あなたの WordPress サイトは本当に安全ですか?
WordPress は優れたプラットフォームですが、特にテーマ (または WordPress のインストール) が彼らにとって簡単なものである場合、ハッカーやインターネットのその他のクズがいつでも大混乱を引き起こす可能性があります。これが、誰もが一度はやったことがある「無料の WordPress テーマ」を決して検索してはいけない理由です。注意してください、私は無料の WordPress テーマに反対しているわけではありません。WordPress.org やここ WPExplorer の無料テーマ セクションにも優れた無料テーマがいくつかありますが、Web 上に散在している無料テーマの大部分はそうではありません。必ずしも本当に「無料」というわけではありません。
これらのテーマには、開発者やハッカーが自分たちの利益のためだけに配置した隠されたコード行やリンクが含まれていることがよくあります。これは巧妙に隠されているため、おそらく手遅れになるまでこの基礎となるコードに気付かないでしょう。それはさておき、WordPress のセキュリティについていくつかお話しましょうか。この投稿では、以下について説明します。
- WordPress サイトを保護するためのヒント
- 最高の WordPress セキュリティ プラグイン 10 選
WordPress プラットフォームを更新する
まずは最初のことから始めましょう。 WordPress サイトを更新しています。選択したテーマが無料かプレミアムかに関係なく、古いプラットフォームで実行している場合は、依然としてあらゆる種類の攻撃に対して脆弱です。これは醜い真実であり、 まさに年は金ではないという例の一つです。
Automattic はつい先日 WordPress 3.7 (または Basie) をリリースしましたが、この新しいバージョンに更新していない場合は、ハッカーにとって非常に簡単なものになってしまいます。プレミアムテーマを使用していても、誰かが古いWordPressプラットフォームのセキュリティホールを悪用した場合、ハッキングされる可能性があるからです。
優れたプラグインは、WordPress の新しいアップデートがリリースされるとすぐに更新されるため、プラグインの互換性は問題になりません。結局のところ、互換性のないプラグインを使い続けてウェブサイト (そしてもちろんプラグイン) を失うか、それとも WordPress を更新して新しいプラグイン (またはアップデート) をインストールするほうが良いでしょうか?私は 2 番目の選択肢を選びますが、あなたもそうすべきです。 更新、更新、更新
より強力なパスワードを作成する
ニュースフラッシュ: ユーザー名が「admin」のような簡単なもので、パスワードも「password123」またはそれに近いものである場合は、あなたです。意思。なれ。ハッキングされました。さあ、銃を持った銃殺隊の前に立って「撃て!」と叫んでも何も得られません。より強力なパスワードを作成することで、ハッカーが玄関を通過するのを非常に困難にします。
WordPress 3.7 では、より強力な「ハッカー防止」パスワードの作成が非常に簡単に (そして非常に可能に) なりました。この新しい機能を活用してください。歯ブラシを変えるのと同じように、パスワードを時々変更することを忘れないでください。これは WordPress サイト所有者としてのあなたの責任ですので、忘れたり先延ばしにしないでください。
ブルートフォース攻撃から身を守る
現在、 覆面をしたハッカーがブルートフォース手法を使ってあなたのWordPressサイトに侵入しようとしているかもしれません。ハッカーは悪を永続させるためにフェイスマスク(または銃やナイフ)を必要としない普通の人々であるため、マスクされた部分は誇張です。彼らはあなたの Web サイトを徹底的にハッキングし、あらゆる種類の「仮想」マスク、別名プロキシや隠し IP の背後に隠れます。
より強力なパスワードが必要な理由がわかりましたか?
上の行を読むと、あなたの Web サイトでは 20、30、40…100 回の不正ログイン試行が行われている可能性があります。いいえ、私は怖がらせる戦術などを使っているのではなく、ただ明白なことを述べているだけです。 1 時間以内に最大 300 回のブルート フォース攻撃を受けるサイトもあります。とにかく、ブルートフォースアタッカーの小さなゲームで勝つことができるので、恐怖で麻痺する必要はありません。
ブルート フォース攻撃から WordPress サイトを守る方法
ブルート フォース ログイン攻撃から WordPress サイトを保護するために実行できる簡単な手順がいくつかあります。
- より強力なパスワードを作成する
- この件について Web ホストに相談すれば、助けてくれるはずです (特定の .htaccess ファイルを編集するよう求められるかもしれませんが、これに対する最善の返答は次のとおりです。 >.htaccess はどこにあるのか、どこに住んでいるのか、それとも私に会いたがっているのか…」 さて、ここが重要です。 について最初のことがわからない場合は、設定を手伝ってもらうように依頼してください。 .htaccess をいじると、サイト全体に悪名高い 404 エラー ページが表示されることになるからです。) さらに、Web ホストにロックするように依頼してください。攻撃的な IP アドレスを永久に排除します。 永遠に
- ログイン試行を制限するなどのプラグインを使用すると、ブルート フォース攻撃者に大きな打撃を与えることができます。
ただし、.htaccess ファイルを試してみずにはいられない場合は、次のコードを追加してください。
<Files wp-config.php>
order allow,deny
deny from all
</Files>
….htaccess ファイルに追加して、wp-config.php ファイルをブルート フォース攻撃者から保護または「非表示」にします。 wp-config.php には、WordPress サイト上のすべての機密情報が含まれています。ご存知のように、ハッカーが手に入れることを夢見ているような情報なので、ハッカーには渡さないでください。次のコードを配置します…
<Files .htaccess>
order allow,deny
deny from all
</Files>
...悪意のあるハッカーから .htaccess ファイルを保護するために、.htaccess ファイルにも追加します。上記のコードをそれに応じて変更することで、基本的に .htaccess ファイルを使用して任意のファイルを保護できることに注意してください。
WordPress を定期的にクリーンアップする
もう使用しなくなった古くて時代遅れのテーマやプラグインは、ほこりをかむ必要があり、激しくほこりをかむ必要があります。彼らは去るべきであり、ここには妥協はありません。それは厄介で、ハッカーに家に火をつけるのに必要な樹皮をすべて与えてしまいます。
古いテーマやプラグインが横たわっていると、Web サイトが侵害された場合にセキュリティ専門家が任務を遂行することが非常に困難になります。また、古いテーマやプラグインを保持することを選択した場合も同様です。定期的に掃除をしましょう。散らかったものは必要ありません。あなたのサイトも速くなります。
無料の CDN にサインアップする
CDN は Content Delivery Networks の略で、その好例が CloudFlare です。 CDN はコンテンツを「高速化」し、Web ページの 1 秒未満の読み込みを可能にします。これは素晴らしいことですが、それだけで終わりではありません。 CDN は受信トラフィックをフィルタリングすることでウェブサイトをハッカー、スカムウェア、 マルウェアから保護します。 CDN を使用するために 1 円も支払う必要はなく、無料アカウントにサインアップするだけです。お勧めします:
- CloudFlare (当社の最も推奨されるオプション)
- JetPack CDN プラグイン
- その他の無料 CDN サービス
補足: Google がセキュリティを真剣に考えていると仮定するなら、それは完全に正しいでしょう 🙂
WordPress サイトをバックアップする
Web サイトをバックアップしておくと、忍耐強いハッカーがセキュリティ対策を突破した場合に、再び業務を再開するのに役立ちます。それはとても重要ですが、 無料のバックアッププラグインがあるためそれほど難しいわけではありません。これらのプラグインを使用して WordPress サイトをバックアップできます。
- WordPressのバックアップ
- WP DB バックアップ
- ボールトプレス ライト
有料のバックアップ サービスもあります。
- バックアップバディ
- ボールトプレス
トップ 10 WordPress セキュリティ プラグイン
いくつかのセキュリティ問題と自分自身を守る方法について説明したので、 次は最高の WordPress セキュリティ プラグイン 10 つ (数千ものプラグインがあります) に焦点を当てて注意を向けてみましょう。次の 10 個のプラグインは、 ウェブサイト上でバウンサーを再生します。
より優れた WP セキュリティ
この WordPress セキュリティ プラグインは、Foo Plugins の善良な人々から提供されました。 Foo Plugins によると、Better WP Security プラグインは「…最高の WordPress セキュリティ機能と技術を採用し、それらを 1 つのプラグインに組み合わせています…」ため、問題が競合したり、Web サイト上のコンテンツを失うことなく、多くのセキュリティ ホールにパッチを当てることができます。
Better WP Security は WordPress.org で 100 万回以上ダウンロードされており、ワンクリックで Web サイトを検出、隠蔽、保護、回復できます。さらに、これは無料ですが、インストール サービスとプレミアム サポート トークンを購入することもできます。
より優れた WP セキュリティをダウンロード
WPセキュリティスキャン
セキュリティスキャンを実行しない場合、WordPress のセキュリティを修正する必要があることをどうやって知ることができるでしょうか?物事が崩れ始めたら修正が必要であることは確かですが、地獄が始まるまで待ちたくありません。
WP Security Scan のおかげで、WordPress サイトを数分でスキャンし、サイトを脅かすセキュリティ上の予期せぬ事態を防ぐことができます。さらに、このプラグインは、セキュリティの脆弱性を修正するための便利なヒントを提供します。その他の主要な WP Security Scan 機能には、次の機能が含まれます。
- サイトをバックアップする
- ディレクトリリストを避けるために、index.php ファイルを wp-content、wp-content/主題、wp-content/uploads、および wp-content/plugins に追加します。
- レポートファイルの権限
- Web サイトのアクティビティを監視する
- ハッカーの脱線のために wp-version を削除する
リストは数え切れないほどあり、120 万ダウンロードにより、このプラグインは WordPress のセキュリティを「獲得」しました。
WP セキュリティ スキャンをダウンロード
ログイン試行を制限する
このプラグインは、ブルート フォース攻撃者に対する優れた防御策です。ログイン試行の制限を使用すると、IP アドレスごとにログイン試行を制限できます。事前に定義されたログイン再試行回数に達すると、プラグインは IP アドレスをブロックし、ブルート フォース攻撃者が追跡 (またはコンソール) で死亡するのを阻止します。
ダウンロード制限ログイン試行回数
ログインセキュリティソリューション
これを言うと、これはすべてのログイン セキュリティ プラグインの母であると思います。 Login Security Solution は、パスワードの強度を強化したり、すべてのユーザーにパスワードを強制的にリセットしたりするのに役立ちます。パスワードのエージングもプラグインのオプションです。さらに、アイドル状態のセッションは自動的にログアウトされます。
Login Security Solution を使用すると、パスワードを数回忘れても (またはタイプを間違えても) ロックアウトされることはありませんが、それでも総当たり攻撃者が Web サイトに侵入するという途方もない作業を行うことになります。素晴らしいですね。
ログインセキュリティソリューションをダウンロード
WordPress ファイルモニタープラス
このプラグインが行うことは 1 つだけですが、それを非常にうまく実行します。ファイル システムに対するすべての変更を追跡します。ファイルが追加、変更、削除されると、リアルタイムで電子メール通知が届きます。なんて優しいのでしょう?このプラグインは、Web サイトのリソースを追跡するのに役立ち、WordPress サイトを復元またはクリーンアップするときに非常に役立ちます。
WordPress ファイルモニタープラスをダウンロード
不正なクエリのブロック、別名 BBQ
プラグインとしてはかなり派手な名前 (BBQ) ですが、少しも誤解しないでください。この悪い奴は、受信トラフィックをフィルタリングして、既知の脅威がサイトを破壊するずっと前に阻止します。 BBQ は強力で、悪意のある URL リクエストからサイトを保護する優れたプラグインです。作者によると、このプラグインはシンプルさから生まれました。つまり、設定は必要なく、インストールして有効にするだけです。フリルがない。ヒダが無い。
ダウンロード 不正なクエリをブロック (BBQ)
ワードフェンス
セキュリティ プラグインというよりは冒涜プラグインのように聞こえますが、心配しないでください。Wordfence は驚異的に機能します。 WordPress プラグインの分野ではまだ新しいものですが、かなりの騒動を引き起こしています。
以下のようなユニークな機能により急速に成長しました。このプラグインは、WordPress のコア ファイル、テーマ、プラグインを WordPress リポジトリ内の正式バージョンと比較し、何かが正しくない場合 (矛盾がある場合)、Wordfence は電子メールで通知します。それはクールじゃないですか?さらに、Wordfence は、既知のバックドア、マルウェア、フィッシング、ウイルス感染がないか Web サイトをスキャンします。
ワードフェンスをダウンロード
防弾セキュリティ
作者のAITproによると、このプラグインは、Base64、CRLF、CSRF、コードインジェクション、RFI、SQLインジェクション、XSSハッキングからWordPressサイトを保護するとのこと。ハッキングにはこんなにたくさんの種類があるとは知りませんでしたね?ただし、心配しないでください。このプラグインは WordPress のインストールに必要な防弾チョッキです。
このプラグインには、ファイアウォール、エラーログ、ログインセキュリティ、セキュリティ監視などの機能が付属しています。ハッキングに関してはまさに「防弾」です。
防弾セキュリティをダウンロード
オールインワンの WP セキュリティとファイアウォール
オールインワンタイプのソリューションに興味がある人には (そうでない人はいるでしょうか?)、ここにあなたのために作られた WordPress セキュリティ プラグインがあります。開発者によると、オールインワン WordPress セキュリティとファイアウォール プラグインは「…ウェブサイトのセキュリティをまったく新しいレベルに引き上げます…」とのことです。それは気に入らないでしょうか?
主な機能には、脆弱性のスキャン、ブラックリスト機能、ファイアウォール、ファイル システム セキュリティ、バックアップ、ブルート フォース アタック防止、WhoIS ルックアップ、コメント スパム セキュリティ、定期的なアップデートなどが含まれます。オールインワンのソリューションです 🙂
オールインワン WordPress セキュリティとファイアウォールをダウンロード
WordPress のウイルス対策
そうです、Web サイトにもウイルスやハッカーを寄せ付けないウイルス対策プログラム、またはプラグインが存在します。この WordPress セキュリティ プラグインは、テーマを毎日自動的にスキャンして悪意のある挿入がないか確認します。毎日のスキャンにより、マルウェア、エクスプロイト、スパム挿入からの安全性が確保されます。このプラグインには、管理バーでのウイルス警告、複数の言語、電子メール通知による毎日のスキャン、およびオプションの Google セーフ ブラウジングが備えられています。
ウイルス対策ソフトウェアをダウンロード
おまけのおすすめ: Sucuri
より包括的なセキュリティ サービスをお望みの方のために、Sucuri は WordPress サイトを安全に保つために使用できる予防、監視、クリーンアップ サービスです。サイトのバックアップを処理してもらうこともできます。 Sucuri は無料ではありませんが、Web サイトの保護への大きな投資となります。
スクリを入手
結論
この投稿を終える前に、無料の WordPress テーマに関する以前のアドバイスを思い出していただきたいと思います。もう一度言いますが、無料の WordPress テーマをどこからでもダウンロードしないでください。予期せぬ悪意のあるコードが含まれるテンプレートをダウンロードする危険があります。
さらに、インターネットというそれほど安全ではない地域では、何が見つかるかわかりません。悪意のあるコードはサイトを破壊したり、不要な広告や不快なサイトへのリンクを販売したり、Google で非常に悪い評判を与えたりする可能性があるため、次の点を真剣に受け止めてください。
- どこからでも無料の「プレミアム」テーマをダウンロードしないでください
- プレミアム WordPress テーマに投資する
- 推奨されるWordPressセキュリティプラグインを使用する
- より強力なパスワードを作成する
- 古いテーマとプラグイン (および目的を果たさない壊れたコード) を削除します。
- WordPress プラットフォームをすでに更新してください
あなたに…
WordPress サイトを安全に保つために何をしていますか?いつものように、皆様からのご意見をお待ちしております。以下のコメント セクションでご意見を共有し、ディスカッションの歯車を回転させ続けてください。乾杯!