WordPress のセキュリティを強化する 5 つの簡単な方法
WordPress のセキュリティは、現在ブロゴスフィア界隈でホットな話題です。膨大な数の WordPress サイトに対する最近のボットネット攻撃により、一部の人々が貴重なデータの回復に奔走しているため、WordPress のセキュリティを強化するために迅速に行動する必要があります。
そして、必要になる前に先を考えて行動を起こした人もいます。おそらく、彼らは自分自身を厳しいターゲットにしたため、何の問題も経験しなかったでしょう。
事実は次のとおりです。100% 安全なサイトなどというものはありませんが、自分のサイトを他のサイトの 99% よりも安全にするために少しの時間を費やすことで、ハッキングされる可能性をはるかに低くすることができます。それを念頭に置いて、この投稿では、サイトをソフト ターゲットから実際のタフな Cookie に変えるための簡単な 5 つのステップのプロセスを説明します。
ステップ 1: すべてを更新する
サイト上の古いアイテムは、ハッカーがサイトのバックエンドに侵入するために使用できるため、潜在的なセキュリティ リスクを表します。だからこそ、すべてを最新の状態に保つことが非常に重要です。
そして、私がすべてを言うとき、 私はすべてを意味しています。
- WordPress コア
- テーマ
- プラグイン
非アクティブ化されたテーマとプラグインも最新の状態に保つ必要があります。サイトに存在するだけで潜在的なセキュリティ リスクが生じるため、WordPress のセキュリティを強化するために常に最新の状態に保つ必要があります。
あまり頻繁にログインしないのですか?心配はいりません。Easy Updates Manager などのプラグインを使用して、WordPress コア、テーマ、プラグインの自動更新を有効にすることができます。また、更新をカスタマイズするための詳細設定や、何がいつ更新されたかを確認するためのログも豊富に組み込まれています。
多くの人はここまで到達したらやめてしまいますが、実際にはもう 1 つのステップを踏む必要があります。サイト上で最近更新されていないテーマやプラグインを削除することを真剣に検討する必要があります。 Plugin Last Updated を使用すると、プラグインが最後に更新された時期を簡単に監視できます。これにより、バックエンドのプラグイン リストに最終更新日が追加されます (デフォルトで表示されるはずです)。
一般的に言えば、過去 12 か月以内に更新されていないプラグインは削除することを検討する必要があると思います。
ステップ 2: すべてを (定期的に) バックアップする
当然の提案であることは承知していますが、WordPress のバックアップを含めないのは不注意です。単純な事実は、サイトの安全性にとってこれより重要なことは (たとえあったとしても) ほとんどないということです。
サイトが真に破壊的なハッキングの対象になっている場合 ( これは常に可能です)、最後の防御線は最新のバックアップです。これは、最悪の事態が起こったとしても、まだ頼れるものがあることを意味します。定期的にバックアップを取らない場合は、はっきり言ってダメです。
世の中には膨大な数のバックアップ ソリューションがありますが、私の最初の提案は、サービス内に自動バックアップを含むホスティング プロバイダーを選択することです。サイトに損害を与えるハッキングの被害に遭った場合は、プロバイダーがサイトを以前の栄光に素早く復元してくれるはずです。
さらに、最高級のオプションは VaultPress と BackupBuddy です。費用はかかりますが、私のアドバイスは、バックアップ ソリューションを決してケチらないことです。個人的に、私は VaultPress ユーザーです (WPExplorer も同様)。VaultPress は包括的なバックアップ ソリューションと追加のセキュリティ機能を提供します。
ステップ 3: デフォルトのユーザー名を変更する
WordPress インストールに同梱されているデフォルトの「管理者」プロファイルをまだ使用している場合は、今が変更の時期です。
なぜ?なぜなら、ブルート フォース ログイン試行のステップ 1 は、「admin」ユーザー名でログインを試行し、その後、ログインを取得するために膨大な数のパスワード試行を実行することだからです。よりユニークなユーザー名を作成すれば、このハッキングの試みを途中で阻止することになります。
プロフィールとそれに関連する可能性のあるすべてのもの (投稿の所有権の譲渡など) を切り替えるのは、かなり困難な作業のように思えるかもしれませんが、サイトを保護するための重要なステップであり、思っているよりもはるかに簡単です。追加のガイダンスが必要な場合は、YouTube のチュートリアルをチェックしてください。
ステップ 4: 独自の強力なパスワードを作成する (定期的に変更する)
最近ではほとんどの人が、自分のパスワードを「password」にするべきではないことを知っています。彼らは知らないかもしれませんが、ブルート フォース ハッキングの試みでは、ウェブサイトにアクセスするために驚くほど多くのパスワードの組み合わせが試みられるということです。パスワードが意味をなしている場合、または何らかの形で予測可能な場合 (例: 認識可能な単語や数字のパターンで構成されている場合)、サイトは危険にさらされています。
実際には、パスワード生成のベスト プラクティスには 3 つの黄金律があります。
- それは本当にランダムで一意である必要があります
- 使用するのは 1 回のみです (つまり、複数のサイトにまたがっては使用できません)。
- 定期的に変更する必要があります (例: 月に 1 回)。
これら 3 つのルールに従えば、サイトの安全性はさらに高まります。本当にランダムなパスワードを生成するという点では、無料のオンライン ジェネレーターを使用できます。LastPass で無料アカウントにサインアップし、そのサービスを使用して (a) すべてのパスワードを生成し、(b) 保存することをお勧めします。
ステップ 5: プラグイン保護をインストールする
サイトのセキュリティを強化すると主張するプラグインが数多く存在します。選択肢が膨大になると圧倒されるかもしれませんが、徹底的に説明し、最もシンプルで効果的なプラグインだと私が考えるものを推奨します。
そのプラグインは Wordfence です。人気があり、評価の高い無料プラグインです。これには、以下を含む (ただしこれらに限定されない) さまざまなセキュリティ機能が含まれています。
- ファイアウォール
- 悪意のあるIP保護
- バックドアスキャン
- マルウェアスキャン
- ログインセキュリティの強化
Wordfence はフリーミアム モデルであり、より多くのオプションを備えた有料バージョンもありますが、プラグイン自体と基本サービスには費用はかかりません。これをサイトにインストールするのは簡単です。
実際のところ、ここではほんの表面をなぞっているだけです。上記のセキュリティ対策を講じることは、WordPress のセキュリティを他のセキュリティ対策よりも強化するのに役立ちますが、できることは常にあり、 とにかくハッキングされる可能性は常にあります。
この投稿では、WordPress のセキュリティを強化する簡単な方法について説明しました。それらをすべて実装しても、さらに詳しく知りたい場合は、WordPress.org Codex にある公式 WordPress セキュリティ ページをチェックすることから始めることをお勧めします。
次はあなたの番です。WordPress のセキュリティを強化するための簡単な推奨事項をぜひ知りたいです。それは、簡単なヒントやテクニック、プラグインの提案、あるいは前述の VaultPress のような推奨されるプレミアム サービスである場合もあります。コメント欄でガンガン言ってください!