WordPress の 5 つのデフォルトのセキュリティ脅威 (および修正)
WordPress は非常に人気のある、完全にオープンソースのソフトウェアです。セキュリティの点で優れているのは、これに協力する巨大なコミュニティがあり、社内の CMS ソリューションよりも早くバグやセキュリティ リスクを発見できることです。 (弱点を見つける方法の 1 つは、実際に弱点を悪用されることですが、弱点を見つけるのは困難です。巨大なユーザー ベースがあるため、発見の可能性は非常に高くなります。)
欠点は、悪意のあるハッカーが Web サイトがどのように構築されているかを正確に知っていることです。彼らはすでにあなたのサイトの「青写真」を持っています。また、使用しているコア、テーマ、プラグインに弱点がある場合、サイトのバックエンドにアクセスしなくても、それを知ることができます。
そこでこの投稿では、WordPress の完全にデフォルトのインストールに存在する 5 つのセキュリティ脅威を修正する方法を説明します。 (すでに予防策を講じている場合は、1 つまたは 2 つをすでに修正していることに気づくかもしれませんが、ハッキングのリスクを最小限に抑えるために 5 つすべてを修正することが重要です。)
サイトには WordPress を使用していることとバージョンが表示されます
WordPress のデフォルト バージョンには、バージョンに至るまで、サイトが WordPress を使用して構築されていることがわかるコード行が含まれています。テーマによっては、Web サイトのすべてのページに視覚的に表示される場合もあります。
これがセキュリティ リスクになる可能性がある理由は、サイトが WordPress で構築されているという理由以外の理由で人々がサイトを標的にする可能性があるためです。誰かが WordPress コア、テーマ、またはプラグインにセキュリティの弱点を見つけた場合、それを悪用するためにあなたのサイトに侵入する可能性があります。一方、サイトが WordPress で構築されていることをうまく隠すことができた場合、ボットやクローラーを使用して WordPress サイトを検索する人は、あなたのサイトが実行可能なターゲットではないと思い込まされてしまうでしょう。
修正方法:
これを修正するには、Hide My WP プラグインを使用します。この便利な小さなプラグインを使用すると、サーバー上の不要なトラフィックを回避できると同時に、特に WordPress サイトを標的とした攻撃から安全に保つことができます。
ログイン ページ/管理エリアの場所は誰もが知っています
あなたがまだ WordPress を使用していることを示している (つまり、Hide My WP などのプラグインを使用して積極的に隠していない) 場合、悪意のある人々はサイトのどこでブルート フォース攻撃を試みるかをすでに知っています。
修正方法:
この脅威を修正し、ハッキングされる可能性を大幅に減らし、サーバーのストレスを軽減するには、悪意のある人物やボットがログイン ページにアクセスするのを阻止する必要があります。
これを行うには主に 2 つの方法があります。プラグイン (または数行のコード) を使用してログイン ページの物理的な場所を別の場所に変更したり、IP アドレスによってログイン ページと管理領域へのアクセスを制限したりできます。これは、この特定の機能専用のプラグインを使用するか、Sucuri、Wordfence、iThemes Security Pro、All In One WP Security & Firewall などのセキュリティ プラグインを使用して行うことができます。
WordPress には誰もが使用するデフォルトのテーブルプレフィックスがあります
テーブル接頭辞は、データベース内のテーブル名の前に来るものです。ユーザーの代わりに、標準の WordPress プレフィックスを使用すると、wp_users になります。デフォルトのテーブルプレフィックスを使用すると、SQL インジェクションの潜在的な弱点を悪用して、ユーザーがサイトに簡単にアクセスできるようになります。なぜなら、彼らはサイトにアクセスするためにデータベースのどこに情報を注入すればよいかを正確に知っているからです。
実際、私も SQL インジェクションが原因で Web サイトの 1 つがハッキングされたことがありました。そのため、これは対策を講じる必要がある非常に現実的な脅威です。
修正方法:
ありがたいことに、この脅威を取り除くのは非常に簡単です。デフォルトの wp_ 接頭辞を使用して WordPress をすでにインストールしている場合は、Sucuri などのプラグインを使用して簡単に変更できます。まず、問題が発生する可能性がわずかにあるため、このオプションを使用する前にデータベースをバックアップする必要があります。ボタンをクリックするだけでこれを行うことができます。次に、新しいプレフィックスを選択することも、単に Sucuri に新しいプレフィックスをランダムに生成させることもできます。
注: WordPress を初めてインストールする場合は、インストール インターフェースで変更できます。
WordPress テーマとプラグイン ファイルはダッシュボードから編集可能
これの問題は、ハッカーが Web サイトにアクセスすると、多大な損害を与える可能性があることです。あなたの Web サイトに他の人にマルウェアを感染させたり (サイトが Google のブラックリストに登録され、検索エンジンからインデックスが削除される可能性があります)、Web サイトを改ざんしたり、バックドアを簡単に開いたりする可能性があります。
修正方法:
このコード行を wp-config.php ファイルに追加することもできます。
define( 'DISALLOW_FILE_EDIT', true );
または、セキュリティ プラグインを使用してこれを実行します (基本的に、そのコード行のみが挿入されます)。唯一の問題は、この機能をオンまたはオフにできるプラグインがあるため、非常に熱心なハッカーがプラグインをインストールしてオンにし、FTP アクセスなしでコード編集にアクセスできる可能性があることです。
これを徹底的に防ぎたい場合は、次のコード行を wp-config.php に追加して、すべてのプラグインとテーマの更新/インストールを無効にすることができます。
define( 'DISALLOW_FILE_MODS', true );
ただし、これは明らかに、プラグインやテーマを更新またはインストールするたびに値を false に変更する必要があることを意味します(テーマやプラグインを最新の状態に保つことが最良の方法の 1 つであるため、このオプションはあまりお勧めしません)サイトの脆弱性を確実に軽減するため)。
WordPress には非常にオープンなファイアウォール設定があり、既知の悪意のあるボットでも攻撃を試みることができます
WordPress のデフォルトのファイアウォール設定は、実際にはリベラルな側にあります。これは、一部の迷惑なボットやその他の望ましくない訪問者にゴーサインが表示されることを意味します。
修正方法:
これを改善するには、基本的な 5G ブラックリスト ファイアウォール ルールをインストールするか、手動で .htaccess ファイルにコピーするか (ここで見つけることができます)、このプラグインをインストールするか、セキュリティ プラグインを使用して最適化します。 .htaccess 内のルール。
無制限の WordPress ログイン試行
確かにデフォルト設定ではログイン試行回数は無制限ですが、サイトに WordPress をインストールしたときにログイン試行回数を制限することを選択した可能性があります。ただし、そうでない場合でも、非常に簡単に修正できます。
修正方法:
ログイン試行を制限するプラグインをインストールするだけです。または、WPEngine ホスティングを使用している場合、これはすでに組み込まれている機能であり、プラグインは必要ありません。自分の IP アドレスのみに dasbhboard へのアクセスを許可することでログイン領域を既に保護している場合は、これを行う必要はありません。しかし、ログイン ページのアドレスを隠しただけであれば、潜在的なブルート フォース攻撃から二重に保護することができます。
結論
サイバー犯罪は急速に増加しており、インターネットは「現実世界」よりも多くの犯罪者の巣窟になりつつあります。一部の国では、すでにこのようなことが起こっています。その多くはクレジット カードや銀行詐欺によるものですが、ハッカーの数は増えており、Web サイト所有者として私たちは自分自身と自分のサイトをできる限り守る必要があります。
WordPress のデフォルトのインストールにはいくつかの弱点がありますが、WordPress の利点は、この投稿で述べたセキュリティ上の脅威を含め、サイトに関するほとんどすべての問題を簡単に解決できることにあります。一意のユーザー名と強力なパスワードを設定するだけでなく、セキュリティ プラグインをインストールし、設定を編集し、場合によっては 1 ~ 2 行のコードを挿入するだけで、サイトがハッキングされたりマルウェアに感染したりするリスクをすでに大幅に軽減できます。
WordPress サイトのセキュリティを向上させるために何か対策を講じましたか?何の種類ですか?ぜひヒントやコツをお聞かせください。コメントでお知らせください。