WordPress ショッピングをより安全にするためにセキュリティ ホールを修正する
WordPress で電子商取引サイトをセットアップする場合、セキュリティを最優先する必要があります。人々の個人情報や財務データを扱うときは、常に二重に注意する必要があります。認識可能なセキュリティ ロゴなどによって信頼できるベンダーであることを示さないと、顧客を失う可能性があります。しかし、セキュリティを考慮しないと、盗難やデータ損失というさらに悪い結果が生じる可能性があります。
これは、電子商取引サイトの所有者にとって最悪の悪夢です。ありがたいことに、このようなことが起こるのを許す必要はありません。ここでは、WordPress ベースの電子商取引サイトが直面する最も一般的なセキュリティ問題のいくつかについて説明し、それらのセキュリティ ホールを完全に塞ぐために必要な手順を説明します。
ステップ 1: SSL
電子商取引分野で作業する場合、絶対に妥協できないことの 1 つは SSL です。これは、初心者向けの Secure Sockets Layer であり、処理のために送信される機密情報 (貴社と貴社の顧客の両方) を保護します。サイトでの支払いが安全であることを確認する良い方法は、PayPal などの一般的なシステムを使用することです。これにより、すべての財務情報がサイトから保護され、このような取引の保護を専門とする会社の手に渡ります。
ワイルドカード SSL は高価になる可能性がありますが、最高の WordPress ホスティング オプションの多くは Let’s Encrypt を通じて無料の SSL を提供します。素早く簡単に、そして完全に無料でご利用いただけます。
ステップ 2: 既製のプラットフォームを使用する
サイトのセキュリティを強化する 1 つの方法は、既製の e コマース プラットフォームを使用することです。これにより、何を含めるべきか、何を含めるべきではないかについての推測が不要になり、作業を開始するのがはるかに簡単になります。 WooCommerce、Shopify などのプラットフォームがいくつかあります。したがって、リサーチを行って、ニーズに適した e コマース プラットフォームを見つけてください。
代わりに WordPress テーマのみを使用する場合は、WordPress ディレクトリまたは信頼できるテーマ Web サイトで見つけたテーマのみを使用することをお勧めします。低品質のテーマには適切なセキュリティ対策が欠如していることが多く、サイトや顧客の情報が危険にさらされます。
ステップ 3: .htaccess を変更する
WordPress の潜在的なセキュリティ問題を解決するもう 1 つの方法は、.htaccess ファイルを変更することです。多くのサイト攻撃は、プラットフォームをサポートするデータベースに対して実行されます。データベースが攻撃されると、サイトを機能させる PHP スクリプトを実行できなくなります。
SQL インジェクションは、ハッカーがサイトに侵入する方法の 1 つです。これは、データベース内の URL 内に独自のコマンドを配置することによって行われます。これらのコマンドは、データベースにログイン情報などのサイトに関する情報を強制的に出力させることができます。このハッキング手法のバリエーションにより、サイトにマルウェアをインストールする特定の PHP スクリプトが実行される可能性があります。基本的に、顧客が安心して使用できる安全なサイトを運営しようとしている人にとって、これらはすべて悪いニュースです。
ありがたいことに、WordPress サイトのファイル内の .htaccess ファイルを変更することで、この問題を解決できます。サイトのセキュリティを強化するためにファイルに配置できる .htaccess コード スニペットの優れたコレクションがあります。これらのルールを設定すると、特定の IP アドレスや特定の URL リクエストなど、特定のユーザーがサイトにアクセスするのを防ぐことができます。
ユーザーが閲覧できるファイルを制限することもできます。これらのコマンドを .htaccess に追加すると、サーバー上のプライベート ファイルへの老人のアクセスをブロックできます。通常、これはディレクトリ リストへのアクセスをブロックすることで実現できます。サイト訪問者はサイト上のすべてのファイルのリストを見る必要がないため、アクセスをブロックすることで、悪意のあるユーザーがその情報を使用して攻撃を仕掛けるのを防ぐことができます。
ステップ 4: 管理者をスキップする
電子商取引の WordPress サイトを設定するときに必ず実行したいもう 1 つのことは、ユーザー名とパスワードが文字、数字、文字の組み合わせで構成されていることを確認することです。ユーザー名をデフォルトの「admin」のままにしないでください。これは、ハッカーがブルート フォース攻撃を仕掛けるときに最も頻繁にユーザー名として「推測」するものです (以下を参照)。そして、ハッカーの生活を楽にすることは絶対に望まないでしょう。したがって、 ユーザー名<i>とパスワードを複雑にしてください。
サイトに 2 段階認証をインストールすることもできます。 Keyy Two Factor のようなものが効果があるかもしれません。
ステップ 5: ログイン試行を制限する
上で述べたように、ブルート フォース攻撃を通じて人々がサイトにアクセスする可能性があります。これらの攻撃は、サイトへのログインを何度も繰り返し試行する自動スクリプトによって実行されます。スクリプトは何千回も実行されるため、最終的には成功する可能性が高くなります。
つまり、フェイルセーフ措置を講じない限り。そのようなフェイルセーフの 1 つはログイン リミッターです。ログイン リミッターは、特定の IP アドレスまたはユーザー名が、指定された期間内に一定回数を超えてログインできないようにするツールです。通常、数分間に 10 回という制限により、そのユーザーまたは IP は 1 時間のタイムアウトになります。ブルート フォース攻撃者は、ログイン制限に直面すると、成功するために必要な数千回または数百万回のログイン試行を行うことができないため、効果を発揮できません。その後、彼らは多くの場合、あなたのサイトから移動し、より簡単な領域を探します。
利用可能なログイン制限プラグインはたくさんありますが、私が個人的に気に入っているものをいくつか紹介します。まず、iThemes Security があります。これは、サイトをさまざまな攻撃から保護するために設計された堅牢なプラグインです。実際、隠蔽戦術、ログイン制限、ボット検出など、サイト攻撃を防ぐための 30 を超える方法が含まれています。
さらに、ログイン試行の制限もあり、ユーザーがログインを試行できる回数を制限することでブルート フォース攻撃を防ぎます。完全にカスタマイズ可能で、サイトのロックアウトが発生したときにオプションのログ記録と電子メール通知を提供します。
もちろん他にも選択肢はありますが、これらは私が信頼できると判断した 2 つだけです。
どのような種類のサイトを運営する場合でも、セキュリティを念頭に置くことが重要です。しかし、電子商取引サイトを運営する人にとってはさらに重要です。他人の情報に対して責任がある場合、情報を保護するために自分のできる範囲でできる限りのことを行うことが重要です。それは、既成の電子商取引プラットフォームを使用するか、すべてのトランザクションを安全なサービスを通じてオフサイトで処理することを選択することを意味するかもしれません。または、WordPress サイトのファイルに手動でアクセスし、悪意のある攻撃者からサイトを保護するコードを追加する必要がある場合があります。また、ユーザー名とパスワードが正確であることを確認するだけでは不十分な場合は、ブルート フォース攻撃を防ぐためにログイン試行を制限することもできます。
これらすべての方法を組み合わせて使用すると、サイトのセキュリティを強化し、顧客にとってより安全なショッピング体験を実現できます。それが重要な点だと思いませんか?
さあ、あなたに。オンラインストアのWordPressサイトのセキュリティを向上させるためにどのような方法を使用していますか?あなたにとって必須のツールやプラグインは何ですか?コメントでぜひ聞いてください!