WordPressサイトを保護するためのビギナーズガイド

WordPressは、最も人気のあるコンテンツ管理システムの1つです。

実際、このパブリッシングプラットフォームは、現在、上位1,000万サイトの27.5％以上で使用されています。 JoomlaやDrupalなどの他のプラットフォームは、比較すると単純に見劣りします。 WordPressがこれほど広くサポートされているのは、その使いやすさであり、完全に機能するサイトを短期間で構築することができます。

しかし、WordPressが非常に普及しているという事実は、ハッカーの標的にもなります。

セキュリティの脆弱性があると、サイトが悪意のある攻撃を受けやすくなり、その過程でユーザーデータが危険にさらされる可能性があります。 この種の攻撃は、どのビジネスにとっても絶対に壊滅的なものになる可能性があります。

侵害されたサイトは、訪問者との信頼を低下させるだけでなく、ページをGoogleでブラックリストに登録する可能性もあります。 実際、Googleがより安全なウェブに向けてすでに取っている1つのステップは、Chromeユーザーが潜在的に危険または欺瞞的なサイト（フィッシングやマルウェアなど）にアクセスしようとした場合に警告を表示することです。

あなたのサイトを訪れた人は誰でも（攻撃された場合）、次のような事態に遭遇する可能性があります。

Webサイトのセキュリティの重要性を十分に強調することはできません。

必要なのは、販売を完全に停止させ、Googleでサイトをブラックリストに載せる可能性のある単一の攻撃です。 サイトを削除することは確かに可能ですが、問題によっては解決するのに数日または数週間かかる可能性のある手動レビューをリクエストする必要があります。 その場合、はるかに優れた解決策は、サイトを保護するための手順を実行することです。

ここでは、WordPressサイトを保護して安全に保つ方法について詳しく見ていきます。

WordPressを最新の状態に保つ

WordPressのアップデートは重要です。

11,000を超える感染サイトの評価では、75％がWordPressを使用していることがわかりました。 しかし、もっと驚くべきことは、それらのWebサイトの50％以上が古くなっているという事実です。 最新バージョンに更新すると、新しい機能にアクセスできるだけでなく、攻撃者が悪用する可能性のある既知のセキュリティ上の欠陥にパッチを適用できます。

実際、これらのセキュリティの脆弱性は、新しいアップデートが利用可能になったときに知られるようになります。 更新されたバージョンのWordPressのセキュリティログの例を次に示します。

この情報は、新しいアップデートがリリースされると公開されます。 ただし、すぐに更新しないと、サイトが攻撃を受けやすくなります。 新たに発見された脆弱性からサイトを保護するために、常に最新バージョンに更新してください。 利用可能な更新がある場合は、ダッシュボードの上部に通知が表示されます。

新しいバージョンのWordPressでは、ボタンをクリックするだけで簡単に更新できます。 更新が完了するまで、サイトは短時間メンテナンスモードになることに注意してください。 更新には数分しかかかりませんが、更新が完了すると、他に何もする必要はありません。

毎回手動でサイトを更新したくないですか？

通知はかなり煩わしい場合があります。 ただし、WordPressを更新することは、サイトを安全に保つための最も簡単な方法の1つです。 サイトに最新バージョンがあるかどうかを心配したくない場合は、いくつかの簡単な調整で自動更新を構成できます。

wp-config.phpファイルを開き、次の行を追加します。

[コード]
define（ 'WP_AUTO_UPDATE_CORE'、true）;
[/コード]

同じファイルに次の行を追加して、プラグインの自動更新を有効にすることもできます。

[コード]
add_filter（ 'auto_update_plugin'、 '__ return_true'）;
[/コード]

そして、この行を追加して、テーマの更新を有効にします。

[コード]
add_filter（ 'auto_update_theme'、 '__ return_true'）;
[/コード]

これらの行を追加すると、他のアクションを必要とせずにサイトを最新の状態に保つことができます。 更新や通知に煩わされることができない場合は、サイトが常に最新の状態になるように自動更新を構成することをお勧めします。

管理エリアを保護する

何かがどれほど安全であっても、適切なツールを持っているか、所有者が怠慢であれば、誰でも簡単にアクセスできます。 WordPressでは、管理領域がハッカーの主な標的になります。

このページを安全に保つには、次の手順に従ってください。

強力なパスワードを使用する

弱いパスワード（「12345」、「password」など）を使用すると、攻撃者が自動化されたスクリプトを使用してブルートフォース攻撃を行う可能性があるため、サイトのリスクが高まります。これは、最終的に機能するまでパスワードを繰り返し試行することを意味します。 。 しかし、数字と記号の組み合わせを含む強力なパスワードを使用すると、最も洗練されたプログラムでさえ解読することはほとんど不可能になります。

強力なパスワードジェネレータなどのツールを使用して、WordPressサイトの強力で安全なパスワードを作成します。

ブルートがこのようなパスワードを強制すると、コンピュータプログラムが解読されるまでに数年または数十年かかるでしょう。 ただし、欠点は、強力なパスワードを覚えるのが難しいことです。 ただし、攻撃者がサイトにアクセスするのを防ぐことを意味する場合、トレードオフは間違いなく価値があります。 幸い、パスワードの保存に使用できるパスワードマネージャーは多数あります。

ユーザー名を変更する

WordPressを初めてインストールするときに、ユーザー名を入力するように求められます。

攻撃者は、ユーザー名とパスワードの両方を持っていない限り、ダッシュボードにアクセスできません。 より一意のユーザー名を使用するだけで、ブルートフォース攻撃を簡単にブロックできます。 したがって、ユーザー名を選択するときに「admin」を使用しないでください。

ログイン試行を制限する

前述のように、攻撃者はプログラムを使用して、サイトにブルートフォース攻撃を仕掛けることができます。 ただし、Login LockDownなど、特定のIPアドレスからのログイン試行を制限できるプラグインがあります。 数回以上の試行が失敗した場合、そのユーザーはロックアウトされます。

ログインページの名前を変更する

最後に、管理領域を保護する別の方法は、ログインページを完全に移動することです。 ダッシュボードには通常、 www.yoursite.com/wp-admin / wp-adminからアクセスします。 ただし、明らかな問題の1つは、ハッカーがWordPressサイトに「 /wp-admin 」を追加するだけで、管理ページにアクセスできることを知っていることです。

WP-Adminの保護は、ウェブマスターが管理パネルのURLをカスタマイズできるようにすることで、この問題を解決します。

これらの手順に従って管理領域を保護すると、サイトへの自動攻撃を大幅に削減してブロックできます。

二要素認証を有効にする

二要素認証は、攻撃者がアカウントにアクセスするのをさらに困難にすることで、セキュリティの層を追加します。 ログインには、ユーザー名とパスワードだけでなく、通常SMS経由でモバイルデバイスに送信される追加の認証コードも必要です。

攻撃者が何らかの方法でユーザー名とパスワードを推測したとしても、認証コードがないとアカウントにログインできません。 Google Authenticatorプラグインをダウンロードしてインストールすると、サイトで2要素認証を簡単に設定できます。

プラグインは、検証にGoogle Authenticatorアプリを使用できることに加えて、メールや電話の検証などの2要素認証の追加オプションも提供します。 サイトに複数のユーザーがいる場合は、2要素認証も使用できます。

重要なファイルへのアクセスを制限するには、.htaccessを使用します

.htaccessファイルを使用して、WordPressサイトのセキュリティをさらに強化できます。 このファイルは主にWordPressで使用され、URLをよりユーザーや検索エンジンに適したものに書き換えるなど、Webサイトを最適化します。 ただし、サイトのセキュリティを向上させるためにも使用できます。

.htaccessファイルは通常ルートフォルダにあり、FTPクライアントまたはcPanelのいずれかを介してアクセスできます。 ダッシュボードから直接アクセスできるYoastによるSEOを含むいくつかのプラグインも利用できます。

.htaccessファイルを使用してサイトを保護するいくつかの方法を次に示します。

wp-config.phpを非表示にする

wp-config.phpファイルはすべてのインストールで標準ですが、セキュリティキーやサイトへのデータベース接続の詳細などの機密情報も含まれています。 これらはあなたが間違いなく悪者の手に渡したくない詳細です。 その場合の最善の解決策は、このファイルを完全に非表示にしてアクセスできないようにすることです。

次のコードを.htaccessファイルに追加して、wp-config.phpファイルを非表示にします。

[コード]
<ファイルwp-config.php>
注文許可、拒否
すべてから否定する
</ファイル>
[/コード]

ディレクトリの閲覧を防ぐ

WordPressがファイル構造を実装する方法により、訪問者はyoursite.com/wp-content/uploadsに移動するだけで、サイトのフォルダーとファイルにアクセスできます。 したがって、攻撃者がこの情報を悪意のある目的で使用する可能性があるため、ディレクトリの閲覧を防止する必要があります。

.htaccessファイルに次の行を追加します。

[コード]
オプションすべて-インデックス
[/コード]

PHPファイルは、ハッカーがこれらのファイルを使用して悪意のあるコードを挿入してサイトに感染する可能性があるため、保護することが非常に重要です。 プラグインとテーマのPHPファイルにアクセスできないようにするには、.htaccessファイルに次のコードを追加します。

[コード]
RewriteCond％{REQUEST_URI}！^ / wp-content / plugins / file / to / exclude \ .php
RewriteCond％{REQUEST_URI}！^ / wp-content / plugins / directory / to / exclude /
RewriteRule wp-content / plugins /（。* \。php）$ – [R = 404、L]
RewriteCond％{REQUEST_URI}！^ / wp-content / themes / file / to / exclude \ .php
RewriteCond％{REQUEST_URI}！^ / wp-content / themes / directory / to / exclude /
RewriteRule wp-content / themes /（。* \。php）$ – [R = 404、L]
[/コード]

これらの変更を.htaccessファイルに追加するだけで、WordPressサイトのセキュリティが向上し、攻撃者がサイトにアクセスするのがさらに困難になります。 とにかく、新しい脆弱性が絶えず発見され、悪用されているため、完全に安全なサイトというものはありません。

そのため、事態が悪化した場合に備えてバックアップ計画を立てる必要があります。

サイトを定期的にバックアップする定期的なバックアップを維持する

いくつの安全対策を講じても、サイトは依然として脆弱である可能性があります。

WordPressは10年以上前から存在していますが、開発チームは常にセキュリティの問題を特定して修正しています。 言うまでもなく、インストールする新しいテーマやプラグインには、まだ修正されていないエクスプロイトが含まれている可能性があります。

そのため、サイトを定期的にバックアップすることをお勧めします。 そうすれば、サイトをすばやく復元し、サイトが攻撃によって破壊された場合の損失を最小限に抑えることができます。

サイトが定期的にバックアップされ、クラウドにも保存されていることを確認する必要があります。 コンピュータが危険にさらされた場合、そのバックアップにアクセスして別のデバイスから復元することができます。 BackupBuddyなどの自動化されたソリューションを使用することをお勧めします。

ほとんどのバックアップソリューションには、有料のサブスクリプションが必要です。 しかし、あなたがあなたのビジネスのためにあなたのウェブサイトに頼っているならば、支払うことは心の安らぎだけのためにそれの価値が十分にあります。 攻撃によりサイトが停止した場合は、ホスティングプロバイダーと協力して、バックアップを使用してサイトを以前のバージョンに簡単に戻すことができます。

結論

WordPress自体は比較的安全ですが、テーマ、プラグイン、カスタムコードを追加すると、ハッカーが悪用できる（そして悪用できる）セキュリティの脆弱性が発生する可能性が高くなります。 現在特定のセキュリティ対策を講じていない限り、サイトが潜在的なターゲットになる可能性があります。

完全に安全なシステムはないことに注意することが重要です。 ただし、悪意のある攻撃の影響を受ける可能性を大幅に減らすための予防策があります。

ここで概説されている手順に従って、WordPressサイトのセキュリティを強化します。