WordPress サイトを 10 ステップで保護する方法
WordPress サイトを構築するときにできる最も重要なことの 1 つは、サイトが安全であることを確認することです。サイトのセキュリティを 100% まで高めることはできませんが、99% のセキュリティを達成することは確かに可能です。サイトのすべてのアクセス ポイントとその脆弱性を考慮した、大小の対策を講じることでそれを達成できます。
さて、あなたのサイトはかなり安全だとすでに思っている人もいるかもしれません。それは素晴らしいことですが、WordPress サイトのセキュリティに関して私がまとめたこのリストを、数分かけて確認してみてはいかがでしょうか?行動計画を立てて立ち去ることも、既存の対策に自信を持てることも、どちらも良いことです。
サイトを可能な限り安全にするために、探したり注意したりする必要がある 10 の事項を以下に示します。
1. ダッシュボードのアクセシビリティを制限する
誰かが WordPress ダッシュボードにアクセスすると、新しい投稿やページを追加したり、ファイルをアップロードしたり、設定を変更したりできます。経験の浅い人は気づかないうちに間違いを犯してしまう可能性があります。あるいは、その意図はより悪意のあるものである可能性があります。いずれにせよ、信頼できる人にのみダッシュボードへのアクセスを許可する必要があります。
IP アドレスをホワイトリストに登録して、その IP 以外のユーザーがダッシュボードにアクセスすることを制限できます。これにより、ハッキングの試みを大幅に減らすことができます。もちろん、常に同じ IP からサイトの管理者にアクセスする必要があります。
これを行うには、新しい .htaccess ファイルを wp-admin フォルダーに追加し、次のコードを追加します。
order deny,
allow
allow from YOUR IP ADDRESS
deny from all
また、テーマとプラグインを権限のないユーザーによる編集から保護したい場合は、次のコードをwp-config.php ファイルに追加できます。
define( 'DISALLOW_FILE_EDIT', true );
2.ディレクトリの閲覧をブロックする
Web サイトは、サーバー上のフォルダー内にファイルが含まれるように設定されていることは、おそらくすでにご存知でしょう。通常、誰かが各フォルダーまたはディレクトリの内容を閲覧できるため、悪意のあるハッキングの試みにさらされる可能性があります。ただし、特定のフォルダーの内容を一般公開しないようにすることもできます。これは隠蔽戦術であり、サイトを 100% 安全にすることはできませんが、ハッカーが扱う情報が少なくなり、必要な情報も少なくなります。
ディレクトリの参照をブロックするには、.htaccess ファイルを再度開き、一番下に次のコードを挿入します。
Options -Indexes
必要なのはこれだけです!
3. WordPress バージョン情報を削除します。
WordPress テーマでは、使用している WordPress のバージョン番号がサイトの <i>head> タグに自動的に出力されていました。ただし、WordPress 自体がこの情報を挿入するようになり、誰が何を使用しているかを分析するときに WordPress が知るのに役立ちますが、コードを覗く人が誰でも利用できるようにこの情報を残すことはセキュリティ上の危険です。
なぜ?ハッカーにバージョン番号を明示的に与えると、作業が容易になるからです。そして、ハッカーの仕事を簡単にすることは望ましくありません。代わりに、次のコードをテーマの <i>functions.php ファイルに挿入するだけです。
function remove_wp_version() {
return '';
}
<span style="line-height: 1.8em;">add_filter( 'the_generator', 'remove_wp_version' );
これにより、バージョン番号が削除され、サイトに別のセキュリティ層が追加されます。
4.ユーザー名とパスワードを評価する
次に、パスワードには一連の数字、文字、記号を使用します。基本的に、人間が推測することを不可能にし、機械が解読することを非常に困難にします。
5. 定期的にサイトのバックアップを実行する
サイトを頻繁にバックアップする必要があると聞くと、多くの人は目を丸くします。彼らがそれが重要であることを理解していないからではありません。むしろ、サイト全体をバックアップすることを考えるのは疲れるからです。多くの人は、プロジェクトに時間と労力を注ぎたくないだけです。
ありがたいことに、最近ではバックアップを完全に自動化でき、事前にスケジュールを設定できるため、実際には賢明なソリューションです。そうすれば、サイトのバックアップを忘れることはなくなります。 WordPress Codex に詳細な手順が記載されています。または、WordPress サイトをバックアップする方法に関するガイドを使用することもできます。または、プラグインベースのソリューションを選択することもできます (Backup Buddy と VaultPress は、WPExplorer で以前に使用した 2 つのオプションです)。
6.サイトを最新の状態に保つ
ハッカーは毎日、Web サイトを破壊する新しい戦略を考え出します。したがって、上の写真に見られるように、特に WordPress は新しいバージョンがリリースされるとすぐに以前のバージョンの欠陥やセキュリティ ホールを公開するため、古いバージョンの WordPress を実行することはトラブルを招くだけです。セキュリティを最適化するために、サイトが最新バージョンを実行していることを常に確認してください。
7.安全なテーマを選択する
評判の良いテーマを選ぶことも重要です。評判の良い開発者ではないものや、コードがあまりきれいでないものは、インストールするとサイトにセキュリティ上の脆弱性が生じる可能性があります。テーマをインストールする前にレビューを読み、プレミアム テーマを購入する場合は、必ず有名なサイトから購入してください。
同様に、テーマの更新が利用可能になったら、必ずインストールしてください。 WordPress コアファイルを最新の状態に保つことについて上で述べたことは、ここでも同様に当てはまります。
8. 安全なプラグインを選択する
テーマについて上で述べたことは、プラグインにも当てはまります。ただし、プラグインにはマルウェアや悪意のあるコードが含まれている可能性があるため、このアドバイスは二重に当てはまります。サイトのセキュリティを維持するために、見覚えのない開発者からプラグインをダウンロードしないでください。更新が利用可能になったら必ずインストールしてください。
9. ファイルを保護する
WordPress サイト全体で最も重要なファイルの 1 つは、<i>wp-config.php ファイルです。これには、データベースに関する詳細やサイト全体の設定など、サイトに関する一連のデータが保存されます。適切な知識ベースを持つハッカーは、このファイルの情報だけでサイトに関するすべてを変更することができます。したがって、ご想像のとおり、それを保護することが重要です。
ありがたいことに、比較的簡単な修正で解決できます。 <i>.htaccess ファイルの <i># END WordPress と書かれている場所のすぐ下に、次のコード スニペットを追加するだけです。
<Files wp-config.php>
order allow,deny
deny from all
</Files>
10. 適切なホスティングプロバイダーを選択する
サイトのセキュリティの多くは、選択した WordPress ホスティング プロバイダーによって決まります。どのホストが最適であるかは言えませんが、考慮すべき変数が多すぎてこの記事で説明できませんが、賢明な決定を下すにはレビューを読むことが不可欠であることは言えます。最終的な選択をする前に、ホストのセキュリティ、バックアップ ソリューション、サーバーの種類を必ず評価してください。
注意: 選択したホストは、サイトの読み込み速度、稼働時間、公開データとプライベート データの安全性に直接影響します。軽々しく決断できるものではありません。
このリストは決して完全ではありませんが、潜在的なセキュリティ ホールを特定し、ハッカーからサイトを保護するためのソリューションを導入するという点で、包括的な出発点となることは間違いありません。また、WordPress サイトを保護するためのより簡単なヒントについては、この WordPress セキュリティ ガイドを確認して従うこともできます。少しでも安心感が得られるというメリットもあるはずです。結局のところ、Web サイトの開発と実装には何百時間も投資するのが一般的です。それを保護することが不可欠です。
サイトを保護するためにどのような対策を講じていますか?手動のアプローチを取ることを好みますか、それともプラグインベースのソリューションを使用することを好みますか?コメントでお知らせください!