WordPress サイトの簡単なセキュリティ チェックリスト
毎日 100,000 を超える Web サイトがハッキングされていることをご存知ですか?そうです、サイバー犯罪はどの企業にとっても深刻な脅威であり、WordPress サイトを使用している人も安全ではありません。私はハッカーと遭遇したことがあります (そして WordPress サイトを回復しなければなりませんでした)。おそらくそれが醜いものだったことはご存知でしょう。
ハッカーは、金銭的利益や純粋な悪意のために公開できるデータを破壊して盗むために、脆弱な Web サイトを積極的に探しています。自分自身とあなたの大切なサイトを守るために、WordPress のセキュリティを強化することを真剣に検討する必要があります。
ハッカーが Web サイトに侵入した場合に収益、時間、労力が失われることを考慮して、WordPress Web サイトを保護するために使用できる次のセキュリティ チェックリストを作成しました。この投稿にあるセキュリティ項目はすべて、初めての人でも比較的簡単に実装できます。
- WordPressを更新する
- テーマとプラグインを更新する
- ユニークで強力なパスワードを使用する
- WordPress セキュリティプラグインをインストールする
- 優れた WordPress ホスティングを選択してください
- SSL (HTTPS) を使用する
- サイト全体のバックアップを作成する
- Web アプリケーション ファイアウォール (WAF) を使用する
- WordPress Admin でのファイル編集を無効にする
- ログインページを保護する
- 認証の追加
- 非アクティブなユーザーをログアウトする
- マルウェアと問題をスキャンする
- VPNを使用する
ご覧のとおり、この記事は安全なホストの選択から管理領域などの強化まで、すべてをカバーする複数の部分に分かれています。テーマを定期的に更新するなど、いくつかのセキュリティ タスクを繰り返す必要があります。他のタスクは 1 回限りのものですが、サイトの安全性を維持するのに大きな影響を与えます。ハッカーも時間を無駄にしないので、修正する必要があるものを確認し、すぐに実行してください。
1.WordPressを更新する
WordPress コアは定期的に監査され、セキュリティの脆弱性がチェックされます。セキュリティ上の欠陥やバグが検出された場合、通常、コア開発者はメンテナンス アップデートをリリースします。マイナーアップデートは WordPress Web サイトに自動的にインストールされます。
ただし、すべてのメジャー リリースでは WordPress を手動で更新する必要があります。 WordPress 管理画面にしつこいメッセージが表示されるため、これは比較的簡単なプロセスです。最新バージョンの WordPress で実行されている Web サイトはわずか 22% であり、更新の容易さを考えると、これは悲しいことです。
Web サイトを更新しないと、基本的にサイトがあらゆる種類の攻撃にさらされることになるため、残りの 78% には入らないでください。通常、ハッカーは攻撃を成功させるために欠陥を期待しているため、古いバージョンの脆弱性について最初に知る人々のグループです。
WordPress を更新する前に、リリース ノートを読んで変更内容を確認し、Web サイトのバックアップを作成することをお勧めします (念のため)。これにより、更新ボタンをクリックしたときに何が起こるかを確認でき、何か問題が発生した場合のフェイルセーフが得られます。
2. テーマとプラグインを更新する
WordPress コアを更新するときは、テーマとプラグインも更新することを忘れないでください。ハッカーは、既知のセキュリティ ホールがある古いテーマやプラグインを特に好みます。
これらのセキュリティ脆弱性を悪用し、古いテーマやプラグインにバックドアを隠す可能性もあります。あなたが更新しないと、彼らはいつでもあなたのウェブサイトをハッキングすることができます。
カスタム スタイルが失われないようにするには、親テーマではなく WordPress 子テーマを使用することをお勧めします。こうすることで、テーマを更新してもカスタマイズが失われることはありません。
また、非アクティブなテーマ、プラグイン、未使用の WordPress インストールも削除する必要があります。帯域幅を節約して Web サイトを高速化するだけでなく、ハッカーを寄せ付けなくなります。
もう 1 つの注意事項として、「無効な」プレミアム テーマやプラグインは絶対にダウンロードしないでください。 WordPress.org、Envato、またはその他の信頼できるテーマショップなど、信頼できるソースのみを使用してください。
3. ユニークで強力なパスワードを使用する
悪者がログイン情報を盗むと、ほとんどの Web サイトがハッキングされることに驚かれるでしょう。さらに、ブルート フォース攻撃も非常に一般的で、問題が解決するまでログイン ページに何千ものユーザー名とパスワードの組み合わせを攻撃します。
脆弱なユーザー名とパスワード (悪名高い「admin」や「12345」など) を使用すると、ハッカーが Web サイトに侵入するのが信じられないほど簡単になります。ユニークで強力なパスワードを作成し、定期的に変更する習慣をつけましょう。 LastPass のこのような無料のオンライン ジェネレーターを使用することもできます。
多数の強力なパスワードを管理するのは問題になる場合があります。これを助けるために、私は 1Password や LastPass などのパスワード マネージャーをよく利用します。複数の Web サイトで同じパスワードを再利用しないでください。ログイン情報は常に安全に保管してください。 WordPress ユーザーも強力なパスワードを使用するようにしてください。
その際、電子メール、cPanel、MySQL データベース、FTP アカウントにも強力なパスワードを使用することを忘れないでください。
4.WordPressセキュリティプラグインをインストールする
新しい WordPress Web サイトを作成するときは、通常、いくつかのデフォルトのプラグインがほぼ自動的にインストールされます。スパム対策プラグインである Contact Form 7、Symple Shortcodes、そして私がよく使う WordPress セキュリティ プラグインである iThemes Security を入手しました。
このプラグインを使用すると、苦労せずに WordPress の防御を強化できます。ウェブサイトへの悪者を簡単に締め出すことができる非常に多くの機能が備わっています。プラグインの設定は非常に簡単です。すぐに起動して実行できるようになるはずです。
最高の WordPress セキュリティ プラグインはさまざまな機能を提供するため、インストールする前に必ずチェックして、どんなにユニークなものであっても、Web サイト全体を保護するために必要な機能がすべて備わっていることを確認してください。標準機能には、マルウェア スキャン、IP ブロック、ブルート フォース防止、二要素認証などが含まれており、今読んでいるこのセキュリティ チェックリストの多くのボックスにチェックを入れてください。
5. 優れた WordPress ホスティングを選択する
通常、初心者は最初に見つけた安価なホスティング パッケージに飛びつきます。あなたには何も分からないので、それを非難するつもりはありませんが、疑わしいほど安価な (あるいは無料の) 共有ホスティングはセキュリティ リスクにさらされる可能性があります。私は共有ホスティングを提供する 2 つの異なるホスティング会社でハッキングされたことがあるので、これを事実として知っています。
共有ホスティングには、他の何千もの Web サイトとサーバーを共有することが含まれます。これにより、サイト間汚染のリスクが高まります。つまり、たとえ他の人の Web サイトが最初の攻撃点であったとしても、ハッカーはあなたのサイトにアクセスできる可能性があります。
一方、マネージド WordPress ホスティングは、WordPress Web サイトのみに焦点を当てています。サーバーを他のユーザーと共有することがなくなり、安全を確保するためのセキュリティ オプションが増えました。専用のサポートも提供しており、最悪の事態が発生した場合には、より多くの回復オプションが提供されます。
まだ収益を上げていないブログを始める場合など、共有ホスティングを使用する必要がある場合は、サイトが隔離されているか「刑務所に入れられている」ことを確認してください。ビジネスや電子商取引の Web サイトを運営している場合は、最初から予算内に収まる最高の WordPress ホスティング (VPS、専用、またはマネージド WordPress ホスティングなど) を使用することが有益です。
6. SSL (HTTPS) を使用する
現在、多くの WordPress ホスティング会社が最初から無料の SSL 証明書を提供していますが、それには十分な理由があります。 SSL 証明書を使用すると、SSL を使用しないサイトよりも Web サイトの安全性が高まります。 Google では、Web サイト上のデータを保護するために SSL 証明書を使用することも推奨しています (また、SSL を使用しているかどうかをユーザーに知らせることもできます)。
HTTPS は、以前の HTTP よりも安全です。 HTTPS を使用する Web サイトでは、ユーザーのブラウザとサーバーの間を移動するすべてのデータが暗号化されます。ハッカーが通信を傍受した場合、彼らは、尻蹴り競争で片足の男と同じくらい役立つ暗号化されたデータしか見つけることはできません 🙂
ほとんどの Web ホストに SSL 証明書をインストールするのは、A、B、C と同じくらい簡単です。ほとんどの Web ホストでは、プロセス全体を簡単にするワンクリック インストーラーが提供されています。 cPanel にログインし、ボタン 1 つをクリックするだけで、SSL 証明書をインストールして管理できます。より実践的なアプローチが必要な場合は、Let's Encrypt をチェックしてみてください。
7. サイト全体のバックアップを作成する
ハッカーによって王位を剥奪されたとき、私はウェブサイトを一から再構築しなければなりませんでしたが、WordPress のバックアップを確実に覚えていれば、この頭痛の種は避けられたでしょう。
しかし、いいえ、Web ホストにあったバックアップは攻撃中に破損しました。いいえ、2 番目のバックアップ ソリューションを持っていませんでした。すべての卵を 1 つのカゴに入れるという典型的なケースは、私に厳しい教訓を与えてくれました。
最近では、Web サイトのファイルとデータベースを含む Web サイトの完全なバックアップを作成しています。私は主に ManageWP を使用していますが、コンピューターと Google ドライブにバックアップを保存するために Duplicator プラグインも使用しています。
定期的に完全バックアップを作成することをお勧めします。多くの WordPress バックアップ ソリューションではプロセス全体を自動化できるため、時間を節約し、安心感を得ることができます。
8. Web アプリケーション ファイアウォール (WAF) を使用する
WordPress サイトに追加のセキュリティ層を追加し、夜の睡眠を良くするには、Web アプリケーション ファイアウォール (WAF) を有効にします。 WAF は、悪意のあるトラフィックがサイトに到達するずっと前にブロックすることで Web サイトを保護します。これは、悪者が被害を引き起こす前に、その場で彼らの死を阻止するための事前対策です。
ファイアウォールは受信トラフィックをフィルタリングし、正規のユーザーを通過させながらハッカーを排除します。多くの WordPress セキュリティ会社は、他の機能とともに Web アプリケーション ファイアウォールを提供しています。業界で人気のあるオプションには、Sucuri や Cloudflare などがあります。
9. WordPress Admin でのファイル編集を無効にする
WordPress CMS には、WordPress 管理ダッシュボード内でプラグインやテーマ ファイルを編集できる素晴らしいコード エディターが付属しています。コード エディターは自由に使える優れたツールですが、悪用するとハッカーがそれを使用して Web サイトを改ざんしたり、マルウェアを追加したりする可能性があります。
FTP または cPanel のファイル マネージャーを使用して、いつでもテーマ ファイルとプラグイン ファイルを編集できます (必要に応じて)。つまり、WordPress のコード エディターを完全に無効にすることができます。ハッカーが WordPress 管理領域にアクセスしてコード エディターにアクセスできるようにすることは望ましくありません。ハッカーは数行のコードで多大な損害を引き起こす可能性があるからです。
何をするか?無料の Sucuri Security プラグインを使用して、組み込みのコード エディターを無効にすることができます。あるいは、次のコードをwp-config.php ファイルに追加することもできます。
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
進んでいきます。
10. ログインページを保護する
通常、WordPress のログイン フォームには 2 つのフィールドがあります。ユーザー名とパスワード。ブルートフォースアタッカーやボットが日々賢くなっている中、ハッカーが WordPress 管理領域にアクセスするのをどのように阻止すればよいでしょうか?それは簡単です; CAPTCHA またはセキュリティの質問を追加すると、誰もが不正アクセスを取得することが困難になります。
また、 ログイン ページにキャプチャや秘密の質問を追加するためにコードを編集する必要はありません。 WP Security Question として知られる、設定と使用が簡単な人気の WordPress プラグインがあります。 CAPTCHA を使用したい場合は、Simple Login Captcha、WordFence、または WordPress.org で無料で利用できるその他の多くのオプションのいずれかを使用できます。
同時に、wp-login URL を固有のものに変更することができます。そうすれば、ボットやハッカーがログイン ページの URL を推測するのが困難になります。 wp-login はハッカーの間ですでに人気があるため、URL を別のものに変更するのは完全に理にかなっています。 WPS Hide Login などのプラグインを使用できます。
11. 認証の追加
さらに、2 要素認証および多要素認証の実装を検討してください。ハッカーがあなたのログイン詳細にアクセスした場合、WordPress サイトにログインできなくなります。利用可能なオプションは数多くありますが、Google Authenticator が一般的な選択肢です。
それ以外は、ログインページでのログインを制限します。訪問者が存在しないアカウントでログインしようとしたり、何度もログインを再試行したりしている場合は、ブルートフォース攻撃で侵入しようとしているハッカーまたはボットである可能性が高くなります。 Limit Login などのプラグインを使用できます。これらの侵入要素を遠ざけるために、ログインロックダウンを試みます。
12. 非アクティブなユーザーをログアウトする
マルチユーザーの WordPress Web サイトがある場合、ユーザーが Web サイトにアクセスする方法や場所を完全に制御することはできません。著者は、記事の最終仕上げを行うために無料の公衆 Wi-Fi を使用することを決定する場合があります。 Web デザイナーはデスクを離れ、1 時間の昼休みから戻るかもしれません。
このようなシナリオでは、ユーザーが知らず知らずのうちに Web サイトをセキュリティ リスクにさらす可能性があります。悪意のある人がセッションを乗っ取り、詳細を編集し、単純に大混乱を引き起こす可能性があります。権限のない当事者が自分たちのやっていることを知れば、簡単にユーザーのアカウントを乗っ取り、損害を与えることができます。
何をするか?事前に定義した期間が経過すると、非アクティブなユーザーを自動的にログアウトできます。そして一番いいところは?まさにこの目的のためのプラグインがあります。一般的なオプションの 1 つは、ログアウト前のアイドル時間、ログアウト時のカスタム ポップアップ メッセージまたはリダイレクト、およびユーザー ロールに応じたタイムアウトをカスタマイズするオプションを含む Inactive Logout プラグインです。
13. マルウェアと問題をスキャンします (定期的に)
忘れられがちですが、WordPress Web サイトを定期的にスキャンすると、セキュリティの問題を早期に特定することができます。ハッカーがあなたの Web サイトに侵入し、あらゆる種類の厄介なことを行うのにわずか 1 秒しかかかりません。まさにこれが、常に物事を常に把握しておく必要がある理由です。
マルウェア感染、既知のセキュリティ脆弱性、古いスクリプト、ブルート フォース攻撃、存在しないバックアップなどをスキャンするための多くの WordPress セキュリティ プラグイン。プラグインは既知の問題に関する詳細なレポートを送信するので、問題を修正したり、専門家を雇ったりすることができます。
Sucuri SiteCheck など、サイトを瞬時にチェックできる Web サイト スキャナーが多数あります。 URL を入力するだけで、ツールが Web サイトを自動的にチェックします。その後、修正が必要な点に関するレポートが提供されます。レポートを入手したら、すべてのセキュリティ脆弱性をすぐに修正してください。
14. VPN を使用する
ハッカーの手に決して渡してはいけない機密情報を掲載する Web サイトを運営している場合、無料の公衆 Wi-Fi を使用する場合はさらに、仮想プライベート ネットワーク (VPN) の使用を検討してください。 VPN は、自宅や職場などのパブリック ネットワークで一般的な中間者攻撃からユーザーを保護します。
仮想プライベート ネットワークを使用すると、攻撃者がシステムにアクセスしてユーザーの詳細情報を盗んだとしても、ユーザーから奪ったデータに対して何も行うことができなくなります。多くの人と共有しているインターネット ネットワークがある場合は、WordPress 管理領域にアクセスする前に必ず VPN を使用してください。
その他の WordPress セキュリティ オプション
もっとやることが必要ですか?私たちはあなたの Web サイトを常に安全に保ちたいと考えています。そのため、チェックリストに追加すべき追加のセキュリティ項目を以下に示します。
- /wp-content/wp-uploads/ で PHP ファイルの実行を無効にする
- WordPress データベースのプレフィックスを変更する
- サーバー側の管理ページとログインページをパスワードで保護します
- ディレクトリのインデックス作成を無効にする
- 必要がない場合は、WP REST API と XML-RPC を無効にします。
- WordPress コアを編集/変更しないでください。代わりに、必要な機能を提供するプラグインを作成または使用してください。
- Web サイトで最新バージョンの PHP が実行されていることを確認してください
- コンピュータでウイルス対策プログラムを使用する
- Googleサーチコンソールを有効にする
- XSS と SQL インジェクションの脆弱性を軽減します (これら 2 つの脆弱性を支援するには、より技術に精通した人が必要になる場合があります)
実際、サイトを保護するために実行できる手順の数は無限です。しかし、ここで挙げた 14 項目にチェックを入れることができれば、サイトを保護するための大きな一歩となります。
WordPress ウェブサイトのセキュリティを確保することは困難ですが、不可能ではありません。適切なツールとスキルがあれば、WordPress のセキュリティをすぐに強化し、悪意のある者を遠ざけることができます。
要約すると、ウェブサイトを常に最新の状態に保ってください。さらに、信頼できないサイトからテーマやプラグインをダウンロードしないでください。また、最悪の事態が発生した場合に備えて、信頼できるバックアップ ソリューションを常に用意しておいてください。
WordPress ウェブサイト、ひいてはオンライン ビジネスを保護するために必要なヒントがすべて見つかったことを願っています。ご質問がある場合、または WordPress ウェブサイトを保護する方法についてサポートが必要な場合は、コメント欄でお知らせください。おげんきで!