WordPressのセキュリティ–ハッカーからWebサイトを保護するための24のヒント

04.06.2020
نکات و ترفندهای سرعت وردپرس 'WordPressのセキュリティ–ハッカーからWebサイトを保護するための24のヒント
0 91 мин.

WordPressのセキュリティは、ウェブサイトを管理する際の最優先事項です。あなたはあなたのウェブサイトをデザインし、コンテンツを公開し、製品をオンラインで販売しますが、WordPressのセキュリティを真剣に受け取らないと、あなたのサイトはいつでもハッキングされる可能性があります. 


毎日30,000のWebサイトがハッキングされ、2,000を超えるWebサイトがGoogleによってブラックリストに登録されています。あなたも例外ではありません。政府のウェブサイトがハッキングされる可能性がある場合、なぜあなたのウェブサイトはハッキングされないのか?

ある朝、目を覚ますと、WordPressサイトにアクセスできず、次のようなランダムなメッセージが表示されます。,

「あなたのウェブサイトはxyzによってハッキングされています」–サイトはハッキングされています

「先のサイトにはマルウェアが含まれています」– Googleのブラックリスト

これはあなたがあなたのウェブサイトで直面することができる最悪のことです.

しかし、なぜWordPress?

WordPressは、Web上の全Webサイトの31%(8000万)を超えています。による W3Techs, WordPressはCMS市場シェアの60%を他のプラットフォームよりも多く持っています。これは、ハッカーを引き付けるかなり確かな理由です.

しかし、慌てないでください。 WordPressセキュリティの強化は非常に簡単で、あなたもそれを行うことができます.

この記事では、ハッカーやマルウェアからウェブサイトを保護するための24のWordPressセキュリティのヒントを紹介します.

「彼らがそれを発見する前に、なぜあなたの宮殿への門を消さないのですか?」 – WPMyWeb

Contents

一般的なWordPressのセキュリティ問題

WordPressのセキュリティのベストプラクティスを詳しく説明する前に、まずWordPressの一般的なセキュリティの問題をいくつか理解しましょう.

多くのユーザーは、WordPressはビジネスで使用するのに安全なプラットフォームではないと信じていますが、これはまったく正しくありません。これは、WordPressのセキュリティに関する知識の欠如、不十分なシステム管理、古いWordPressソフトウェアやプラグインの使用などが原因です。.

多くのWordPress初心者は、Webサイトの作成は終わりであり、セキュリティのメンテナンスは必要ないと想定しています。これは、サイトを脆弱な状態にしておく方法です.

ハッカーがサイトに脆弱性を見つけたら、簡単にあなたのサイトを悪用することができます.

WordPressの一般的なセキュリティ問題をいくつか確認してみましょう.

1.ブルートフォース攻撃: 

総当たり攻撃では、自動化スクリプトを使用して、ユーザー名とパスワードのさまざまな組み合わせを生成します。ハッカーはWordPressのログインページを使用してブルートフォース攻撃を実行します. 

単純なユーザー名とパスワードを使用している場合は、この攻撃の次の被害者になる可能性があります.

2.クロスサイトスクリプティング(XSS):

クロスサイトスクリプティングは、攻撃者が悪意のあるコード/スクリプトを信頼できるWebサイトに挿入する攻撃の一種です。このハッキング方法は、ウェブサイトを閲覧しているユーザーにはまったく見えません。.

これらの悪意のあるスクリプトは匿名で読み込まれ、ユーザーのブラウザから情報を盗みます。ユーザーが任意のデータを任意のフォームに入力した場合でも、データが盗まれる可能性があります.

3. SQLインジェクション:

WordPressはMySQLデータベースを使用してブログ情報を保存します.

SQLインジェクションは、ハッカーがWordPressデータベースにアクセスしたときに発生します。 WordPressデータベースをハッキングすることにより、ハッカーはあなたのサイトへのフルアクセス権を持つ新しい管理者アカウントを作成できます.

また、MySQLデータベースにデータを挿入して、悪意のあるWebサイトやスパムWebサイトへのリンクを追加することもできます。.

4.バックドア:

「バックドア」という名前で、その意味がわかります. 

バックドアは、ハッカーが通常の認証プロセスをバイパスしてWebサイトの所有者から検出されないままにすることでWebサイトに侵入できるハッキング手法です。.

Webサイトをハッキングした後、ハッカーは通常、自分の足跡を残し、ハッキングが削除されてもWebサイトに再アクセスできるようにします.

5. Pharmaハック:

WordPress Pharma hacksは、バイアグラ、ネキシウム、シアリスなどのウェブ上で禁止されているスパム薬局のコンテンツで検索エンジンの結果を埋める一種のウェブサイトスパムです。.

他のWordPressハックとは異なり、ファーマハッキングの結果は検索エンジンにのみ表示されます。だからあなたはあなたのウェブサイトやソースコードを見るだけではハックを見つけることができません.

Googleにアクセスして入力 site:domain.com. 検索結果にウェブサイトのコンテンツ(薬局のコンテンツではない)が表示されている場合、サイトは製薬会社のハッキングの影響を受けていません。.

このハックの目的は、有害なリンクでタイトルタグを上書きして、最も価値のあるページを悪用することです。言うまでもなく、問題を早期に調査しない場合、Googleなどの検索エンジンでは、Bingは悪意のあるコンテンツを提供するためにWebサイトをブラックリストに登録できます.

6.悪意のあるリダイレクト:

WordPressの悪意のあるリダイレクトは、サイトの訪問者がギャンブル、ポルノ、出会い系サイトなどのスパムサイトに自動的にリダイレクトされる一種のハックです。このハッキングは、悪意のあるコードがWebサイトのファイルまたはデータベースに挿入されたときに発生します.

サイトが訪問者を違法または悪意のあるサイトにリダイレクトしている場合、サイトはGoogleによってブラックリストに登録される可能性があります.

WordPressのセキュリティが重要な理由?

あなたのウェブサイトはあなたのブランド、あなたのビジネス、そして最も重要なことにあなたの顧客との最初の接触を表します.

おそらく、あなたのビジネスに立ち向かい、トラフィックを増やすために多くの努力を費やして数年かかりました。あなたの聴衆はあなたの記事を愛し、あなたの製品を信頼します、それが彼らがあなたと連絡を取り続ける理由です.

WordPressサイトが安全でない場合、サイトと顧客の両方が影響を受ける多くの方法があります。ハッカーはユーザーの個人情報、パスワード、クレジットカードの詳細、取引情報を盗み、マルウェアをユーザーに配布する可能性があります.

サイトがハッキングされている場合、トラフィックが大幅に減少していることに気づくでしょう。さらに、グーグルはあなたのウェブサイトをブラックリストに載せます.

による Googleブログ, ハッキングされたウェブサイトの数は、2015年と比較して2016年に約20%増加しています.

研究では、Securi 報告書 Googleが毎日10,000以上のウェブサイトをブラックリストに載せていること.

あなたがあなたのビジネスに真剣であるならば、あなたはあなたのワードプレスのセキュリティに特別な注意を払う必要があります.

WordPressのセキュリティ

ベストワードプレスセキュリティガイド

  1. 優れたWordPressホスティングを入手する
  2. WordPressのバージョンを最新に保つ
  3. Nulled / Crackedテーマまたはプラグインを使用しない
  4. 強力なパスワードを使用する
  5. 追加(2FA)2要素認証
  6. WordPressログインURLを変更する
  7. ログイン試行を制限する
  8. 定期的にサイトをバックアップする
  9. WordPressセキュリティプラグインを使用する
  10. アイドル状態のユーザーを自動的にログアウト
  11. WordPressログインページにセキュリティの質問を追加する
  12. デフォルトの「admin」ユーザー名を変更する
  13. 可能な限り低い役割にユーザーを割り当てる
  14. ファイルの変更とユーザーのアクティビティを監視する
  15. SSL証明書をインストールする
  16. 未使用のテーマとプラグインを削除する
  17. WordPressダッシュボードでのファイル編集を無効にする
  18. WordPressログインページのパスワード保護
  19. ディレクトリの閲覧を無効にする
  20. WordPressのバージョン番号を削除する
  21. WordPressデータベーステーブルのプレフィックスを変更
  22. 信頼できるWordPressテーマとプラグインのみを使用する
  23. PHPエラー報告を無効にする
  24. WordPressにHTTPセキュアヘッダーを追加する

準備はいい?はじめましょう.

1.優れたWordPressホスティングを入手する

WordPressのホスティングは、WordPressのセキュリティを向上させる上で大きな役割を果たす.

あなたはホスティングサービスの料金を支払い、あなたのウェブサイトは彼らの管理下にとどまります。だからあなたはあなたのウェブサイトに良いWordPressホスティングを選ぶ前に注意する必要があります.

A2Hosting、Bluehostなどの共有ホスティングは、トラフィックの少ないブログを運営するのに最適なホスティングオプションです。しかし、共有ホスティングでは、常にクロスサイト汚染の可能性があります.

クロスサイト汚染は、ハッカーが脆弱なWebサイトを介してWebサーバーにアクセスし、同じWebサーバー上の他のすべてのWebサイトを悪用できる場合に発生します.

管理されたWordPressホスティングプロバイダーの使用をお勧めします。マネージドWordPressホスティング会社は、ウェブサイトに多層セキュリティオプションを提供しています。ホスティングプラットフォームは高度にセキュリティ保護されており、毎日のマルウェアスキャンを提供し、外部からの攻撃を防止します。とにかく、彼らは自分のサーバーでマルウェアを見つけた場合、彼らは責任を取り、即座にそれを削除します.

また、毎日のバックアップ、無料のSSL証明書、24時間年中無休のエキスパートサポートも提供しています.

WPEngineが管理するWordPressホスティング会社をお勧めします。彼らはあなたのワードプレスサイトを保護するために複数のセキュリティ層を提供します。彼らの計画では、毎日のバックアップ、無料のSSL、グローバルCDN、24時間365日のエキスパートサポートを利用できます.

訪問 WPEngine. [このリンクに追加された割引コード]

トップに戻る

2. WordPressのバージョンを最新に保つ

WordPressサイトを最新の状態に保つことは、WordPressのセキュリティを強化するための優れたセキュリティ対策です。このアップデートには、WordPressのバージョン、プラグイン、テーマが含まれています.

最近の研究では, Securiの分析 WordPressに感染したWebサイト全体の56%がまだ古くなっています。あなたが彼らの一人なら、あなたは危険にさらされています.

毎日新しい脆弱性が発見されており、それらを阻止する方法はありません。古いソフトウェアとプラグインには、ハッカーがサイトを悪用するために使用できる脆弱性が含まれている可能性があります.

更新のたびに、開発者は新機能を組み込み、セキュリティホールにパッチを適用し、バグを修正します。WordPressソフトウェアと同様に、WordPressテーマとプラグインも更新する必要があります.

WordPressが更新を自動的にロールアウトしてユーザーに通知するのは良いことです.

WordPressバージョン、プラグイン、テーマの更新は非常に簡単で、WordPress管理ダッシュボードから実行できます.

WordPress、プラグイン、テーマを更新する方法?

最初にWordPressダッシュボードにログインして、 ダッシュボード> アップデート. そこで利用可能な新しいアップデートがあるかどうかを確認できます.

注意: WordPressのバージョンを更新する前に、ファイルとデータベースの完全バックアップを作成してください。エラーが発生した場合、サイトを以前のバージョンに簡単に復元できます。クリックするだけでBlogVaultを使用してサイトを簡単にバックアップおよび復元できます.

このページから、「WordPressのアップデートバージョンが利用可能です」と表示されます。クリック 今すぐアップデート ボタンをクリックしてWordPressのバージョンを更新します。このプロセスには数秒かかる場合があります.

更新が完了したら、下にスクロールしてWordPressプラグインを更新します。プラグインを1つずつ更新することをお勧めします。まず、プラグインを選択してクリック プラグインの更新.

同様に、以下のテーマを更新してください.

ダッシュボードからWordPressを更新する

ただし、一部のユーザー、特にハイテクに精通していないユーザーにとって、更新プロセスは少しトリッキーです.

SiteGround、Kinsta、FlyWheelなどの一部のマネージドWordPressホスティングプロバイダーは、 自動更新 特徴。したがって、忙しいスケジュールにある場合や更新が面倒な場合は、これが役立ちます.

WordPressバージョン、プラグイン、テーマを手動で更新する方法もご覧ください

トップに戻る

3. Nulled / Crackedテーマおよびプラグインを使用しないでください

プレミアムプラグインとテーマがより多くの機能を含み、プロフェッショナルに見えるのも不思議ではありません。ただし、無料のプレミアム製品はありません。価格が付属しており、プレミアム製品を購入した後、ユーザーは製品をアクティブ化するためにプロダクトキーを入力する必要があります.

しかし、無料でプレミアムテーマやプラグインを提供する悪意のあるWebサイトが数多くあります。これらのクラックされたテーマとプラグインは、アクティブ化にシリアルキーを必要とせず、更新されません.

意味は次のとおりです。

Nulled WordPressプラグインの例

これらの無効化されたテーマとプラグインは、サイトにとって非常に危険です。ハッカーは特別に悪意のあるコードを挿入し、サイトにバックドアを作成します。だから彼らは簡単にあなたのウェブサイトにアクセスし、データベースを含むあなたのウェブサイトをハッキングする.

したがって、null化またはクラックされたWordPressテーマとプラグインを使用しないでください.

WordPress.orgからのみ無料のテーマまたはプラグインをダウンロードすることを強くお勧めします.

無料のテーマやプラグインの機能は非常に限られていることを理解しています。しかし、それらの無料のテーマやプラグインは安全に使用でき、定期的に更新されます.

WordPressの7つの最高のプレミアムブログテーマもお読みください

トップに戻る

4.強力なパスワードを使用する

パスワードは、WordPressサイトにアクセスするための主キーです。シンプルで短い場合、ハッカーは簡単にパスワードを解読できます。以上 80% ハッキング関連の違反の発生 弱いパスワードまたは盗まれたパスワードが原因.

最近の研究では, SplashDataが明らかに 2017年の最悪のパスワード100個.

それらのいくつかを次に示します。

  1. 123456
  2. パスワード
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. 入らせて
  8. 1234567
  9. フットボール
  10. わたしは、あなたを愛しています
  11. 管理者
  12. ようこそ
  13. サル(笑)

上記のように単純なパスワードの場合は、すぐに変更してください。適切な強度のパスワードは、10桁以上で、大文字、小文字、数字、特殊文字を含む必要があります.

あなたは使うことができます オンラインパスワードジェネレーターツール 何千もの安全なパスワードを即座に作成する.

パスワードをコンピュータに保存することも必要です.

簡単にするために、パスワードマネージャーソフトウェアを使用して、LastPass、Dashlaneなどのすべてのパスワードを管理できます。.

ユーザーに強力なパスワードを適用する

デフォルトでは、WordPressにはユーザーが弱いパスワードを入力できないようにする機能はありません。ほとんどの場合、ユーザーは自分のアカウントに弱いパスワードを設定し、ほとんど変更しません.

マルチユーザーのWordPressブログを実行している場合は、ユーザーに強力なパスワードを使用するように強制する必要があります.

このプロセスを簡単にするために、プラグインを使用できます。インストールしてアクティブ化 強力なパスワードを強制する プラグインで完了です。これにより、ユーザーや管理者でさえも弱いパスワードを入力できなくなります.

トップに戻る

5. 2要素認証(2FA)を追加する 

WordPressのセキュリティを強化するもう1つの簡単な方法は、WordPressログインページに2要素認証(2FA)を追加することです。基本的に、2要素認証または2段階検証は、身元を検証するために2つの方法を必要とするセキュリティプロセスです.

デフォルトでは、通常、ユーザー名とパスワードを入力してWebサイトにログインします。 2要素認証を追加すると、認証プロセスを承認するためのスマートフォンアプリのような追加の検証プロセスが必要になります.

そのため、誰かがあなたのユーザー名とパスワードを知っている場合、あなたのサイトにログインするための確認コードをスマートフォンに取得する必要があります.

2要素認証を追加することで、WordPressログインページを保護するだけでなく、総当たり攻撃を防ぐこともできます.

Googleの2要素認証システムのWordPressプラグインを使用して、2要素認証を簡単に有効にすることができます.

有効化されたら、 ユーザー> ユーザープロフィール プラグインを有効にします.

Google認証システムの設定

次に、スマートフォンからGoogle認証アプリをダウンロードして、 バーコード または入力 秘密のコード (上のスクリーンショットを参照)あなたのサイトからあなたのウェブサイトを追加する.

追加したら、サイトからログアウトします。ログインページに、Google Authenticatorモバイルアプリからの確認コードを入力する必要がある追加のフィールドが表示されます.

Google Authenticatorフィールド

詳細な手順については、WordPressログインページにGoogle 2要素認証を追加する方法に関するガイドをご覧ください。.

トップに戻る

6. WordPressログインページのURLを変更する

デフォルトでは、「domain.com/wp-admin」や「domain.com/」などのドメイン名の末尾に「wp-admin」または「wp-login.php」を追加するだけで、だれでもログインページにアクセスできます。 wp-login.php」.

何だと思う!ハッカーは、ログインページを使用してブルートフォース攻撃を実行できます。非常に単純なパスワードを使用している場合、ハッカーは簡単にパスワードを解読してWebサイトにアクセスできます.

しかし、攻撃する場所がわからない場合はどうなりますか?はい、あなたはそれを正しく推測しました.

ログインページのURLを非表示にするか、名前を変更すると、ハッカーはブルートフォース攻撃を実行できなくなります.

WordPressでは、プラグインを使用して、ログインページを簡単に非表示にしたり、名前を変更したりできます。 WordPressプラグインギャラリーから、インストールしてアクティブ化します WPSログインを非表示 プラグイン.

有効化されたら、 設定> 一般的な 下部には、 WP Hide Loginオプション.

WPSログイン設定を隠す

ログインURLを変更するだけです “ログインする” 推測してクリックするのが難しい他の何かに 変更内容を保存.

完了したら、新しいログインページをブックマークして完了です。.

トップに戻る

7.ログイン試行を制限する

デフォルトでは、WordPressはログインフォームからのログイン試行回数を制限していません。つまり、ログインURLを知っている人はだれでも、ログイン機能を何度でも試すことができます。このようにして、ハッカーはブルートフォース攻撃を実行し、「ユーザー名」と「パスワード」をクラックしてWebサイトにアクセスします.

ログイン試行を制限することで、WordPressのセキュリティを強化し、ブルートフォース攻撃からログインページを保護できます.

ユーザーが同じIPアドレスから実行できる不正なログイン試行の最大数を設定できます。ユーザーが制限を超えると、ユーザーのIPは一定期間ブロックされます.

WordPressでのログイン試行を制限するには、インストールします ログインロックダウン プラグイン。有効化されたら、 設定> ログインロックダウン プラグインを設定するには.

ログインロックダウン設定

詳細な手順については、WordPressでのログイン試行を制限する方法に関するガイドを参照してください

トップに戻る

8.サイトを定期的にバックアップします

バックアップはTime Machineのようなものです. あなたがそれを持っているなら、あなたのウェブサイトは安全です.

ただし、ウェブサイトのバックアップはサイトをハッカーから保護しませんが、サイトを回復するのに役立ちます.

たとえば、更新中にサイトで問題が発生した場合、またはWebサイトがハッキングされた場合、サイトを再度修正するにはどうすればよいですか。あなたはおそらくあなたのサイトを失う.

しかし、サイトのバックアップがあれば、ハッキングまたはクラッシュする前にサイトを簡単に復元できます.

そのため、信頼できるWordPressバックアッププラグインを使用することを強くお勧めします。ただし、多くのホスティング会社は無料のウェブサイトバックアップを提供していますが、壊滅的な障害が発生した場合にサイトの可用性を保証できます。そのため、バックアップをGoogleドライブ、Amazon S3、Dropboxなどのリモートの場所に保存する必要があります.

ありがたいことに、これは、BlogVaultまたはBackUpBuddy WordPressバックアッププラグインを使用して行うことができます。どちらも、毎日のバックアップとワンクリックリストアを提供します。追加コストなしでステージングサイトを作成することもできます.

トップに戻る

9. WordPressセキュリティプラグインを使用する

あなたがあなたを強化するために必要な次のこと WordPressのセキュリティ セキュリティプラグインです。利用可能なWordPressセキュリティプラグインが多数あり、ハッカーやマルウェアからサイトをロックダウンします.

WordPressセキュリティプラグインは、マルウェアがサイトに存在する場合、それを検出して排除します。さらに、ユーザーアクティビティをリアルタイムで監視し、変更があった場合は通知し、プラグインにマルウェアが含まれている場合はスパムトラフィックをブロックします。.

Securi WordPress Security Pluginをお勧めします。 Securi Securityは、セキュリティアクティビティの監査、Webサイトの監視など、さまざまなタイプのセキュリティ機能を提供します, ウェブサイトのファイアウォール,  などなど.

セキュリ

Securiの最も優れた点は、サービスの使用中にサイトがハッキングまたはブラックリストに登録された場合、サイトが修正されることを保証することです。.

WordPressのセキュリティ専門家のほとんどは、ハッキングされたサイトを修正するために300ドル以上を請求しますが、すべてのセキュリティサービスは 199ドル 1年当たり。 WordPressのセキュリティを強化するための良い投資です.

トップに戻る

10.アイドル状態のユーザーを自動的にログアウトする

ユーザーがサイト上でアイドル状態または非アクティブ状態が長時間続くと、ブルートフォース攻撃が発生する可能性があります.

ユーザーがあまりにも長い間非アクティブな状態にある場合、ハッカーはCookieまたはセッションハイジャック手法を使用して、Webサイトへの不正アクセスを取得する可能性があります。そのため、銀行や支払いゲートウェイのウェブサイトなど、教育および金融関連のほとんどのウェブサイトでは、ユーザーセッションタイムアウト機能を使用しています。そのため、ユーザーがページから離れてナビゲートし、しばらく操作しないと、Webサイトは非アクティブなユーザーを自動的にログアウトします.

WordPressのセキュリティを向上させるためにWordPressサイトに追加できるのと同じ機能。 WordPressでアイドル状態のユーザーを自動的にログアウトするのは非常に簡単です。プラグインをインストールするために必要なすべて.

まず、ダウンロードしてインストールします 非アクティブなログアウト WordPressプラグイン。次に、それをアクティブにして移動します 設定> 非アクティブなログアウト プラグインを設定するには.

非アクティブなログアウトプラグイン設定

設定から、アイドルタイムアウトを変更できます。時間が経過すると、サイト内のすべてのユーザーが自動的にログアウトされます.

アイドルタイムアウトメッセージを変更し、必要に応じて他の設定を変更することもできます.

完了したら、クリックします 変更内容を保存 設定を保存するには.

詳細な手順については、WordPressでアイドル状態のユーザーを自動的にログアウトする方法に関するガイドをご覧ください。

トップに戻る

11. WordPressログインページにセキュリティの質問を追加する

WordPressログインページにセキュリティの質問を追加することで、WordPressログインページを保護するだけでなく、WordPressのセキュリティを強化できます.

セキュリティの質問は、ログイン時に身元をさらに認証するためのセキュリティの層を追加します。これは、複数の著者によるWordPressブログを実行している場合に非常に役立ちます。.

ユーザーまたはパスワードのいずれかが盗まれた場合、セキュリティの質問は命を救うことができます.

ユーザー名とパスワードは簡単にハッキングされる可能性がありますが、正しいセキュリティの質問と回答を選択することはほぼ不可能です。このようにして、ハッカーやブルートフォース攻撃からWordPressログインページを保存できます。.

WordPressログインページにセキュリティの質問を追加するには、 WPセキュリティ質問 プラグイン.

WPセキュリティ質問設定

有効化されたら、 WPセキュリティの質問 > プラグイン設定 プラグインを設定するには.

デフォルトでは、プラグインには多くの一般的な質問が追加されています。ただし、セキュリティの質問をリストに追加または削除できます.

下部で、ログインページ、登録、およびパスワードを忘れた場合のページでセキュリティの質問を有効にすることができます。プラグインを設定したら、クリックすることを忘れないでください 設定を保存.

注意: 新規ユーザーのみが、登録時にセキュリティの質問と回答を設定できます。そのため、登録ユーザーは自分のセキュリティの質問と答えを手動で設定する必要があります。セキュリティの質問と回答を設定することもできます。これは、 ユーザープロフィール ページ.

多くの場合、WPのセキュリティ質問を追加する

詳細な手順については、WordPressログインページにセキュリティの質問を追加する方法に関するガイドを参照してください

トップに戻る

12.デフォルトの「管理者」ユーザー名を変更する

WordPressをインストールしたら、何度でもパスワードを変更できます。しかし、一度設定したユーザー名は変更できますか?権利はありません?

デフォルトでは、WordPressはユーザーがユーザー名を変更することを許可していません。しかし、なぜそれを変更する必要がありますか?

「admin」のような非常に一般的なユーザー名を使用している場合、ハッカーはユーザー名を利用してブルートフォースアタッチを実行できます。.

しかし、慌てないでください。 WordPressを簡単に変更する方法はいくつかあります.

ただし、プロセスを簡単にするために、プラグインを使用します。まず、ダウンロードしてインストールします ユーザー名チェンジャー プラグイン。次に行きます ユーザー> あなたのプロフィール ユーザー名オプションを見つけます。そこに「ユーザー名の変更」オプションがあります.

WordPressユーザー名を変更する

クリック ユーザー名を変更 ボタンをクリックして、新しいユーザー名を入力します。完了したら、クリックします プロフィールを更新.

ユーザー名を手動で(プラグインなしで)変更する場合は、WordPressユーザー名を変更する3つの方法を確認してください。.

トップに戻る

13.可能な限り低い役割にユーザーを割り当てる

複数作成者のWordPressサイトを実行している場合は、ユーザーに役割を割り当てる前に注意する必要があります.

多くの場合、WordPressサイトの所有者は新しいユーザーに高いユーザーロールを割り当てます。これにより、ユーザーにすべての権限が付与され、その結果、すべてのユーザーが好きなタスクを実行できます。.

たとえば、編集者ユーザーの役割が実行できる機能がわからない場合、その役割を通常のユーザーに割り当てると、ユーザーはすべての投稿の削除、リンクの編集、スパム投稿の作成、ブログへの悪意のあるリンクの追加を行うことができます投稿。これは、ユーザーが簡単にあなたのウェブサイトを台無しにする方法です.

デフォルトでは、WordPressには5つの異なるユーザーロールが付属しています.

  • 管理者
  • 編集者
  • 著者
  • 寄稿者
  • 加入者
  1. 管理者: 管理者は、WordPressサイトで最も強力なユーザーロールです。ユーザーアカウントを作成、編集、削除したり、WordPress管理パネル全体で任意のタスクを実行したり、コンテンツ領域全体を制御したり、コメントを管理したりできます。. 
  2. 編集者: 編集者の役割を持つユーザーは、コンテンツ全体を完全に制御できます。他のユーザーが作成した投稿を含むすべての投稿を作成、編集、削除できます。コメントを管理したり、リンクを変更したりすることもできます.
  3. 著者: 作成者は、自分の投稿のみを公開、編集、または削除できます。投稿に使用するメディアファイルをアップロードできます。コメントを表示することはできますが、コメントを承認または削除することはできません.
  4. 寄稿者: 投稿者の役割を持つユーザーは、自分の非公開の投稿を書いたり、編集したり、削除したりできますが、自分の投稿を公開することはできません.
  5. サブスクライバー: サブスクライバーは、パスワードを含むアカウント情報のみを編集できますが、コンテンツやサイト設定にはアクセスできません。彼らはWordPressサイトで最も低い機能を持っています.

WordPressのユーザー役割を理解することで、リスクなしで簡単に管理できます。.

また、新規ユーザーのデフォルトロールをサブスクライバーとして設定することをお勧めします。設定に移動> 一般設定とそのセット 新しいユーザーのデフォルトの役割 加入者 そしてクリック 変更内容を保存.

WordPress新規ユーザーデフォルトロール

詳細については、WordPressユーザーの役割と機能の初心者向けガイドをご覧ください。

トップに戻る

14.ファイルの変更とユーザーアクティビティの監視

WordPressのセキュリティを強化するもう1つのスマートな方法は、ユーザーのアクティビティとファイルの変更を監視することです. 

マルチユーザーのWordPressサイトを実行している場合は、ユーザーの行動を追跡して、WordPressサイト全体でのユーザーのアクティビティをよりよく理解する必要があります。.

ユーザーが不審な作業を行っていたり、ウェブサイトをハッキングしようとしているかどうかは誰にもわかりませんか?どうやってそれを知ることができますか?

ユーザーアクティビティとファイルの変更を追跡する唯一の方法は、ユーザーアクティビティのWordPressプラグインを使用することです。 WordPressのユーザーアクティビティプラグインを使用すると、次のことができます。

  • ログインしているユーザーと何をしているのかをリアルタイムで確認する
  • ユーザーがログインしてログアウトしたとき
  • ユーザーがログインを試みたが失敗した回数

さらに、編集者があなたの許可なしに投稿またはページに変更を加えた場合、簡単に見つけて元に戻すことができます。ユーザーアクティビティプラグインの良い点は、問題が発生した場合に即座にメール通知を送信することです。.

WP Security Audit Logは、ユーザーのアクティビティとファイルの変更をリアルタイムで監視するのに最適なプラグインです。以下は、プラグインがどのように機能するかを示すスクリーンショットです。.

WordPress監査ログビューア

WordPressのユーザーアクティビティを監視するための5つのベストプラグイン(代替プラグイン)もご覧ください

トップに戻る

15. SSLとHTTPSを実装する

WordPressのセキュリティ SSL証明書がないと改善できません。 SSL(Secure Socket Layer)はWebサイトのセキュリティのバックボーンです.

SSLは、オンライントランザクションなどのオンライン通信でサーバーとWebブラウザーの間に暗号化されたリンクを作成する標準的なセキュリティテクノロジーです。したがって、パスワード、クレジットカードの詳細などの機密データはすべて暗号化されたリンクを通過します.

支払いを受け入れるオンラインビジネスやブログを運営している場合、SSL証明書は必須です。顧客のデータをハッカーから保護します。オンラインストアまたはWooCommerceサイトの場合、SSL証明書の費用は約20〜170ドルです。.

WordPressブログを実行している場合は、有料のSSL証明書は必要ありません。 SiteGround、WPEngineなどのcPanelホスティングを使用している場合、ワンクリックで無料でSSL証明書をインストールできます.

まず、ホスティングcPanelアカウントにログインして、 安全保障.  (以下は、cPanelをホストしているSiteGroundのスクリーンショットです。)

SG SSL

に行く SSL / TLSマネージャー そしてクリック SSL証明書をインストールする. ページからドメインを選択してクリック ドメインによる自動入力. プロセスは自動なので、何も編集したり変更したりする必要はありません.

サイトグラウンドインストールSSL証明書

次に、 証明書をインストール 設定プロセスを完了するためのボタン.

完了したら、WordPress管理ダッシュボードにログインして、サイトのURLを変更します。に行く 設定> 一般的な サイトのURLの前に、HTTPをHTTPSに置き換えます。以下のスクリーンショットです.

WP HTTPS

更新したら、 変更内容を保存.

WordPressでHTTPをHTTPSにリダイレクトする方法

SSL証明書を適切にインストールしている場合、サイトはHTTPSでアクセスできます.

ただし、誰かがブラウザのアドレスバーにウェブサイト名(domain.comなど)のみを入力すると、サイトに「接続が安全ではありません」というメッセージが表示される場合があります。つまり、HTTPでサイトにアクセスできます.

この問題を解決するには、WordPressでHTTPSを強制する必要があるため、サイトはHTTPSでのみロードされます。 WordPressでHTTPSを簡単に強制できます.

最初にホスティングcPanelにログインし、Webサイトのルートフォルダーに移動して、 .htaccess ファイル。 .htaccessファイルを編集し、最後に次のコードを追加します.

RewriteEngine On
RewriteCond%{HTTPS}オフ
RewriteRule ^(。*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L、R = 301]

ファイルを保存すれば完了です。今あなたのウェブサイトはHTTPSでのみアクセス可能です.

ウェブホスティングプロバイダーが無料のSSL証明書を提供していない場合は、SSL証明書を手動でインストールできます。これは無料のSSL証明書をインストールする方法のガイドです.

トップに戻る

16.未使用のテーマとプラグインを削除する

WordPressのセキュリティ強化については、サイトを脆弱にする可能性のある小さな手順を無視しないでください. 

ほとんどの場合、WordPressサイトの所有者はさまざまなテーマとプラグインをインストールして、サイトでどのテーマがよりよく見えるか、またはどのプラグインがより多くの機能を備えているかをテストします。それで大丈夫です。しかし、それらの未使用のテーマとプラグインを維持すると、サイトが脆弱になります.

多くのWordPressテーマとプラグインを維持するためには、使用しているもののように定期的に更新する必要があります。それらを更新しないと、脆弱になり、ハッカーは脆弱なテーマやプラグインを介してサイトを簡単に悪用することができます。さらに、テーマとプラグインを多く維持すると、WordPressサイトが遅くなります.

したがって、サイトのパフォーマンスとWordPressのセキュリティを向上させるには、未使用のテーマとプラグインを常に削除する必要があります.

未使用のプラグインを削除するには、 プラグイン> インストールされているプラ​​グイン. 次に、不要になったプラグインを見つけます。まず、プラグインを無効にしてクリックします 削除する.

WordPressプラグインの削除

同様に、テーマを削除するには、 外観> テーマ そしてクリック テーマ詳細. 次に、右側の下部で、 削除する.

テーマを削除

トップに戻る

17. WordPressダッシュボードでファイル編集を無効にする

WordPressのデフォルトでは、ユーザーはWordPressダッシュボードから直接テーマとプラグインファイルを編集できます。これは、テーマとプラグインファイルを頻繁に編集する必要があるユーザーにとって便利なオプションです。.

WordPressテーマエディター

ただし、この機能を有効にしておくと、セキュリティ上の重大な問題になる可能性があります。ハッカーがWebサイトにアクセスした場合、通常、悪意のあるコードをWebサイトのファイルに挿入することにより、足跡を残します。 WordPressファイル編集機能が有効になっている場合、ハッカーはあなたに知らないテーマまたはプラグインファイルに悪意のあるコードを簡単に挿入できます.

WordPressのセキュリティを向上させるには、WordPressダッシュボードからファイル編集機能を無効にする必要があります。 WordPressのWordPressテーマとプラグインエディターの無効化は非常に簡単なプロセスです.

最初に、ホスティングcPanelアカウントにログインし、WordPressサイトのルートフォルダーに移動する必要があります。そこから、 wp-config.php. 編集をクリックして、最後に次のコードを追加します.

define( ‘DISALLOW_FILE_EDIT’、true);

ファイルを保存して、WordPressダッシュボードを更新します。テーマとプラグインのエディターオプションがなくなっていることがわかります。この小さなトリックで、WordPressのセキュリティを簡単に改善できます.

WordPressでテーマとプラグインエディターを無効にする方法の詳細ガイドを読む

トップに戻る

18. WordPressログインページのパスワード保護

WordPressのセキュリティを向上させるもう1つの優れた方法は、WordPressログインページをパスワードで保護することです。.

WordPressログイン(/wp-login.php)またはadmin(https://cdn.wpmyweb.com/wp-admin)ページをパスワードで保護することにより、ハッカーがログインページにアクセスするのを防ぐことができます。ログインページ. 認証が必要なポップアップボックスこの機能を有効にすると、サイトはユーザー名とパスワードウィンドウでログインページにアクセスするすべてのユーザーにプロンプ​​トを表示します。つまり、すべてのユーザーは、WordPress管理ダッシュボードにアクセスする前に、異なるユーザー名とパスワードで2回ログインする必要があります。.

そうすることで、WordPressのセキュリティを強化し、ログインページにセキュリティの層を追加できます。.

WordPressログインページをパスワードで保護する方法に関する詳細ガイドを読む.

トップに戻る

19. WordPressでのディレクトリ参照を無効にする

デフォルトでは、Apache、NGINX、LiteSpeedなどのほとんどのWebサーバーでは、すべてのユーザーがWordPressファイルとフォルダーを含むディレクトリを閲覧できます。彼らはまた、あなたが使用しているテーマとプラグインを確認し、あなたのウェブサイトの構造についてもっと知ることができます.

WordPressサイトのインデックスページ

この情報により、WordPressサイトが脆弱になり、ハッカーがサイトを侵害しようとする際に役立ちます.

WordPressのセキュリティを強化するために、このオプションを無効にすることをお勧めします。 WordPressでディレクトリの参照を無効にするには、次の行を .htacces ファイル.

すべてのオプション-インデックス

詳細な手順については、WordPressでディレクトリの参照を無効にする方法に関するガイドをご覧ください。

トップに戻る

20. WordPressバージョンを削除する

デフォルトでは、WordPressは、使用しているWordPressバージョンを表示するさまざまな場所にメタタグを自動的に追加します.

これが重要です:ハッカーが古いWordPressバージョンを実行していることを知っている場合、ハッカーは古いWordPressバージョンに存在する既知の脆弱性を介してサイトを悪用する可能性があります.

したがって、WordPressのセキュリティを向上させるには、WordPressバージョンを削除することをお勧めします。 WordPressダッシュボード、ヘッダー、スタイル、JavaScript、RSSフィードなど、WordPressがメタタグを追加する場所はいくつかあります.

ヘッダーとRSSからWordPressバージョンを削除する

ヘッダーとRSSからバージョンを削除するには、あなたの最後に次の行を追加します functions.php ファイル.

function remove_wordpress_version(){
戻り ”;
}
add_filter( ‘the_generator’、 ‘remove_wordpress_version’);

スクリプトとCSSからのWordPressバージョン番号の削除

CSSとスクリプトからWordPressバージョンを削除するには、次の行を functions.php ファイル.

//スクリプトとスタイルからバージョン番号を取り出します
function remove_version_from_style_js($ src){
if(strpos($ src、 ‘ver =’。get_bloginfo( ‘version’)))
$ src = remove_query_arg( ‘ver’、$ src);
$ srcを返す;
}
add_filter( ‘style_loader_src’、 ‘remove_version_from_style_js’);
add_filter( ‘script_loader_src’、 ‘remove_version_from_style_js’);

完了したら、functions.phpファイルを保存します.

それでおしまい。この簡単なトリックで、WordPressのセキュリティを確実に向上させることができます。ただし、WordPressのバージョン、テーマ、プラグインを定期的に更新することをお勧めします.

詳細な手順については、WordPressバージョンを非表示または削除する方法に関するガイドをご覧ください

トップに戻る

21. WordPressデータベーステーブルのプレフィックスを変更する

WordPressのインストール中に、別のデータベースプレフィックスを使用するかどうかを尋ねられます。通常、このステップはスキップするため、WordPressは自動的に (WP_) デフォルトのデータベーステーブルプレフィックスとして。強力でユニークなものに変更することをお勧めします.

デフォルトの(WP_)接頭辞を使用すると、WordPressデータベースがSQLインジェクション攻撃を受けやすくなります。このような攻撃は、データベースプレフィックス(WP_)を一意の名前に変更することで防止できます。.

WordPressをインストールしたら、プラグインを使用するか手動でデフォルトのデータベーステーブルプレフィックスを簡単に変更できます。 BackupBuddy、Brozzme DB Prefixなどのプラグインを使用すると、クリックするだけでテーブルの接頭辞を変更できます.

チュートリアルのために、Brozzme DB Prefixプラグインを使用して変更する方法を示しています.

注意: データベースを操作する前に、サイトとデータベースのバックアップを必ずとってください。何か問題が発生した場合は、サイトを復元できます.

まず、インストールしてアクティブ化します Brozzme DBプレフィックス プラグイン。 WordPressダッシュボードから、 ツール> DBプレフィックス データベースプレフィックスの新しい一意の名前を入力します.

Brozzme DBプレフィックス

新しい接頭辞を入力したら、 DBプレフィックスを変更.

手動プロセスについては、phpMyAdminを使用してデータベーステーブルのプレフィックスを変更する方法をご覧ください。

トップに戻る

22.信頼できるWordPressプラグインのみを使用する

WordPressには48,000以上のプラグインが付属しています。すべてのプラグインが便利で安全に使用できるという意味ではありません.

WordPressプラグインギャラリーには、長い間更新されていないプラグインが多数あり、通常は脆弱になります。その上、プラグインがあなたのサイトを壊した場合、あなたはサポートを受けられません。.

無料のプラグインを使用する前に、確認する必要がある2つの重要事項,

  • プラグインの最終更新日を確認します。 プラグインが頻繁に更新されないか、プラグイン開発者によってメンテナンスされなくなった場合は、プラグインを使用しないでください。.

古いWordPressプラグインバージョン

  • プラグインに最大の正の評価があるかどうかを確認します。 次に、プラグインに最大の正または負の評価があるかどうかを確認する必要があります。プラグインに最大の負の評価がある場合は、使用しないでください.

WordPress低評価プラグイン

プラグインの[レビューとサポート]ページをチェックして、他のユーザーがプラグインについて言っていることを確認することもできます.

でも心配はいりません。 WordPressプラグインギャラリーから入手できる同様のプラグインが多数あります。.

プレミアムプラグインを使用する場合は、心配する必要はありません。プレミアムプラグインは定期的に更新され、プラグイン開発者から24倍のサポートを受けることができます.

トップに戻る

23. PHPエラー報告を無効にする

WordPressのセキュリティを強化するもう1つの優れた方法は、WordPressでPHPエラーレポートを無効にすることです。多くの場合、古いプラグインまたはテーマをインストールすると、PHPエラー警告が表示されることがあります.

WordPress PHPエラー警告ただし、ハッカーがコードとファイルの場所を示しているため、ハッカーがサイトを入手すると、サイトが脆弱になる可能性があります。リスクを最小限に抑えるために、WordPressでPHPエラー報告を無効にすることができます.

WordPressでPHPエラー警告を無効にするのはとても簡単です。まず、あなたの wp-config.php ファイルを作成し、次のコードを含む行を見つけます。

define( ‘WP_DEBUG’、false);

「false」ではなく「true」が表示される場合があります。行を次のコードに置き換えます.

ini_set( ‘display_errors’、 ’Off’);
ini_set( ‘error_reporting’、E_ALL);
define( ‘WP_DEBUG’、false);
define( ‘WP_DEBUG_DISPLAY’、false);

ファイルを保存すると完了です.

この種の問題を回避するために、最新で評価の高いプラグインを使用することもお勧めします.

トップに戻る

24. WordPressにHTTPセキュアヘッダーを追加する

WordPressのセキュリティを強化するもう1つの優れた方法は、WordPressサイトにHTTPセキュアヘッダーを追加することです.

誰かがあなたのウェブサイトにアクセスすると、ブラウザはあなたのウェブサーバーにリクエストを出します。次に、WebサーバーはHTTPヘッダーとともに要求で応答します。これらのHTTPヘッダーは、コンテンツエンコーディング、キャッシュ制御、コンテンツタイプ、接続などの情報を渡します.

安全なHTTP応答ヘッダーを追加することで、WordPressのセキュリティを向上させ、攻撃やセキュリティの脆弱性を緩和することもできます.

以下はHTTPヘッダーです。

  • HTTP Strict Transport Security(HSTS): HTTP Strict Transport Security(HSTS)は、WebブラウザがWebサイトとの通信時に安全な接続(HTTPS)のみを使用するように強制します。これにより、SSLプロトコルハッキング、Cookieハイジャック、SSLストリッピングなどが防止されます。.
  • Xフレームオプション: X-Frame-Optionsは一種のHTTPヘッダーで、ブラウザーがWebサイトをフレームにレンダリングできるかどうかを指定します。これにより、クリックジャッキング攻撃が防止され、Webサイトが他のWebサイトに埋め込まれないようになります。 .
  • X-XSS保護: X-XSS-Protectionは、Internet Explorer、Google Chrome、Firefox、およびSafariブラウザーの組み込み機能であり、ユーザー入力から悪意のあるスクリプトが挿入された場合にページのロードをブロックします.
  • X-Content-Type-Options: X-Content-Type-Optionsは、値nosniffを持つ一種のHTTP応答ヘッダーであり、宣言されたcontent-typeからの応答をWebブラウザーがMIMEスニッフィングできないようにします。.
  • リファラーポリシー: リファラーポリシーは、クロスドメインのリファラーの漏洩を防ぐHTTP応答ヘッダーです.

WordPressにHTTPセキュアヘッダーを追加するには、次のコード行を .htaccess ファイル.

ヘッダーセットStrict-Transport-Security "max-age = 31536000" env = HTTPS
ヘッダーは常にX-Frame-Optionsを追加します
ヘッダーセットX-XSS-Protection "1;モード=ブロック"
ヘッダーセットX-Content-Type-Options nosniff
ヘッダーリファラーポリシー:no-referrer-when-downgrade

セキュリティヘッダーチェック

次に行きます securityheaders.com コードが機能しているかどうかを確認します。サイトが破損する可能性があるため、「コンテンツセキュリティポリシー」を追加していません。ただし、WordPressサイトを安全にするのに十分です.

トップに戻る

結論

強化できる方法はたくさんあります WordPressのセキュリティ 例:管理されたWordPressホスティングの使用、アカウントの強力なパスワードの使用、ユーザーアクティビティの監視、WordPressセキュリティプラグインの使用、SSLおよびHTTPSの実装など.

WordPressのセキュリティを強化することはロケット科学ではありません。この記事で共有したWordPressのセキュリティのベストプラクティスを実装することで、WordPressサイトを簡単に保護できます。それらを実装することで、WordPressサイトを保護するだけでなく、ハッカーによるサイトへのアクセスも防止します.

完了したら、WordPressのセキュリティについて心配する必要はありません。さらに、生産性を高め、緊張から解放されます。.

今ではあなたの番です。記事をよく読んで、サイトに実装してください。あなたはそれをやったと幸せになります。 ��

ここで言及する重要なWordPressセキュリティのヒントを見逃しましたか?コメント欄でお気軽にお知らせください.

WordPressセキュリティインフォグラフィック

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector