更新日:26年2023月XNUMX日
セキュリティ, WordPress
コメントはありません
10年にWordPressウェブサイトを保護するための2022の強力な鍵

10年にWordPressウェブサイトを保護するための2023の強力な鍵

多くの場合、WordPress Web サイトの所有者は、自分のサイトが侵害されていることに気付きます。 CMS として人気があることから、WordPress はハッカーに最も狙われているプラ​​ットフォームであり、その結果、安全ではないという悪い評判を得ています。

しかし、実際にはそうではありません。

WordPress のオープンソースの性質は、誰でも使用できることを意味し、それを使用している人の大多数は、基本的なサイバーセキュリティの実践に精通していません. これが、WordPress が他の Web サイト構築オプションよりも安全性が低いという幻想を生み出す原因です。

健全なセキュリティ慣行を利用している個人は、サイトがハッキングされるという問題をほとんど抱えていません。 では、WordPress ウェブサイトを安全にするものは何ですか?

 

WordPress ウェブサイトを保護する

WordPress ウェブサイトを保護する

WordPress Web サイトを保護する際に留意すべき 10 の事柄を以下に示します。

 

安全なホストを使用する

この投稿から他に何も得られない場合は、少なくともこれに注意してください. WordPress ウェブサイトの安全性は、それが存在するサーバーと同じくらい安全です.

ほとんどの WordPress Web サイトは共有ホスティング上に構築されています。つまり、あなたのサイトは他の顧客の Web サイトと同じサーバー上に存在します。 サーバーでアカウントのアクセス許可を適切に管理しているホスティング会社を選択してください。

これをチェックアウト: 最高のWordPressホスティングサービスの比較

侵害された XNUMX つの Web サイトが同じサーバー上の他の Web サイトに感染することは珍しくありません。 アカウントごとに権限が適切に分離されているホストを選択すると、クロスサイト汚染のリスクが最小限に抑えられます。

世論に反して、 VPSホスティング また、マルウェアの伝播の影響を受けやすくなっています。 マルウェアが仮想化プラットフォームの脆弱性を利用する VMescape 攻撃では、マルウェアが XNUMX つの VPS を回避し、同じ物理ハードウェア上に存在する別の VPS に移動する可能性があります。

安全なホストには、他の軽減策も用意されています。 これらには、Web サーバー構成での mod-security の利用、Imunify360 などのマルウェア対策パッケージ、サイトがボットに圧倒されないようにするための DDoS 保護が含まれます。

 

コア、テーマ、プラグインを最新の状態に保つ

ほとんどの WordPress サイトは、古いコードが不足しているためにハッキングされます。 それは意見ではなく、文書化された事実です。

何千ものハッキングされた WordPress Web サイトでフォレンジック分析を行っているセキュリティ研究者は、古いプラグインとテーマがそれらの 80% 以上の原因であることを疑いなく判断しました.

テーマとプラグインを最新の状態に保つだけで、サイトが侵害される可能性を 80% 排除できると想像してみてください。 さて、これは注目に値する WordPress を保護するための鍵です。

 

2要素認証を有効にする

ハッキングされた WordPress ウェブサイトの大部分は古いテーマとプラグインが原因ですが、ウェブサイトへの不正アクセスを試みる最も一般的な方法は、ユーザー名とパスワードに対するブルート フォース攻撃です。

通常、成功率は低いですが、ハッキングされた Web サイトの約 8% は、ユーザーのパスワードを推測するだけで侵入されました。

Web サイトを保護する 2 つの方法は、2 要素認証 (2FA) を有効にすることです。 ユーザー名とパスワードに加えて、XNUMXFA では、モバイル デバイスまたは電子メール メッセージからワンタイム パスコードを送信する必要があります。

ハッカーがあなたの Web サイトのユーザー名とパスワードを知っていても、あなたの電話やメールへのアクセスを持っていなければ、ログインすることはできません。

Web サイトに 2 要素認証を追加するプラグインがいくつかあります。また、次のセクションで説明する多くの包括的なセキュリティ プラグインも、含まれる多くの機能の一部として XNUMX 要素認証を追加します。

 

セキュリティ プラグインをインストールする

すべてのセキュリティはホストが行うべきだと言う人もいますが、サイバー セキュリティの世界では、セキュリティはレイヤーで行われると考えています。 WordPress にセキュリティ プラグインを導入する ウェブサイトは、これらのレイヤーの XNUMX つにすぎません。

セキュリティプラグインに関しては、さまざまな選択肢があります。 ここでは、最も人気のあるセキュリティ プラグインをいくつか紹介します。 それらをテストして、どれがニーズに最も適しているかを確認する必要があります。

 

Wordfence

Wordfence

この投稿では、どのセキュリティ プラグインが最適かについては説明しませんが、最も人気のあるプラグインは Wordfence –そして、それには大きな理由があります。

XNUMX つには、Wordfence はセキュリティ専門の会社であり、セキュリティだけが彼らの仕事のすべてです。 彼らはたまたまポートフォリオにセキュリティプラグインを持っている WordPress プラグイン開発者ではありません。 彼らは安全に暮らし、呼吸しています.

Wordfence プラグインには、既知のエクスプロイトのリストに対してすべてのリクエストをチェックし、一致が見つかった場合はブロックする無料の Web アプリケーション ファイアウォールが付属しています。 また、悪意のあるアクティビティやファイルの明らかな兆候を探すマルウェア スキャナーも備えています。 もう XNUMX つの優れた機能は、スキャナーがすべてのテーマ ファイルとプラグイン ファイルを WordPress.org リポジトリ内のファイルと照合して一致することを確認する機能です。

Wordfence はデフォルトですべてのセキュリティ関連のアクティビティをログに記録するため、それを確認してサイトが安全であることを確認できます。

Wordfence のもう 2 つの優れた機能は、3 要素認証モジュールがあるため、この投稿の推奨事項 XNUMX をノックアウトできることです。 同じ保護ラインで、複数回ログインを試みる IP アドレスをロックアウトしてボットを効果的に阻止するブルート フォース保護も備えています。

 

Sucuri

Sucuri

Sucuri WordPress ウェブサイトの保護に役立つもう XNUMX つの優れたセキュリティ プラグインです。 Wordfence が提供するのと同じ優れた機能の多くを備えていますが、注目すべき例外が XNUMX つあります。無料のファイアウォールはなく、有料のプレミアム プランでのみ利用できます。

Sucuri に関する重要な注意事項の XNUMX つは、プラグインが最近 GoDaddy によって購入されたため、適切にサポートする能力がまだ証明されていないことです. Web ホスティング サークルでは、GoDaddy は好意的に見られていないため、その評判が Sucuri にまで及ぶか、それとも挑戦にステップアップできるかは、時が経てばわかります.

Sucuriには監査ログもあるため、ログインの失敗など、Webサイトでのセキュリティ関連のアクティビティを確認できます.

 

オールインワンWPセキュリティ&ファイアウォール

オールインワンWPセキュリティ&ファイアウォール

オールインワンWPセキュリティ&ファイアウォール は、Wordfence に近い人気を誇る唯一のプラグインです。 .htaccess ルールに基づく無料のファイアウォール、ブルート フォース保護、セキュリティ スキャナーなど、同じ利点の多くを提供します。

含まれていないものの 2 つは XNUMX 要素認証モジュールであるため、その機能用のスタンドアロン プラグインを追加する必要があります。

All in One WP Security & Firewall は、実際にはすべてのセキュリティ プラグインの中で最も堅牢なファイアウォールを提供すると主張することができます. ファイアウォールは .htaccess ベースであるため、スクリプトが実行される前に処理されるため、信頼性が非常に高くなります。

All in One WP Security & Firewall には、自動化されたコメント スパムから保護するための優れた機能も含まれています。 または、WordPress のデフォルトのコメント システムを次のように置き換えることもできます。 Deeperコメント 追加機能と保護のために。

 

Cloudflareを使用する

Cloudflare は、ウェブサイトの高速化に役立つ優れた (そして無料の) CDN サービスにより、WordPress ユーザーの間で人気を博しました。 ただし、Cloudflare は、攻撃に対してサイトを強化するのに役立つ多数の無料ツールも提供しています。

XNUMXつは、ネームサーバーをCloudflareに向けると、利用可能な最速かつ最も安全なDNSサービスのXNUMXつと無料のSSL証明書の利点が得られます.

Cloudflareのサーバーは、DDoS攻撃のためにサーバーに到達する前にすべてのトラフィックをチェックし、そのファイアウォールは、国、ASN、さらにはURL またはクエリ文字列。

例として、単一の IP アドレスまたは少数の固定 IP アドレスからのみ Web サイトにログインする場合、Cloudflare でルールを構築して、他のすべての IP が wp-admin または wp-login.php にアクセスすることさえブロックできます。 . これにより、セクション 3 で説明したブルート フォース攻撃を実行しようとするすべてのボットがブロックされます。 .htaccess ファイルを使用して wp-admin へのアクセスを制限します Cloudflareの代わりに。 複数の保護層が必要な場合は、両方を実装できます (強くお勧めします)。

 

Null のテーマやプラグインを使用しない

Null のテーマやプラグインを使用しない

そのプレミアムテーマが欲しいけど、お金を払いたくないですか? ゼロのテーマとプラグインを提供する大ざっぱなサイトから入手した場合は、無料で入手できます。 でもまだ値段が…

無効化されたテーマまたはプラグインを使用すると、製品が公式ベンダーによって提供されるものと同じであるという保証が失われます。 つまり、コードの整合性が失われます。

ヌル化されたテーマとプラグインは、マルウェアの重要なソースです。プラグインをヌル化した人は、サイトを乗っ取ったり、仮想通貨マイニングのためにリソースを盗むなどの他の悪意のあるアクションを実行したりするために、独自のマルウェアをプラグインに追加することがあるためです。

Nulled テーマとプラグインは、自分の Web サイトに無意識のうちにインストールしてしまうマルウェアです。 数ドルを節約するためだけですか? それはそれだけの価値はありません。 プレミアム機能が必要な場合は、評判の良い開発者に支払います。

 

ファイル編集を無効にする

WordPress 管理ダッシュボードには非常に便利な組み込みエディターがあり、テーマとプラグイン ファイルの内容を変更できます。 残念ながら、このエディターは、ハッカーがアカウントに侵入した場合に Web サイトのコードを変更するのにも便利です。

現実は、あなたはほとんど 決して この機能を使用します。 コア ファイルを編集する場合は、ホストのファイル マネージャーまたは FTP クライアントを使用して直接編集することになるでしょう。

管理ダッシュボードからファイルを編集する機能を無効にするには、次の XNUMX 行を wp-config.php ファイルに追加します。

define('DISALLOW_FILE_EDIT', true);

この行を追加すると、WordPress 管理ダッシュボードのプラグインとテーマ ファイルの編集メニューが使用できなくなります。

 

wp-config.php ファイルを移動して名前を変更します

wp-config.php ファイルについて話している間、多くの人は、wp-config.php ファイルを WordPress インストールから XNUMX つ上のディレクトリに移動すれば、サイトが問題なく動作することをすでに知っています。 しかし、さらに一歩進めましょう。

wp-config.php ファイルの名前を実際に好きな名前に変更して、WordPress インストールから非公開フォルダーに完全に移動できることをご存知ですか? もう少し手間がかかりますが、それだけの価値があります。

ファイル自体は通常、Web ブラウザーで呼び出されると空白のページを返しますが、まれに PHP ハンドラーが失敗した場合、ファイルの内容全体が Web ブラウザーでプレーン テキストとして表示されることがあります。

wp-config.php ファイルには、データベースのユーザー名やパスワードなど、Web サイトに関する機密情報が含まれています。 この情報が悪用されると、壊滅的な被害を受ける可能性があります。 ファイルの名前をランダムな名前に変更すると、ボットやハッカーからファイルを隠すのに役立ちます.

By wp-config.php を非パブリック フォルダーに移動する、PHP ハンドラーの失敗時にブラウザーを介して誰かが情報を取得する機能を排除します。

 

サイトでのアクティビティの監査

サイトでのアクティビティの監査

Web サイトで何が起こっているかを追跡していないと、悪意のあるアクティビティの試みを警告する重要な情報を見逃す可能性があります。また、サイトが既に侵害されている場合は、悪意のあるアクティビティを発見する可能性さえあります。

セキュリティ上の利点は別として、サイトに複数のユーザーがいる場合、適切な監査プラグインを使用すると、正当なアクティビティを追跡できるようになります. エージェンシーとしては、クライアントが何もしていないと言っていたとしても、クライアントが何かを台無しにした可能性があるかどうかを知るための優れたツールです。

サイトのアクティビティを監査するための優れたプラグインがいくつかあります。 前述のセキュリティ プラグインの一部には、ある程度の監査ログ機能がありますが、以下のプラグインは、セキュリティ関連のイベントだけでなく、すべてのユーザー アクティビティを監査することで、次のレベルに進みます。 トップ3はこちら。

 

シンプルな履歴 – ユーザー アクティビティ ログ、監査ツール

Simple History - ユーザー アクティビティ ログ、監査ツール

簡単な歴史 は監査用の最も人気のあるプラグインであり、テストを開始するのに最適なプラグインです。 コンテンツの更新、プラグインのインストールとアクティベーション、およびその他の種類のユーザー アクティビティなど、想定されるすべてのことをログに記録します。

プラグインの評価は 5 つ星で、開発者チームはサポート フォーラムでかなり活発に活動しており、妥当な時間枠内でサポートに関する質問に定期的に回答しています。

 

WPアクティビティログ

WPアクティビティログ

  WPアクティビティログ プラグインは、サイトで使用するもう XNUMX つの優れたオプションです。 特定のイベントの監査を有効または無効にする機能や、ログ記録の設定可能な保持期間など、以前のプラグインよりも設定可能なオプションがいくつかあります。 また、監視を WooCommerce や WPForms などの特殊なプラグインに拡張するためのアドオンも多数あります。

プラグインの評価は 4.5 つ星で、主任開発者はサポート フォーラムのほぼすべての質問に個人的に回答します。

代理店を運営している場合、WP Activity Log は人気のある管理ツール MainWP とうまく統合されるため、単一のインターフェイスですべてのクライアント サイトの監査ログを表示できます。 政府機関の間では、WP Activity Log が監査ログの第 1 の選択肢です。

 

活動記録

活動記録

4.5つ星評価のもうXNUMXつの人気のあるオプションです。 活動記録 あなたが期待するすべてをキャプチャし、かなりの数のアクティブなインストールがあります.

残念ながら、開発者はフォーラムでのサポート リクエストに応答しないことが多く、サポートに関する質問のほとんどが無期限に回答されないままになっています。

 

最小権限の原則を利用する

最小権限の原則を利用する

サイバー セキュリティの世界では、最小特権の原則は、ユーザーが自分の仕事を行うために必要なアクセス許可のみを持つという概念です。

WordPress の世界では、10 人のユーザーがすべて管理者に設定されている会社を見かけることは珍しくありません。 このレベルのアクセスには正当な理由があるかもしれませんが、このような高レベルのアクセス許可を持つアカウントが 1 つまたは 2 つ以上必要になることはほとんどありません。

制御できないことの XNUMX つは、ユーザーが WordPress Web サイトで積極的に作業を行っていないときに何をするかです。 これは、彼らが失敗した場合を意味します 自分のデータをハッカーから保護する、ずさんさがあなたのウェブサイトに波及する可能性が十分にあります.

アクセスを制限することで、Web サイトにログインしている間に悪意のあるリンクをクリックするなど、ユーザーが意図せずに行う可能性のある損害を軽減できます。 あなたがサイト管理者であっても、高レベルの管理タスクを実行していないときは、権限が制限された別の編集者アカウントを使用する必要があります。

これを行うのは面倒ですか? もちろん。 しかし、感染した Web サイトをクリーンアップするよりもはるかに面倒ではありません。

 

おまけ: 頻繁にバックアップを取る

サイトが侵害された最悪のシナリオでは、クリーン バックアップからサイトを復元するしかない場合があります。 感染前に撮影されたもの。 ほとんどのまともな Web ホスティング会社は、サイトを XNUMX 日 XNUMX 回バックアップしますが、通常、これらのバックアップは数週間しか保持しません。

しばらく気付かなかった感染がある場合、これは問題です。 多くの感染は、ログインしている管理者から効果的に身を隠して、可能な限り検出を回避します。

セキュリティはレイヤーで行うのが最適であることがわかったので、Web ホストに加えて独自のバックアップを作成することで、同じ概念をバックアップに適用できます。

以下を含む、利用可能ないくつかの優れた無料のバックアッププラグインがあります UpdraftPlus, BackWPup, オールインワンWPの移行. それぞれに長所と短所がありますが、いずれも非常に信頼性が高く、より定期的にサイトをバックアップできます。 場合によっては、Dropbox や OneDrive などのリモート クラウド ストレージに自動的にバックアップすることもできます。

 

最終的な考え

WordPress のセキュリティは、Web サイトを所有する上で重要な部分です。 また、誤って実行したり無視したりすると、時間とリソースを大量に消費するプロセスになる可能性があります。 この投稿のキーを実装することで、セキュリティ ニーズのほとんどを自動化できるため、重要なこと、つまりビジネスに集中できます。

    おすすめの投稿

    0コメント

    コメントなし。