WordPressセキュリティのベストプラクティス– TODOリスト– WordPressブログを保護する方法は?

公開: 2015-05-25

WordPressのセキュリティを真剣に受け止めてください

WordPressは、セルフホストのブログやWebサイトで最も人気のあるプラットフォームの1つです。 WordPressは箱から出してすぐに安全ですが、アカウントやサイトに侵入して損害を与えたり、隠されたスパムリンクを挿入したりする方法を見つけて問題を起こしたいと考える個人は常に存在します。 そのため、WordPressのインストールが可能な限り安全であることを確認することが重要です。 WordPressのセキュリティのヒント。

TechCrunchは世界最大のブログで、8時間という短い時間枠で2回ハッキングされました(2012年)。 WordPressのリードプログラマーであるMarkJaquithによると、ハッキングはおそらく、ハッカーがphpインジェクションの方法を使用して技術クランチをハッキングすることを可能にした安全でないWordPressプラグインが原因でした。 サーバー側のハッキングではありませんでした。 このすべての詳細情報がWordPressブログの保護に役立つことを願っています。

以下の質問について以下の質問がありますか?

  • ワードプレスのセキュリティプラグインのレビュー
  • WordPressのセキュリティの脆弱性
  • ワードプレスのセキュリティのベストプラクティス
  • ワードプレスのセキュリティ問題
  • WordPressのセキュリティのヒント
  • 最高のワードプレスセキュリティプラグイン
  • ワードプレスのセキュリティスキャン
  • ワードプレスのセキュリティチェック

その後、あなたは正しい場所にいます。 Crunchifyによるセキュリティプラグインのレビュー。

WordPressのウェブサイトやブログをより安全に保ち、悪意のある攻撃を受けにくくするためのヒントをいくつか紹介します。 これらの手順は、悪意のあるユーザーを締め出すことでブログを保護するのに役立ちます。

1)最新バージョンのWordPressにアップグレードする

バグや脆弱性の影響を受けないソフトウェアシステムはありません。 セキュリティホールが発見され、悪者はそれらを悪用するために最善を尽くします。 ソフトウェアを最新の状態に保つことは、攻撃を防ぐ良い方法です。信頼できるソフトウェアベンダーは、セキュリティホールが見つかると、製品を修正するからです。

幸い、WordPressサイトを最新の状態に保つことは、最も簡単な方法の1つです。 最近のいくつかのバージョンでは、WordPressに自動更新をインストールする機能が含まれています。 それだけでなく、新しいアップグレードが利用可能になるたびにサイトに通知されます。

最新バージョンのWordPressを実行していない場合は、今すぐアップグレードしてください。 サイトを古いバージョンのままにしておくことは、休暇に出かけるときにドアのロックを解除したままにするようなものです。

WordPressアップデート

2)空白のindex.phpファイルを配置します

ディレクトリのアクセス許可を設定するだけで十分だとお考えの場合は、それほど単純なものではないと思います。 空のhtmlまたはphpファイル( ensure that the name should be index.php )をwp-content/themes/およびwp-content/plugins/フォルダーにドロップすることをお勧めします。 このようにして、誰かがそれらのフォルダのコンテンツを表示しようとすると、空白のページだけが表示されます。 それは賢い動きではありませんか?

ファイルの内容:

index.php
1
2
3
<?php
// Silence is golden.
?>

空白のindex.phpファイルを各フォルダーに配置します

3)WP-Configファイルで秘密鍵を使用する

WordPressでは、 wp-config.phpファイルは、WordPressが回路を接続するために必要なデータベース情報を格納するファイルです。 このファイルには、すべてのユーザー情報、ブログ投稿、およびその他の重要なコンテンツを格納するMySQLデータベースの名前、アドレス、およびパスワードが含まれています。

秘密鍵を使用すると、誰かがあなたのアカウントにアクセスするのをさらに困難にすることができます。

秘密鍵をまだ設定していない場合は、https://api.wordpress.org/secret-key/1.1/にアクセスしcopy the results into this section of your wp-config.phpます。

4).htaccessファイルをチェックしておく

.htaccessファイルを使用して、特定のディレクトリへのアクセス制限を設定できます。 これらの制限を特定のIPアドレスに関連付けることができます。つまり、その場所のユーザーだけがあなたの情報にアクセスできます。

Webホストを選択する際には、MySQL、Apache、およびPHPのどのバージョンを使用しているかをWebホストから確認することを常にお勧めします。」

サンプル:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5)強力なWordPressアカウントのパスワードを使用する

wp-config.phpファイルに秘密鍵を追加することに加えて、ユーザーパスワードを強力で一意のパスワードに変更することも検討してください。 WordPressはパスワードの強さを教えてくれますが、一般的なフレーズを避け、大文字と小文字を使用し、数字を含めることをお勧めします。 また、パスワードを定期的に変更することもお勧めします。たとえば、2か月に1回です。

6)サーバー環境とプラグインを更新します

プラグインとテーマがリリースされるとすぐに更新されるのはあなたの責任の1つです。 プラグインを定期的に更新することをお勧めします。 しばらく前に公開したCSRFの記事をご覧ください。

サーバー環境に関しては、それはあなたの手にあるのではなく、ウェブホストの手にあります。 Webホストを選択する際には、MySQL、Apache、およびPHPのどのバージョンを使用しているかをWebホストから確認することを常にお勧めします。 それぞれのウェブサイトに記載されている最新バージョンと一致させてください。古いバージョンの場合は、更新するか(ほとんどありません)、ウェブホストをできるだけ早く変更するように依頼する必要があります。

7)ユーザー名として「admin」を使用しないでください

WordPressをインストールした後、管理者のユーザー名を変更する必要があります。

8)データベーステーブルのWP prefixを変更します

SQLインジェクションのハッキングからあなたを救うでしょう。

9)ルートディレクトリにWordPressをインストールしないでください

わかりにくい変な名前のフォルダにインストールしてください。 442testXYZのようなもの。 これにより、WordPressのインストールがボットやハッカーから保護されます。

10)不良ボットをブロックする

あなたのサイトが悪いボットによっていつクロールされるかは決してわかりません。 解決策は簡単です。 悪いボットをブロックするには、以下を.htaccessファイルに入れてみてください。

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

概要

ブログを成功させるためには、安全なWordPressブログを用意することが最優先事項であることに同意します。 WordPressは素晴らしいパブリッシングソフトウェアであり、Automattic(WordPressの背後にある会社)は常にそれを保護しようと努力しているので、何百万ものブログがハッカーの脅威から安全になります。

WordPressのセキュリティを向上させる方法はたくさんあります。 これらの変更はわずかであり、これらの推奨事項の多くは数分以内に実装できます。 WordPressサイトが侵入者やハッカーからもう少し安全であることを知っていれば、安心できます。