ウェブサイト検索

多くの Web サイトが犯しがちな WordPress セキュリティの間違い

Web サイトがボット、ハッカー、その他の不正な要素によって攻撃されたことがある場合、Web サイトを再度正しく設定することは悪夢になる可能性があることがわかります。 WordPress の人気が高まるにつれ、見返りが大きくなる可能性があるため、ハッカーの標的になりやすくなっています。絶対確実なセキュリティなどというものはありませんが、WordPress のセキュリティに関するよくある間違いを回避し、ボットが Web サイトに侵入して大混乱を引き起こしにくくするために、私たちができることは大小さまざまあります。

この投稿では、WordPress Web サイトでよくあるセキュリティ上の間違いを確認してみましょう。また、セキュリティの脅威に対する脆弱性を最小限に抑えるために何ができるかを見つけていきます。

間違い #1: WordPress を更新しない

WordPress にはセキュリティ問題に注意を払う優れたコミュニティがあり、WordPress のチームはセキュリティの脅威を修正するために定期的に更新を行っています。ただし、WordPress インストールでこれらの更新を実行し、セキュリティ ホールを修正するのは私たちの責任です。 WordPress コアのメジャーアップデートは自動的に行われますが、マイナーアップデートやテーマやプラグインのアップデートの場合は、ダッシュボードに表示される通知に注意する必要があります。

WordPress の更新は、多くの場合、クリックするだけでスムーズなプロセスですが、場合によっては、Web サイトが壊れるような非互換性の問題が発生する可能性があります。 WordPress の更新については、この WordPress 更新クイックガイドで詳しく説明します。

間違い #2: 高品質のテーマとプラグインを購入しない

コーディングが不十分なテーマとプラグインは、Web サイトのセキュリティ上の問題となります。これらはウェブサイトの速度を低下させるだけでなく、使用している WordPress のバージョンと互換性がなかったり、相互に互換性がなかったりする可能性があります。さらに、それらは悪意のあるソフトウェアのエントリ ポイントとして機能する可能性があります。

ここで採用すべき明らかな予防策は、テーマとプラグインを高品質のソースからのみ購入することです。 WordPress には無料で利用できる優れたテーマやプラグインがたくさんあります。プレミアムテーマまたはプラグインを選択する場合は、Themeforest または CodeCanyon、および WPExplorer などの他の評判の高いテーマハウスを調べてください。

評価の高いものを選択すると、より多くのダウンロードをお楽しみいただけます。テーマやプラグインのレビューを読み、他の長期にわたる本物のユーザーがそれらについて何を言っているかを確認してください。変更ログを調べて、定期的な更新があるかどうかを確認します。購入する前に、そのテーマまたはプラグインが自分に適しているかどうかを理解するために作者に手紙を書いてください。そして、実際的な懸念を解消するには、可能であればテスト サイトで実行できます。

間違い #3: テーマとプラグインを更新しない

WordPress と同様に、テーマやプラグインにもバグ修正やセキュリティ パッチを定期的に更新する必要があります。これらの更新をテストしてインストールし、WordPress ウェブサイトを安全に保つのはあなたの仕事です。

注: テーマが古くなってしまう最も一般的な理由の 1 つは、カスタム コードです。このため、子テーマを使用することが重要です。テーマ ファイルに変更を加える予定がある場合は、将来コア テーマを安全に更新できるように、必ず子テーマを使用してください。

間違い #4: ログイン ページのセキュリティの欠如

ログイン ページは、承認されたユーザーが Web サイトに入る場所です。しかし、望ましくない不正ユーザーの多くは、ログイン ページから当社の Web サイトに巧妙に侵入し、管理者レベルの権限を取得することさえできます。これを防ぐには、ログインページのセキュリティを強化する必要があります。実際、これを行うのは難しいことではありません。すぐそばでいたずらを阻止するために実行できる簡単な調整がたくさんあります。

ユーザー名を一般的に使用される「Admin」から変更し、強力なパスワードを強制することができます。または、ログイン試行回数を制限します。これは、ブルート フォース攻撃を阻止するのに特に効果的です。導入しやすいもう 1 つの保護方法は、2 要素認証です。また、Google が SSL の使用を推進しているため、一歩先を行き、早めに Web サイトに SSL を適用したいと考えるかもしれません。つまり、ログイン ページは、Web サイトのセキュリティの向上を開始するのに適した場所です。

間違い #5: ユーザー役割の不適切な使用

WordPress には、管理者、編集者、作成者、寄稿者、購読者など、多くのユーザーの役割があります。 Web サイト上ですべてのユーザーが同じ権限を持つ必要はありません。サイトにユーザーを追加するときは、バックエンドでユーザーに付与する権限に注意してください。 Web サイトでの役割を果たすために必要な権限のみを許可します。

すべてのユーザーに無制限のアクセスを許可すると、ハッカーによる侵入が容易になる可能性があります。

購読者がコンテンツを読むだけであれば、バックエンドへのアクセスを許可する必要はありません。編集者レベルのアクセス権は、信頼できるユーザーにのみ付与する必要があり、管理者レベルのアクセス権は、付与するとしても非常に控えめに付与することができます。ユーザーに制限付きの権限を許可し、強力なパスワードの使用を強制すると、バックエンドへのアクセスを大幅に制御できます。

間違い #6: 使用していないテーマとプラグインを削除していない

時間の経過とともに、必要に応じてプラグインやテーマを WordPress に追加し続けます。しかし、それらが使用できなくなったら、サイトから削除することを忘れてしまいます。テーマやプラグインを単に非アクティブ化するだけでは十分ではなく、使用する予定のないものは削除する必要があります。この簡単な手順により、マルウェアにさらされる可能性を減らすことができます。非アクティブなプラグインは RAM、帯域幅、または PHP を消費しませんが、サーバーのスペースを占有します。これはサイトの速度を低下させるだけでなく、Web サイト上で悪意のあるコードを実行するために使用される可能性もあります。

Web サイトにプラグインを追加する前に、WordPress が特定の機能をネイティブに処理できるかどうかを確認してください。または、使用しているテーマまたはホストが必要な機能をカバーしている可能性があります。したがって、これらとまったく同じ機能を使用するプラグインが Web サイトにある場合は、それらを削除した方がよいでしょう。

使用されていないプラグインを削除しているので、メディア ライブラリ、アップロード フォルダー、およびインクルード フォルダーを徹底的に削除することもできます。これらは、後で自分自身を実行するためにのみサイトに侵入するマルウェアの代替エントリ ポイントです。これらのフォルダーをスリム化すると、マルウェアやハッカーのアクセス ポイントが削減されます。

間違い #7: 安全なホストを選択していない

多くの場合、ハッカーはあなたのサイトをターゲットにしているのではなく、あなたとサーバースペースを共有している他の Web サイトをターゲットにしている可能性があります。あなたは単なる偶然の被害者です。共有ホスティングのシナリオでは、1 つの Web サイトが侵害されると、サーバー上のすべての Web サイトがダウンする可能性があります。したがって、ウェブホストを慎重に選択することが重要です。ブログページで繰り返し述べてきたように、ホスティングに関しては、支払った対価だけが得られます。安価なホスティング オプションはほとんどの場合セキュリティが侵害され、サーバーはセキュリティ攻撃を受けやすくなります。それだけでなく、Web サイトが攻撃を受けている場合、サポートが満足のいくものではないことがよくあります。

質の高いホスティングのために多額のお金を投じるのは、本当に投資する価値があります。特にビジネスがウェブサイトに大きくリンクされている場合は、将来的に頭を悩ませることがなくなります。ホストの選択についてサポートが必要ですか?推奨されるホスティング オプションのリストに進んでください。

間違い #8: マルウェアをチェックしない

マルウェアは、ユーザーが気付かないうちに Web サイトに侵入する可能性があります。隠れたままになり、訪問者の追跡、クレジット カードの詳細などの機密情報へのアクセス、他の Web サイトへのバックリンクの追加など、ユーザーの知らないうちに多くのことを行う可能性があります。 Web サイトにマルウェアが潜んでいると、Google は他の Web サイトへの感染を防ぐために検索エンジンを拒否し始めます。これにより、Web サイトへのトラフィックが減少する可能性があります。

Web サイトでマルウェアをスキャンし、その多くを削除できるプラグインやサービスが多数あります。 Sucuri SiteCheck Scanner などのサービスの Web サイトにアクセスし、Web サイトの URL を入力するだけです。検出されたマルウェアとその対処方法に関する推奨事項を表示するレポートが生成されます。または、プラグインを追加してスキャンを実行することを選択できます。必要に応じて、使用後にプラグインを削除し、再度スキャンを実行するときに再インストールすることができます。

間違い #9: セキュリティ プラグインをインストールしていない

Web サイトのセキュリティを強化する最も簡単な方法の 1 つは、セキュリティ プラグインを追加することです。これらのプラグインは、強力なパスワードの強制、ファイアウォールの設定、ブルート フォース攻撃からの保護など、多くのセキュリティ問題を処理できます。 iThemes Security などの無料のプラグインや、プレミアム セキュリティ プラグインも多数用意されているため、早めにインストールして有効化することをお勧めします。 Sucuri のような、WordPress Web サイトのセキュリティ管理を提供する Web サイト セキュリティ サービスも数多くあります。

間違い #10: Web サイトのバックアップを保存していない

上記のすべてを完了したので、あなたの Web サイトは悪者から安全になったと思うかもしれません。残念ですが、ハッカーは手法を改良しており、新しい脅威が継続的に出現しています。したがって、セーフティ ネットとして、バックアップ用のプラグインを使用し、定期的にサイトの安全なバックアップを作成し、安全な場所に保管することができます。

データベースだけをバックアップするだけでは十分ではなく、Web サイトの完全なバックアップが必要です。これには、テーマ、プラグイン、wp-content フォルダーに加え、wp-config.php、.htaccess ファイルなどの重要な WordPress 設定ファイルが含まれます。 BackupBuddy や VaultPress などの高品質のプラグインを使用し、定期的に更新してください。また、さまざまなオフサイトやオフラインの場所に頼れる複数のバックアップ コピーを維持します。

要するに

Web サイトのセキュリティは、必ずしも高い壁やフェンスを必要とするわけではありませんし、一度だけで解決できるわけでもありません。それよりも、いたずら者より先を行くことが重要です。 Web サイトを安全に保つために採用できる、小さくて簡単な手順がたくさんあります。防御策を見直して、Web サイトのニーズと一致していることを確認し、Web サイトを安全に保つセキュリティ慣行を進化させることが重要です。