ プラグインに加えてどのバックアップ プラグインを使用するかについての推奨事項を探している場合は、いくつかのオプションがあります。

  • アップドラフトプラス
  • 戻るWPup

2. ファイアウォール プラグインをインストールして WordPress サイトを監視する

WordPress ファイアウォール プラグインをインストールする

デスクトップ/ラップトップに設定したファイアウォール ソフトウェアと同様に、ファイアウォール プラグインは着信トラフィックを監視し、一般的なセキュリティの脅威が WordPress Web サイトに到達するのをブロックします。

プラグインは通常、悪意のある署名とブラックリストに登録された IP アドレスで構成されるデータベースを参照して、Web サイトにやってくる潜在的な脅威をスキャンし、すぐにブロックします。

ご覧のとおり、WordPress プラグインをインストールするのと同じくらい簡単ですが、ハッカー、マルウェア、ワーム、ウイルスが Web サイトに侵入するのを防ぎ、WordPress のセキュリティを向上させます。

3.管理者ログイン用の強力なパスワードを設定する

強力な WordPress 管理者パスワードを設定する

考えてみれば、WordPress のバックエンド ダッシュボードにアクセスすることは大したことではありません。 これは、WordPress サイトの URL の末尾に「/wp-admin」を追加すると、ユーザーが管理者ログイン ページに移動するという一般的な知識です。 ここで、Web サイトのバックエンドへのアクセスを制限しているのは、ユーザー名とパスワードを推測することだけです。

現在、ユーザー名「admin」はほとんどの場合 WordPress Web サイトに関連付けられているため、ハッカーが行う必要があるのはパスワードを推測することだけで、Web サイトのすべてのコンテンツとデータに直接アクセスできます。 想像するだけで恐ろしいことですよね?

これらすべてを考慮して、採用できる最も明白なWordPressのセキュリティ強化は、パスワードを非常に複雑にし、力ずくで解読するのが難しいようにすることです. これには、少なくとも 10 ~ 12 文字の長いパスワードの作成が含まれます。 また、パスワードには大文字、小文字、数字、および特殊文字を使用することを忘れないでください。

そして、自分で忘れないように、安全で確実だとわかっている場所に書き留めておいてください。

4.管理者ユーザー名のカスタマイズ

管理者ユーザー名のカスタマイズ

WordPress 管理者ログインのパスワードを変更するのと同様に、簡単に予測できるデフォルトのユーザー名である admin を変更することも検討する必要があります。 そのため、ハッカーはパスワードと正しいユーザー名を解読して、サイトのバックエンドに侵入する必要があります。これにより、WordPress のセキュリティが飛躍的に向上します。

ただし、そうは言っても、デフォルトの管理者ユーザー名を変更するのはやや困難です。 最初に、 WordPress バックエンド > User > Add New Userにログインし、 User Roleを – Administratorに設定して (新しいユーザー名で) 新しいユーザーを作成する必要があります。 完了したら、新しいユーザー アカウントでログインし、デフォルトの「admin」ユーザー アカウントを削除します。これにより、ハッカーは正しいパスワードだけでなく、新しいユーザー名も解読することを余儀なくされます。 または、ユーザー ロール エディター プラグインを使用してユーザー ロールを管理および編集することもできます。

5. ログイン URL のカスタマイズ

これまで、ハッカーが WordPress バックエンドのログイン資格情報を推測するのを困難にする方法について説明してきました. しかし、さらに優れた WordPress セキュリティ戦術は、ログイン画面へのハッカーのアクセスを完全に拒否することです.

前述のとおり、Web サイトのバックエンド ログイン ページのデフォルト URL には、Web サイト URL の後に「/wp-admin」が続きます。 ただし、Web サイトのログイン URL の最後の部分を、「/zero-hackers-allowed」のように、想像できる別の英数字の文字列にカスタマイズできることをご存知でしたか?

ただし、これは CMS (コンテンツ管理システム) のデフォルト機能ではないことに注意してください。WPS Hide Loginなどの WordPress プラグインをインストールする必要があります。 プラグインをインストールしてアクティブ化すると、ハッカーが wp-login.php ページと wp-admin ディレクトリに簡単にアクセスできないように、ログイン URL を変更できるようになります。

これまでに、ハッカーがサイトにアクセスするための正しいパスワードとユーザー名の組み合わせを推測するのを困難にしただけでなく、ログイン ページを詮索好きな目から効果的に隠しました。 ご想像のとおり、これにより WordPress のセキュリティが大幅に向上し、ブルート フォース攻撃が実質的に不可能になります。

6.データベースユーザーに強力なパスワードを設定する

データベース ユーザーに強力なパスワードを設定する

Web サイトに複数のユーザーがいて、そのうちの何人かがデータベースやその他の機密情報に直接アクセスできる場合は、それらのユーザーがアカウントに強力なパスワードを設定していることを確認してください。 ハッカーは、Web サイトの他のユーザーを悪用して Web サイトに侵入しようとする可能性も同様です。 これを念頭に置いて、ルーズエンドは潜在的な脆弱性であり、セキュリティ上の脅威です。

前述の手順に従って、ユーザーが自分のアカウントに強力なパスワードを割り当てることを強制することができます。 または、サードパーティのプラグインを使用して、ユーザーに強力なパスワードの作成を強制し、アカウント作成プロセスを完了することもできます。

7. SSL (HTTP から HTTPS) を有効にします。

SSL (Secure Sockets Layer の略) は、クライアントとサーバー間の暗号化された接続を作成するインターネット上の標準セキュリティ プロトコルです。 有効にすると、URL の先頭にある HTTP テキストが HTTPS または保護された HTTP に置き換えられます。 SSL 証明書を有効にすることで、ハッカーがサーバーとクライアントの間でデータを送信しているときにデータを吸い上げることが難しくなります。

また、Google は SSL 認定を非常に重視しています。 たとえば、まだ HTTP を使用している Web サイトは、Google Chrome ブラウザーでは「安全ではありません」と表示されます。 さらに、検索エンジンのアルゴリズムによってもペナルティを受けます。 一方、SSL 認定の Web サイトの HTTPS は、検索エンジンによって評価されます。 そのため、新しい WordPress ブログを seo するための最初のステップとして SSL をインストールしました。

これらの 2 つのポイントは、Web サイトに SSL 証明書をインストールする十分な理由となるはずです。特に、それほど面倒ではないと考える場合はなおさらです。 まず第一に、ほとんどすべての一般的な Web ホスティング サービスには無料で SSL 証明書が含まれています。 無料で入手できなかった場合は、 Let's Encryptを使用して簡単に入手できます。

専用の WordPress SSL プラグイン (Really Simple SSL) にアクセスして、HTTP を HTTPS に変換し、WordPress のセキュリティを向上させることもできます。

8. wp-config をルート ディレクトリより上位に移動する

wp config をルート ディレクトリの外に移動する

デフォルトでは、wp-config.php は WordPress ブログ/ウェブサイトと同じフォルダー内にあります。 ファイルにはMySQLデータベースのユーザー名、パスワード、WordPress認証キー、およびその他の機密データが含まれているため、これはセキュリティ上の悪夢になる可能性があります.

誰かがこのファイルを入手した場合、基本的には、Web サイトのすべての詳細を完全に制御できます。 これが、 WordPress コーデックスでさえ、ユーザーが wp-config.php をデフォルトのルート ディレクトリからパブリック アクセスのない上位レベルのフォルダーに移動することを推奨している理由です。

これは、.htaccess フォルダーに次のコード スニペットを含めることで簡単に実現できます。

 <ファイル wp-config.php>

許可、拒否の命令

全部否定する

</ファイル>

ご覧のとおり、WordPress ウェブサイトのコア ファイルをいじる必要があるため、この手順に進む前にバックアップを取ることをお勧めします。

9. フォルダーに index.php ファイルがない場合、.htaccess でディレクトリを一覧表示できないようにする

htaccess.png でディレクトリを一覧表示できないようにする

ディレクトリの一覧表示 (ディレクトリ ブラウジングとも呼ばれます) を使用すると、すべてのユーザーが Web サイト上の個々のフォルダー (ディレクトリ) の内容を表示できます。 ご想像のとおり、ハッカーはさまざまなファイルを簡単に調べて、潜在的な脆弱性を見つけて Web サイトに侵入できるため、大きなセキュリティ上の懸念が生じます。

現在、WordPress CMS を守るために、特定のディレクトリには index.php ファイルが含まれており、誰かがフォルダに入るとサーバーが即座に実行/ロードします。 これにより、傍観者がディレクトリを参照してサイト構造にアクセスするのを防ぎます。

しかし、index.php ファイルが存在しない場合はどうなるでしょうか?

その場合でも、.htaccess ファイルを微調整することで問題を簡単に解決できます。 .htaccess の末尾に次の行を追加して保存するだけです。

 オプション すべて -インデックス

完了すると、ユーザーが index.php ファイルのないディレクトリにアクセスしようとすると、403 アクセス禁止または 404 ページが見つからないというエラーがユーザーに表示されます。

10. WordPress を定期的に更新する

WordPress は非常に人気があり、World Wide Web 上のすべての Web サイトの 30% 以上を支えています。 これにより、CMS はハッカーや悪意のあるアクターの主要な標的になります。 彼らは、サイトのデータにアクセスするために悪用できるコード内のセキュリティの脆弱性や抜け穴を見つけることに常に忙しくしています。

同様に、WordPress 開発チームもバグやセキュリティ上の欠陥を積極的に探しており、ハッカーが悪用する前にパッチを当てることができます. したがって、WordPress の最新バージョンへのアップグレードは、単に新しい機能にアクセスするだけでなく、コードにハッカーが悪用できる欠陥がないことを確認することでもあります。

現在、新しい WordPress アップデートがリリースされると、ハッカーを含む全世界が以前のバージョンに存在していたセキュリティの脆弱性について知ることができます。 サイトを最新のイテレーションにすばやくアップグレードすることを先延ばしにすると、ハッカーがサイトの現在知られているセキュリティの脆弱性を利用して、WordPress のセキュリティを以前よりもはるかに弱くする可能性があります. さらに、WordPress は PHP で構築されているため、WordPress サイトを最新の PHP バージョンにアップグレードして、Web サイトのパフォーマンスとセキュリティを向上させることも重要です。 更新を行う前に、サイトの完全なバックアップを作成することを忘れないでください!

11. WordPress のバージョン番号を削除する

新しい CMS の更新がリリースされたらすぐに WordPress Web サイトをアップグレードする必要がありますが、最善の決定ではない場合もあります。 サイトのアップグレードが遅れる理由として考えられるのは、バグのある更新、現在のプラグインやテーマとの互換性の問題などです。

ただし、先ほど説明したように、アップグレードを延期すると、セキュリティ上の脅威やハッキングの試みが大量に発生する可能性があります. ただし、Web サイトから WordPress のバージョン番号を削除できれば、これを回避できます。 そのため、ハッカーはサイトが古いバージョンで実行されていることをすぐに知ることができず、新たに発見されたセキュリティ上の欠陥によって悪用される可能性が低くなります.

ここで、Web サイトから WordPress のバージョン番号を削除するには、functions.php ファイルに移動して、次のコード スニペットを入力する必要があります。

 関数 remove_wordpress_version() {
戻る '';
}
add_filter('the_generator', 'remove_wordpress_version');

これにより、ヘッド ファイルと RSS フィードの両方から WordPress のバージョン番号が削除され、使用している WordPress のバージョンをハッカーが推測する方法がなくなります。

結論は

これらは、WordPress のセキュリティを改善するための推奨されるヒントとコツの一部です。 この記事がお役に立てば幸いです。また、サイトをより安全に保護するための有用なリソースであったことを願っています。

ご覧のとおり、改善の多くは、いくつかの基本的な 1 つまたは 2 つの手順に従い、いくつかのセキュリティ プラグインをインストールするだけで実現できます。 ここで、注意が必要な技術的な側面もいくつかあります。 ただし、WordPress ブログ/ウェブサイトを始めたばかりの場合は、それほど心配する必要はありません。

しかし、あなたのサイトが成長し続けるにつれて、ハッカーが侵入しようとし、問題を引き起こそうとすることを認識してください. そのため、wp-config ファイルの移動やデータベースを保護するパスワードなど、上記で説明したすべての技術的な手順をカバーすることは言うまでもなく、常に最新のセキュリティ トレンドを把握しておいてください。

これらすべてを踏まえて、経験豊富なユーザーは、会話に身を乗り出して、自分のサイトがハッカーやマルウェアから解放されていることを確認するための個人的な戦術を追加することをお勧めします. あなたの仲間の読者はあなたの洞察から大きな恩恵を受け、潜在的なサイバー脅威からサイトを保護するのに役立つかもしれません.

あなたも興味があるかもしれない場合は、ブログを収益化する方法に関する包括的なガイドをご覧ください.