WordPress ブログを保護する方法、簡単な役立つヒント
悪者が乗っ取って、お気に入りの WordPress Web サイトにログインできなくなるまでは、いつも楽しいゲームばかりです。誰かがハッキングされ、WordPress 管理ダッシュボードへのアクセスを失い、地獄が解き放たれるまで、すべての楽しみとゲーム。
最初に影響を受けるのはあなたの気分です。自分が王位を奪われたとわかると、彼らはすぐに冷めます。控えめに言っても傷つき、イライラするのは、誰かがあなたの生活を妨害し、あなたのビジネスに干渉し、あなたの顔に唾を吐きかけるからです。
そして、あなたはすぐに行動を起こし、WordPress サイト、つまりあなたのビジネスを以前の栄光に戻そうと必死で走り回ります。信じてください、あなたはハッキングされたくありません、誰もハッキングしません。しかし、それでも、それは日常的に誰にでも起こります。
ただし、私たちは常にお客様の利益を第一に考えており、WordPress のセキュリティを強化し、招かれざるゲストを招く可能性を減らすために使用できる対策をいくつかまとめました。
これらの WordPress セキュリティのベスト プラクティスにより、最も安全な WordPress サイトを構築していただきたいと考えています。ポイントを詳しく説明するために最善を尽くしますが、何かサポートが必要な場合は、質問したり、コメントで意見を共有したりしてください。
それでは、WordPress サイトを強化しましょう。
高品質の WordPress ホスティングを始めましょう
確かに、月額料金を請求するウェブホストに最高のセキュリティを期待することはできません。私たちは皆、「1 ペニーですべてが揃う」というホスティング プランを見たことがあるでしょう。いかがわしいホスティング会社によるいかがわしいプランは、月額わずか 2 ~ 4 ドルで天国を約束します。ああ、とても魅力的ではありませんか?
これらは主に、あなたの Web サイト、つまりあなたのビジネスを 100 万以上の他のサイトと同じサーバー上に置く共有ホスティング パッケージです。良いサイトも悪いサイトも含め、あらゆる種類のサイト。これらは通常、月額約 30 ドルかかるマネージド WordPress ホスティングに比べて安全性が低くなります。
いずれかの Web サイトが侵害された場合、あなたも侵害されるリスクが高くなります。実際、たとえあなたが隣の男と同じくらい警戒していても、危険にさらされることになるでしょう。 Web ホスト関連の攻撃を軽減する唯一の方法は、最初から信頼できるホストと安全なホスティング プランを使用することです。
注意すべき要素はわずかであることを考えると、ビジネスに最適な WordPress ホスティングを選択するのは難しいことではありません。これらには、コスト、サポートの品質、バックアップとデータ管理に関するポリシー、サーバーとサーバー上のソフトウェアのアップデート、その他すべてが含まれます。
上の段落にリンクされている記事を確認し、セキュリティ機能などに基づいて適切な WordPress ホストを選択するようにしてください。調査をスキップして、安全なサーバーで WordPress ブログを直接ホスティングしたい場合は、私たちは WPEngine を使用し、愛用しており、推奨しています。彼らは、驚くべきセキュリティオプションを満載した一流の WordPress ホスティングを提供します。どれもお買い得です。 Media Temple と Siteground も、WordPress ホスティングの優れた選択肢の 1 つです。
Bluehost 共有ホスティングは、初心者が試してみるのにも最適な選択肢ですが、WordPress サイトに安全なホスティングが必要な場合は、共有ホスティング パッケージから他のパッケージのいずれかにアップグレードする必要があります。
なぜあなたのホストはそれほど重要なのでしょうか?私は彼らの共有パッケージで 3 回 (はい、3 回) ハッキングされました。まあ、それは部分的には私の責任で、被害サイトを無視していたので、ハッカーに好き勝手に遊べる機会を与えていました。その後、特定のサーバー上の他のウェブサイトに対する潜在的なリスクがあるため、これらのサイトを削除しました(サイトを無視すると、インターネットのクズ、別名ハッカーとの厄介な衝突につながる可能性があることを 1 ~ 2 つ言及するので、そのままにしておいてください。このままにしておきます)焦点を絞ってください。注意しないとサイトで料金を支払うことになります)。
高品質の WordPress ホスティングの選択に戻りますが、どうすればよいでしょうか?選択した Web ホストに電話をかけるだけで十分です。最新のサーバーを実行しているかどうかを確認する必要があります。サーバーのバージョン、サーバーのセキュリティ、サーバー上で実行されているソフトウェアについて尋ねます。
次に、簡単な Google 検索を実行して、サーバー ソフトウェアのリリース日をチェック (または確認) します。これにより、最新のソフトウェアが実行されているかどうかの手がかりが得られます。また、サーバーを更新する頻度を判断するのにも役立ちます。長期間にわたって更新がない場合は、オンライン ビジネスでそれらを信頼すべきではありません。
用心して、他の関連する質問をし、自分のウェブホストがお金で買える最も安全なウェブホストであると納得するまで決して立ち止まらないでください。
太陽が輝いているうちに干し草を作り、準備をしましょう
WordPress ブログやオンライン ストアへの悪者の侵入を阻止することはできないかもしれませんが、備えをしておくことで攻撃の影響を軽減できます。ここではデータのバックアップについて話しています。定期的なバックアップにより、重要なデータの損失を防ぎます。
バックアップがあると安心感が得られるので、夜もぐっすり眠れます。バックアップは、事態が悪化したときにすぐに解決できる手段です。素晴らしいレシピ サイトがすべてのページでバイアグラの販売を開始すると、そのような攻撃から回復するにはバックアップのみを頼りにすることができます。
WordPress インストール全体をバックアップすることを目指す必要があります。コアファイル、データベース、その他すべて。専門家はさらに、バックアップを暗号化し、そのコピーを読み取り専用メディアに保存することを推奨しています。
毎日のバックアップを簡単にスケジュールしたり、MySQL Workbench、WordPress Database Backup (WP-DB-Backup)、BackWPup などのツールを利用したりできます。さらに詳しく学ぶこともできます:
- BackWPup を使用して WordPress をクラウドにバックアップする – 包括的なガイド
- データベースのバックアップ
- バックアップからデータベースを復元する
WordPress プラグイン
つい先日、WPScan の Ryan Dewhurst 氏が、Yoast による WordPress SEO のブラインド SQL インジェクションの脆弱性を発見 (そして報告) しました。現在、Yoast の WordPress SEO は人気の SEO プラグインであり、アクティブ インストール数は 100 万を超えています。これは、ハッカーがこのセキュリティ ホールを悪用した場合、100 万以上の WordPress サイトを自由に操れることになることを意味します。 100 万を超える Web サイト!
いや、心配しないでください。 Yoast は脆弱性が発見されたのと同じ日にセキュリティ修正をリリースしました。ただし、問題が 1 つだけあります。 WordPress とは異なり、プラグインは自動更新されないため、WordPress SEO の最新バージョンに更新していない場合は依然として脆弱です。
このことについて何も知らなかったと主張するのもいいかもしれませんが、情報はパブリックドメインにあり、誰でも簡単に入手できるため、ハッカーはすべての詳細を知っています。何を待ってるの?すでに更新ボタンを押してください。他のプラグインもすべて更新してください。
この WordPress プラグイン ビジネスでは、信頼できるソースからのみ WordPress プラグインを購入またはダウンロードする必要があります。安全を期すために、広範な WordPress プラグイン リポジトリ、または CodeCanyon などの信頼できるベンダーからプラグインを入手してください。
悪意のあるコードが埋め込まれたプラグインを提供しようとして、正規のプラグイン開発者を装うハッカーが存在します。安っぽいトリックに騙されず、信頼できる Web サイトからプラグインを入手してください。さらに、非アクティブなプラグインを放置しないでください。未使用のプラグインはハッカーのお気に入りの侵入ポイントとなるため、すべて削除してください。はい、非アクティブ化されている場合でも、有効です。
ちなみに、WPEngine や Siteground などを使用している場合を除き、プラグインの脆弱性が懸念される場合は、Web ホストが安全を保ってくれると期待しないでください。責任を持ってしっかりと対処してください。
WordPress テーマ
ハッカーが古いプラグイン、侵害されたプラグイン、またはコーディングが不十分なプラグインを介して侵入しなければ、テーマの抜け穴を見つけるでしょう。実際、ほとんどの攻撃はテーマとプラグインを介して発生するため、ここでは特に注意する必要があります。
まず、WordPress プラグインと同じように、どこからでもテーマを見つけて走り回る余裕はありません。ウイルスやマルウェア、あるいはそれ以上のウイルスに感染し、ファンに何かが当たると大泣きすることになるでしょう。
予算が非常に限られている場合、または始めたばかりの場合は、WordPress.org でプロがコーディングした無料の WordPress テーマや数千の無料テーマをチェックしてください。現在、私は独自の安定版から提供される無料のエレガントなテーマを使用していますが、それは驚くほどうまく機能しています。見る?ここでは水を説教したり、ワインを飲んだりすることはありません 🙂
プレミアム テーマでは、Elegant Themes や Themeforest などの最高のテーマ マーケットプレイスでは、素晴らしいテーマであれば 60 ドル程度の価格で購入できます。優れた製品、最上位のサポート、セキュリティ更新プログラムなどを入手できます。正しい方向に進む必要がある場合は、美しくて安全であることに他ならない、親切な Total WordPress テーマをぜひお勧めします。
訴訟を起こさないように、テーマを常に最新の状態に保つように努めてください。ただし、明らかな理由がある場合は、未使用のテーマをすべて削除してください。
お金に余裕がある場合、または WordPress 開発者自身である場合は、独自のカスタム テーマの作成を検討してください。これは、安全な WordPress テーマを入手するための、高価ではありますが確実な唯一の手段です。
もちろん、あなた (または開発者) は最高の Web コーディング標準に従い、必要に応じてテーマを更新する必要があります。 Web 開発者にテーマの構築を依頼する場合は、まずその開発者が評判が良いかどうかを確認してください。 Theme Check などのプラグインを使用して、テーマが最新の WordPress テーマ標準を満たしているかどうかを確認することもできます。次に進みます…
WordPressを更新する
オンライン ビジネスを常に最新バージョンの WordPress で運営する必要があります。これは当然のことです。誰もがダッシュボードで通知を受け取ることを考えると、誰もが WordPress を定期的に更新するのは明らかだと考える必要があります。
ただし、常にそうとは限りません。アップデートがリリースされてから数週間、場合によっては数か月経っても最新バージョンにアップデートしないオンライン起業家もよく見かけます。
WordPress.org でいつでも WordPress の公式最新フレーバーを入手できます。何かを掴む可能性があるため、他の Web サイトから WordPress をダウンロードまたはインストールしないようにさらに注意してください。バックドアエクスプロイトのハッキングや、ゴミやその他のハッキングをサーバーにアップロードする JavaScript コードなど、非常に悪質なもの。 WordPress.org 以外のサイトから WordPress をダウンロードしないでください。
WordPress インストールの更新は、ポイントとクリックだけで簡単に行うことができます。ただし、プロセス中に問題が発生した場合に備えて、更新の前にサイトをバックアップすることをお勧めします。さらに、アップグレードプロセスはすべての WordPress ファイルとフォルダーに影響を与えるため、コアファイルに加えた変更はすべて失われます。
自動更新機能は、マイナーなセキュリティ修正を処理し、開発者とエンドユーザーの両方にとって更新プロセス全体を容易にするために、WordPress 3.7 で導入されました。これで、メジャー バージョンのアップデートに気を配るだけで済みますので、作業は簡単になるはずです。自動更新をオンにするだけです。
更新、更新、更新、または後悔、後悔、後悔する準備をしてください。
コンピューターをクリーンアップする
10年ほど前、高校卒業後、ネットカフェで短期間働いていました。非常に多くの人に会い、デジタル マーケティングの世界に足を踏み入れることができたので、とても興味深いものでした。
しかし、ワーム、トロイの木馬、ウイルス、マルウェアなどのせいで、必ずしも楽しいものではありませんでした。コンピューターをフォーマットするためだけにカフェをその日は閉めなければならないこともあったのを覚えています。すべてのコンピュータにウイルス対策プログラムをインストールして実行していても問題ありませんでした。しかし、私はそれました。
ハッカーがあなたのマシン上にトロイの木馬としてキー ロガーを入手できた場合 (つまり、ハッカーが PC 上のすべてのキー ストロークを登録しているという事実を隠すために、キー ロガーが別のプログラムに隠されているという意味です)、どうやっても Web サイトを保護することはできません。何。
ログイン情報を悪者に提供しているだけなので、あなたのサイトは何度もハッキングされるでしょう。そして、彼らはあなたのキーストロークをすべて見ることができるため、あなたのオンラインアカウントすべてにアクセスできるようになります。電子メール、Facebook、Twitter、YouTube などについて言えば、
キーロガーの協力者、インターネットの暗い面にはさらに悪いことがあります。例えば:
実際には、ローカル コンピュータに感染し、開いている FTP 接続を探し、その接続を使用して Web ホストにハッキング ファイルを自動的にアップロードするウイルスが世に出ています。 – Brad Williams、WordPress のロックダウン
サイバー カフェのコンピューターは、WordPress 管理ダッシュボードにアクセスするのに最適な方法ではありません。おそらくこれは避けられませんが、使用するすべてのコンピュータにマルウェア、ウイルス、スパイウェアが存在しないことを必ず確認してください。そうしないと、ログイン情報などを銀の大皿に乗せてハッカーに渡すことになります。
コンピュータ上のオペレーティング システムとプログラムが最新であることを確認してください。次に、ファイアウォールをオンにして、最適なウイルス対策プログラムを入手します。いつもコンピューターをフォーマットするのにうんざりしたので、最適なウイルス対策プログラムを探す旅に出ました。そして私はそれを見つけました。それ以来、Esetを愛用しています。
さらに、信頼できないサイトには近づかないようにしてください。ただし、好奇心が理由で必要な場合は、ブラウザ内のすべてのスクリプト (Java、JavaScript、Flash など) を無効にしてください。または、 血なまぐさいエフィンサイトにはアクセスしないでください。
より強力なパスワードを作成する
お話の時間です。今回はコーヒーを一杯飲みすぎたので、#YouCan'tHackThis と「創造的に」名付けた WordPress サイトを作成しました。 「クリエイティブ」を引用符で囲んでいるのは、私がコーヒーハイの波に乗っていたからです。おそらく私はコーヒーを飲む前に 1 ~ 2 杯飲んでいました。ただ思い出せないんです。私は趣味のために多くの WordPress ウェブサイトを作成しています。
私のユーザー名は…待ってください…Unhackulture (コーヒーのせいにしておきます)、パスワードは、うーん、覚えていません。しかし、パスワードはボロボロでした。だからこそ、失礼なインターネット人 (または野郎) がログイン ページに「総当り」でアクセスしたとき、パスワードが定着することはありませんでした。
簡単に言うと、私の防御力が崩壊し、#YouCan'tHackThis はジェリコの壁のように崩れ落ちました。 Google はサンプル URL を含む恐ろしい「ハッキングの疑い」メールを私に送ってきましたが、さらに調査したところ、大量のゴミが見つかりました。
ハッカーは大胆にも、私をからかうかのようにデスクトップのスクリーンショットを私の大好きな #YouCan’tHackThis に投稿しました。スクリーンショットの上に何ページも何ページにもわたって、方向性のないフィラーコンテンツがあったからです。
私はサイト全体を削除し、他の Web サイトのセキュリティを強化しました。 iThemes Security をインストールしましたが、現在受信しているのは「サイト ロックアウト通知」メールだけです。誰かが私のサイトに強引に侵入しようとすると、1 世紀にわたってロックアウトされます。そう、ビンハッカーの時代は100年だ。ははは、夢中になってしまいました。
パスワードが弱いとハッキングされてしまいます。同様に、あなたが大切にしてきた管理者ユーザー名は、ハッカーにとって簡単なものになります。 WordPress をインストールするときにパーソナライズされたユーザー名を作成し、パスワードを作成するときに強度インジケーターを使用します。これで十分ですが、さらに一歩踏み込みたい場合は、1Password ツールと KeePass ツールをチェックしてください。
セキュリティの脆弱性を報告する
セキュリティの脆弱性を発見したらすぐに報告するのは、WordPress ユーザーとしての責任です。
まず、それは良いカルマです。第二に、回ってきたものは回ってくる。 3 番目に、使用しているプラグインまたはテーマに脆弱性がある場合は、セキュリティ更新プログラムが提供され、非常に感謝されます。その結果、サイトが侵害されることはなく、世界をより良い場所にしながら、良い担当者を築くことができます。
遭遇したすべてのセキュリティ ホールを指摘するのは、WordPresser としての私たちの共同責任です。結局のところ、それは私たち自身の利益のためです。
ファイル/フォルダーのアクセス許可を強化する
私たちは今、WordPress のセキュリティの真髄に迫っています。まったくの初心者なので、慌てるのは嫌です。シェイクして、お好みに合わせて冷やしてお召し上がりください。さぁ行こう。
サーバーにアクセスできるトム、ディック、ハリー全員がファイルやフォルダーを編集 (書き込み) できる場合、その後に起こる損害を防ぐためにできることはほとんどありません。
しかし、特定のファイルやフォルダーをあなただけが書き込みできるようにしたらどうなるでしょうか?まあ、ハッカーたちは何をすればいいのか分からないでしょう。侵入する可能性は十分にありますが、ファイルが編集可能または書き込み可能でない場合に生じる損害は最小限に抑えられます。ファイルのアクセス許可をロックダウンすることは、セキュリティ対策の 1 つであり、共有ホスティング プランを利用している場合はさらに重要です。
しかし、このファイル/フォルダーのアクセス許可の処理はどのように行うのでしょうか?従うべきスキームは次のとおりです。
- ルート フォルダー内のすべてのファイルは自分だけが書き込み可能である必要があります
- /wp-admin/ – すべてのファイルはあなただけが書き込み可能である必要があります
- /wp-includes/ – すべてのファイルはあなただけが書き込み可能である必要があります
- /wp-content/主題 – すべてのファイルはあなたと Web サーバーによって書き込み可能である必要があります
- /wp-content/plugins – すべてのファイルは書き込み可能である必要があります
ファイル/フォルダーのアクセス許可はどのように設定しますか?
上記のスキームを満たすには、フォルダーのアクセス許可を 755、ファイルのアクセス許可を 644 に設定する必要があります。どうやって?それが最も簡単な部分です。 FTP クライアント (Filezilla など) を使用するか、cPanel 経由でファイル マネージャーに直接ログインできます。
FTPの使用
FTP 経由で Web サーバーにログインした後、権限を設定したいディレクトリ/ファイルを見つけて右クリックし、「ファイル権限」を選択します。表示されるポップアップ画面で、適切と思われる権限を選択します。ポップアップは次のようになります。
そして、これは 000 から 777 までのファイル権限の完全なリストです。
ファイルマネージャーの使用
cPanel にログインし、ファイル マネージャーに移動します。それが読み込まれたら、ディレクトリまたはファイルを選択し、上部のメニューで「アクセス許可の変更」をクリックします。または、フォルダーまたはファイルを選択して右クリックし、表示されるドロップダウン メニューから [アクセス許可の変更] を選択することもできます。
以下にいくつかのガイダンスを示します。
右クリックオプション…
「権限の変更」ポップアップ:
もっと詳しく知りたいですか?ファイル権限の詳細については、こちらをご覧ください。早速進めていきます…
2段階認証
オンライン資産を保護する最善の方法は、悪者がログインするのを非常に困難にすることです。彼らを寄せ付けないことができれば、戦いの半分は勝ったことになります。ここで 2 段階 (または 2 要素) 認証が登場します。
強力なパスワードと 2 要素認証を組み合わせると、Web サイトに保護層が追加されます。 WordPress サイトのセキュリティが 2 倍向上します。
また、Google Authenticator、WordFence、Authy、Duo などのプラグインがあるため、2 段階認証の実装は、現時点で導入できる最も簡単な WordPress セキュリティ対策となるはずです。
SSLを使用する
SSL は Secure Sockets Layer の頭字語で、Web サイトのサーバーとユーザーのブラウザの間に安全な暗号化されたリンクを確立する標準的な方法です。
場合によっては、ハッカーは Web サイトの防御を突破しようとする代わりに、ブラウザから Web サーバーに送信されるデータのパケットをハイジャックすることを決定する場合があります。これらのパケットを開くと、ログイン情報などに簡単にアクセスできます。
何をするか? Web サイトとサーバー間でやり取りされるすべてのデータのプライバシーと整合性を保護する SSL 暗号化を利用する必要があります。これがまさに、すべての主要サイトがドメイン内で HTTP ではなく HTTPS を使用している理由です。
実装は簡単で、多くの時間とフラストレーションを節約できます。ドメイン レジストラーまたは Web ホストに問い合わせてください。喜んで SSL をインストールしてくれるでしょう。 SSL 証明書も通常は安価なので、1 ~ 2 ドル節約できます。
未使用のユーザーアカウントを無効にする
WordPress サイトのユーザー アカウントをバスの座席と考えてください。席が空いていれば誰かが乗ります。その席が他の場所で占有されているか、存在しない場合、誰もその特定の席に座ることはありません。
WordPress Web サイトでユーザー登録を有効にしている場合は、ユーザー アカウントを時々調べて、未使用のアカウントとスパマーによって作成されたアカウントをすべて削除してください。これらを放置しておくと、ハッキングされることを望んでいることになります。そして、あなたもハッキングされるでしょう。
または、[設定] -> [一般] に移動し、メンバーシップがある [誰でも登録できる] の選択を解除することで、ユーザー登録を完全に無効にすることもできます。 WordPress 管理者メニューで [ユーザー -> すべてのユーザー] に移動すると、すべてのユーザーを表示できます。
同時に、新しいユーザー アカウントの権限を制限できます。これは、設定 -> 一般 - 新しいユーザーのデフォルトの役割に移動し、オプションを「購読者」に設定することで簡単に行えます。他の役割には、寄稿者、作成者、編集者、管理者などがあります。新しいユーザーに管理者権限を与えたくないはずです。ユーザーには、業務を遂行するために必要な権限のみを割り当てることが最善です。
何度も続けることもできますが、私はただ大量の情報であなたを圧倒するだけであり、それは決して私の意図ではありません。私たちは、今すぐにでも実践できる実用的なヒントをぜひ提供していただきたいと思っていますが、私が事実などのダムにあなたの注意を引き込んでしまっては、それは夢物語になってしまいます。ということで、ここでお辞儀をしてカーテンを閉めさせていただきます。
話を戻しますが、今お話しした分野に取り組み始めてください。待てば待つほど、悪者にとっては楽になるからです。 1 つの領域から始めて、そこから先に進んでください。行き詰まったり、疑問がある場合は、下のコメント セクションに懸念事項を書き込んでください。または、追加するヒントがある場合はお知らせください。お待ちしています。これは厳粛な約束です。最高のアミーゴの皆さん!