セキュリティの脅威は WordPress だけのものではありません。
プライベートかオープンソースかを問わず、すべてのプラットフォームは 24 時間年中無休で攻撃を受けています。
幸いなことに、WordPress コミュニティでは、作業を容易にするための多くのソリューションが提供されています。
以下は、WordPress サイトをセキュリティの脅威から保護するための重要な手順です。
WordPress サイトを保護する方法
悪意のあるアクティビティと脆弱性を軽減するために、すべての WordPress パブリッシャーが考慮すべき 8 つの基本的なアクションがあります。
これらのベスト プラクティスに従うことで、毎日 Web サイトを調査しているハッカーの猛攻撃に WordPress サイトが対応できるようになります。
- HTTPS を使用します。
- 管理者のユーザー名として「admin」という単語を使用しないでください。
- 強力なパスワードの使用を強制します。
- プラグインとテーマを更新します。
- ウェブサイトのバックアップ プラン。
- プラグインの使用を最小限に抑えます。
- 二要素認証。
- WordPress ファイアウォールと脆弱性スキャナーをインストールします。
これらのそれぞれについて、もう少し詳しく見ていきましょう。
1. HTTPS/SSL を追加する
現在、ほとんどのサイトは HTTPS を使用しています。 ただし、サイトで HTTPS を使用していない場合は、無料の SSL 証明書の追加について Web ホストに確認してください。
を使用してWordPressアドレスとサイトアドレスを設定するだけです https://. これは、[一般設定]タブで実行できます。
サイトが安全でない状態から安全な状態にアップグレードしている場合は、Really Simple SSL プラグイン (500 万以上の Web サイトで使用されています) を検討する価値があります。これは、リダイレクトやその他の関連タスクを処理することで、HTTPS への変換を本当に簡素化するためです.
また、Really Simple SSL は、セキュリティ ヘッダーを追加するオプションを提供することで、クリックジャッキングやクロスサイト フォージェリ攻撃などのセキュリティの脅威を軽減するのにも役立ちます。
最近では、SSL 証明書をインストールするのは簡単な作業です。
多くの Web ホストが無料の SSL 証明書を提供しています。さらに、これは Google のランキング要因として知られています。
HTTPS に変換した後、HTTP リンクまたはコンテンツを要求するページがないことを確認することをお勧めします。
混合コンテンツのチェックは必須です。
混合コンテンツとは、安全でない Web サイト アセット (スクリプト、画像、ビデオなど) が HTTPS ページからリンクされている場合です。
Missing Padlock でサイトをクロールして、混合コンテンツのインスタンスをすばやく特定し、HTTPS アセットにリンクしてエラーを修正します。
2. 安全な管理者ユーザー名を使用する
WordPressのログイン画面に対するセキュリティ攻撃は、圧倒的に「Admin」というユーザー名で行われています。
ログインパスワードを解読しようとする主な攻撃には、次の 2 種類があります。
- 強引な。
- 辞書攻撃。
ブルート フォース攻撃とは、自動ハッキング ソフトウェアが単語、文字、数字のさまざまな組み合わせを使用して管理者パスワードを推測しようとする攻撃です。
辞書攻撃とは、ハッキング ソフトウェアが一般的なパスワードを使用して管理者ログインを推測しようとする場合です。
多くの場合、これらのソフトウェアが使用する管理者ユーザー名は「Admin」です。
「管理者」という単語をユーザー名として使用しないことは、WordPress サイトを保護するための簡単な手順です。
さらに一歩進めるには、Wordfence セキュリティ プラグインを使用してファイアウォール ルールを作成し、ユーザー名 Admin でログインしようとする人間またはボットを自動的にブロックすることができます。
3.強力なパスワードを強制する
誰にも、特に管理者レベルの権限を持つユーザーが、強力でないパスワードを作成することを許可しないでください。
サブスクライバー レベルのように Web サイトの権限が低いユーザーでも、攻撃ベクトルになる可能性があります。 そのため、WordPress サイトにログインできるすべての人に強力なパスワードを適用することが重要です。
100 万人以上のユーザーが利用する人気の iThemes Security WordPress プラグインは、ログイン パスワードの強度の強化と 2 要素認証を提供します。
強力なパスワードを強制するパスワード セキュリティ ポリシーは、Wordfence WordPress セキュリティ プラグインを使用して有効にすることもできます。
4.プラグインとテーマを更新する
プラグイン、テーマ、およびコア WordPress インストール自体に対するいくつかの更新は、脆弱性を修正 (パッチ) するためのものです。
ソフトウェアを更新しないと、サイトが脆弱になる可能性があります。
ほとんどのアップデートは問題なく動作します。 まれに、更新によってソフトウェアの何かが変更され、別のプラグインやテーマと衝突し始め、サイトがクラッシュすることがあります.
その場合、サイトがバックアップされていれば、サイトを以前の状態に簡単にロールバックできます。
プラグインとテーマを更新する最善の方法は、サイトをステージングし、更新されたソフトウェアでサイトが正常に機能するかどうかを確認することです。
ただし、サイトをステージングしていない場合、2 番目のオプションは、サイトをバックアップしてから更新することです。
サイトをテストして、すべてが機能することを確認します。 サイトが誤動作した場合は、バックアップを使用してロールバックします。
3 番目のオプションは、すべてのプラグインを自動更新に設定して、それについて考える必要さえないようにすることです。 何かが壊れたら、ロールバックして元の状態に戻します。
5. WordPress ウェブサイトをバックアップする
Web サイトを毎日バックアップすることは非常に重要です。
うまくいかないことはたくさんありますが、バックアップがあれば、サイトに壊滅的な事態が発生したときに助かります。
UpdraftPlus WordPress バックアップ プラグインは、300 万人以上のユーザーが利用する人気の信頼できるソリューションです。
すべてのウェブサイトで使用しており、自信を持っておすすめできます。
うまくいかなかったWebサイトの再設計の際に、サイトを以前のバージョンに簡単に復元できるようになりました.
別の一般的なソリューションは、WP Rollback と呼ばれます。
WP Rollback には 200,000 を超えるインストールがあり、ソフトウェアを作成する人々は信頼できるエキスパートの WordPress 開発者です。
WordPress.org からダウンロードしたテーマやプラグインとうまく連携します。
6.プラグインの使用を最小限に抑える
インストールされているすべてのプラグインは、そのうちの 1 つがサイトを脆弱性にさらす可能性を高めます。
セキュリティ上の理由は別として、あまりにも多くのプラグインを使用すると、サイトのパフォーマンスに影響を与えるだけでなく、2 つ以上のプラグイン間のコードが競合してサイトがクラッシュする可能性が高くなります。
必要なことを達成するためにどのプラグインを使用するかを事前に計画してください。
一部のプラグインは複数のタスクを実行できるため、1 つのことを達成するためにスタンドアロン プラグインをインストールする必要がなくなります。
7.二要素認証を実装する
二要素認証は、この機能がオンになっている WordPress サイトにログインするために 2 つの形式の ID が必要であるため、いわゆる 2 要素認証です。
最初の要素はユーザー名とパスワードです。
2 番目の要素は、通常はユーザーの携帯電話にある Authy や Google Authenticator などのアプリを使用する 2 番目の形式の認証です。
そのため、ハッカーがユーザー名とパスワードにアクセスできたとしても、2 番目の認証なしではログインできません。
この機能を追加するために選択できる多くの WordPress プラグインがあります。
WP2FA
WP 2FA は、2 要素認証を追加するための一般的な選択肢です。
Google Authenticator、Authy、メール リンク、メール OTP、プッシュ通知など、複数の 2 要素認証方法をサポートしています。
Pro バージョンでは、音声認証や WhatsApp 認証などの追加の方法が利用できます。
Wordfence ログイン セキュリティ
Wordfence は信頼できるブランドです。 そのスタンドアロンの 2 要素認証プラグインは、Authenticator、Authy、1Password、および FreeOTP をサポートしています。
さらに、Wordfence や iThemes Security などのセキュリティ プラグインには、2 要素認証を有効にするオプションもあります。
8. WordPress セキュリティプラグインをインストールする
セキュリティ プラグインは、セキュリティ ホールを塞ぎ、それらの脆弱性を利用しようとするハッカーをブロックできるため便利です。
WordPress セキュリティプラグインには 2 種類あります。
- セキュリティの強化とスキャン。
- ファイアウォール。
おすすめしたいツールを紹介します。
スクリセキュリティ
Sucuri は、セキュリティ プラグインとして信頼できる選択肢です。 GoDaddy が所有しています。
Sucuri はサイトのマルウェアをスキャンし、エクスプロイトに対してサイトを強化するオプションを提供します。
Wordfence などのファイアウォール プラグインを補完するため、Sucuri の選択は簡単です。
有料版にはファイアウォールも含まれています。
ジェットパック プロテクト
Jetpack Protect は、WordPress.com、Akismet、WPScan、WooCommerce などの背後にある Automattic によって作成されました。
Jetpack Protect は、WordPress コア、プラグイン、およびテーマのマルウェア スキャンを毎日実行します。
この無料のプラグインは比較的新しく、2022 年に独立したプラグインとしてスピンオフされました。
Wordfence セキュリティ – ファイアウォール、マルウェア スキャン、およびログイン セキュリティ
Wordfence は、WordPress セキュリティの一般的な選択肢です。 アクティブなインストール数は 400 万を超えています。
Wordfence は、Web サイトをハッキング攻撃から保護するファイアウォールとして機能し、活動がハッカーのパターンに適合する場合、自動化されたハッキング ボットと実際のハッカーをリアルタイムで禁止できます。
ユーザーは、ハッカーを即座にブロックできるルールで Wordfence ファイアウォールを構成できます。
Wordfence は、2 要素認証を提供し、PHP を実行してはならないフォルダーでの PHP の実行を無効にすることで、ハッキングに対するサイトの強化にも役立ちます。
Wordfence のもう 1 つの利点は、プラグインの更新が必要なときにプラグインが電子メール リマインダーを送信することです。
Wordfence の有料版は、Wordfence が最新のエクスプロイトを認識するとすぐに、最新のエクスプロイトから保護するためのファイアウォール ルールを受け取ります。
iThemes セキュリティ
iThemes Security は、Web サイトをスキャンして強化し、悪意のあるボットをファイアウォールとしてブロックするオールインワンのプラグインです。 100 万を超えるアクティブなインストールがあります。
iThemes は多くのセキュリティ関連のアクティビティを処理するため、1 つのプラグインですべてを実行したい人に人気の選択肢となっています。
追加の WordPress セキュリティ手順を実行する
これらは、強力なセキュリティ体制を構築するための追加の手順です。
PHP のバージョンを確認する
PHP は WordPress が動作するソフトウェアです。
古い PHP バージョンは、サイトをセキュリティの脆弱性にさらす可能性があります。
使用されている PHP バージョンがサポート終了 (EOL) に達していないことを確認してください。
オンラインの脆弱性をスキャン
脆弱性をスキャンしたり、サイトがハッキングされたかどうかを確認したりする 3 つのオンライン ツールを次に示します。
WordPress セキュリティの未来
ハッカーは、使用されているコンテンツ管理システム (CMS) に関係なく、すべてのサイトを攻撃しています。
WordPress は世界で最も人気のある CMS であり、ハッカーの標的になっています。
幸いなことに、WordPress には安全性を維持するために取り組んでいる大規模なコミュニティがあり、これは他のプラットフォームにはない利点です。
すべての WordPress Web サイトの所有者は、WordPress サイトを完全に安全に保つための対策が講じられていることを確認するために時間をかけることを検討する必要があります.
その他のリソース:
主な画像: Shutterstock/fizkes