WordPressサイトをハッカーから保護する方法

公開: 2021-12-30

WordPressサイトをハッカーから保護する方法は? これがあなた自身が頻繁に尋ねる質問であるなら、あなたは一人ではありません。 WordPressプラットフォームの人気のおかげで、WordPressWebサイトは常に攻撃やハッキングのリスクが高くなっています。 ありがたいことに、 WordPressサイトをハッカーから保護するための信頼できる方法が試されています。 いいえ、サイトに適用するためにWordPressの専門家である必要はありません。

この記事では、WordPressサイトをハッカーから保護するために実行できる14の手順を紹介します。 始めましょう。

WordPressサイトをハッカーから保護する方法は?

Webサイトのサイズやドメインに関係なく、悪意のあるネットをインターネット上で広く拡散する方法を常に探しているハッカーから安全なWebサイトはありません。 自動スクリプトをデプロイしてWordPressサイトを「クロール」し、脆弱性を検出する場合でも、それらを使用してWordPressアカウントにアクセスする場合でも、Webサイトのどの部分もハッカーから安全ではありません。

WordPressをハッカーから保護するということは、基本的に、マルウェア、ブルートフォース攻撃、およびその他の脅威からWebサイトの各部分を保護することを意味します。 私たちが共有しようとしている14の安全対策は、強力な基盤を提供するので、まさにそれを行うことができます。

1.安全なウェブホストを使用する

安全なホスティングサーバーと環境は、WordPressサイトを保護するための重要な要素です。 ホスティング会社が、定期的なバックアップ、ファイアウォール保護、マルウェアスキャンなどのサービスを通じて、ホスティングサイトをハッキングから保護することを優先していることを確認してください。

現在共有ホストでホストされている場合は、安全な環境のより強力な保証を提供するクラウドホストまたはマネージドホストへの移行を検討してください。

2.強力なパスワードを使用する

強力なパスワードは、 WordPressをハッカーから保護し、ブルートフォース攻撃を阻止するための最も簡単な手段です。 推測しやすい「123456」や「password」などのパスワードは絶対に使用しないでください。 代わりに、すべてのパスワードが少なくとも10〜12文字の長さであり、アルファベット、数字、および特殊文字が混在していることを確認してください。

強力なパスワードを使用する

多くのユーザーがいる場合は、1PasswordやLastPassなどのパスワード管理ツールを使用して、ユーザーごとに強力なパスワードを自動的に生成して保存できます。

3. 2要素認証(2FA)を有効にする

強力なログイン資格情報はブルートフォース攻撃を阻止するために常に効果的ですが、2要素認証(または2FA)を使用して、ログインページ保護の追加レイヤーを利用できます。 この方法により、「悪意のある」ユーザーが正しいログイン資格情報を推測できる場合でも、「本物の」ユーザーのデバイスにのみ送信される正しい確認コードを入力する必要があります。

二要素認証

2FAを実装するには、GoogleAuthenticatorなどの2FAプラグインをインストールしてアクティブ化するだけです。

4.ログイン試行を制限する

アカウントエントリの取得を成功させるために、ブルートフォース攻撃は正しいユーザー資格情報の推測を繰り返し試みます。 デフォルトでは、WordPressサイトは無制限のログイン試行を許可します。 ただし、ログインの試行回数を3回または4回に制限することを妨げるものではありません。

ログイン試行を制限する

必要なのは、ログインに何度も失敗した後にCAPTCHA画面を表示するCAPTCHAツールをインストールすることだけです。 このツールは、「人間」のユーザーまたは「ボット」がログインアカウントにアクセスしようとしているかどうかを判断するのにも効果的です。

5.デフォルトのユーザー名「admin」を変更します

使いやすくするために、WordPressは最初にすべての新しいWordPressアカウントにデフォルトの管理者を割り当てます。 この管理者は、WordPress Webサイトをセットアップし、追加のユーザーを作成するための初期段階で役立ちます。 ただし、「admin」ユーザー名を使用すると、セキュリティ上の問題が発生します。

ブルートフォース攻撃を困難にするには、このユーザー名を推測しにくい、より一意のユーザー名に変更します。 最善の方法は、(より強力なユーザー名で)新しい管理者を作成してから、デフォルトの「admin」ユーザーを削除することです。

6.コア、プラグイン、テーマを最新の状態に保つ

WordPressの脆弱性の大部分は、古いCore WordPressバージョン、またはインストールされたプラグインとテーマの結果です。 ハッカーは常に古いソフトウェアバージョンを探しており、それを悪用して有利に利用できます。 ハッカーに対する最善の保護は、WordPressサイトを最新バージョンに更新しておくことです。

WordPressホスティングアカウントから定期的な更新を適用するか、自動更新を有効にすることができます。 サイトを最新の状態に保つことには、追加の利点があります。 ほとんどのWordPressテーマとプラグインの更新には、WordPressWebサイトをより高速かつスムーズにする速度とパフォーマンスの強化が含まれています。

7.ウェブサイトを定期的にバックアップする

WordPressをハッキングから保護できるセキュリティ対策ではありませんが、適切なバックアップと復元の戦略により、ダウンタイムと収益の損失を最小限に抑えることができます。 eコマースサイトを運営している場合、バックアップにより、ダウンタイムや顧客の記録やトランザクションの損失のリスクを回避できます。

コアWebサイトファイルとデータベースの手動Webサイトバックアップを作成できますが、BlogVaultやBackupBuddyなどのWordPressバックアッププラグインを使用すると、バックアッププロセス全体が自動化およびスケジュールされるため、時間を節約できます。 もし、あんたが

8.SSL証明書を追加します

SSL証明書をサイトに追加する場合、基本的にWebサイトをあまり好まれていないHTTPプロトコルからSecure HTTP(またはHTTPS)プロトコルに移行します。 HTTPSは、ユーザーの安全のために、ウェブサイトとユーザーの間で送信されるすべてのデータを暗号化します。

HTTPSとSSL

どうすればHTTPSに移行できますか? SSL証明書を追加します。これは、Webホスティング会社から、またはLet'sEncryptなどのSSLプラグインを使用して取得できます。

9.ファイル編集を無効にする

WordPressファイルエディタを使用すると、ハッカーはWebサイトを制御し、サイトで「有害な」PHPコードを実行できます。 これは、管理者アカウントが侵害された場合のセキュリティ上の脅威となる可能性があります。 最善の解決策は、WordPressシステムのwp-config.phpファイルに次のコードを追加してファイル編集を無効にすることです。

 define( 'DISALLOW_FILE_EDIT', true );

10.サイトアクセスとユーザーの役割を制限する

すべてのユーザーが無制限にWebサイトにアクセスできることは、特に管理者ダッシュボードにとって、WordPressの大きなリスクとなる可能性があります。 良い点は、ユーザーの役割に基づいて、選択したWebページへのアクセスを制限できることです。 これを行うには、「Restrict Content Pro」プラグインをインストールし、ユーザーアクセスを制限するページを構成する必要があります。

11.ディレクトリブラウジングを無効にする

ハッカーは、WordPressディレクトリブラウジング機能を使用して、脆弱性のある可能性のあるファイルを見つけます。 さらに、この機能を使用して、WordPressファイルをコピーしたり、フォルダー構造について詳しく調べたりすることができます。 最善の解決策は、ディレクトリの参照を無効にして、ハッカーが悪用しないようにすることです。 これを行うには、インストールフォルダの.htaccessファイルの最後に次のコード行を追加します。

オプション-インデックス

12.PHPの実行を無効にします。

彼らの側では、ハッカーはマルウェアコードを挿入し、PHPファイルを使用してそれらを実行することができます。 PHPファイルの実行を無効にすることで、WordPressサイトのセキュリティを向上させることができます。 PHPの実行を無効にするには、WordPressインストールの「uploads」フォルダーにある.htaccessファイルを開き、次のコードを追加します。

 <Files *.php> deny from all </Files>

13.WordPressセキュリティプラグインを使用する

これまでに概説した手順は、既知の脅威からユーザーを保護する上で優れた役割を果たしますが、ハッカーとその革新的な方法についていくのは難しい場合があります。 まだ知られていない、まれな攻撃、または複数の種類のマルウェアからWebサイトを保護する最も効果的な方法の1つは、セキュリティのために専用のWordPressプラグインに投資することです。

MalCareやWordfenceなどのWordPressセキュリティプラグインは、あまり知られていないマルウェアを検出でき、マルウェアスキャンプロセス全体をスケジュールして自動化できます。 MalCareにはワンクリックのマルウェア除去プロセスもあるため、サイトをクリーンアップするために外部のテクニカルサポートに依存する必要はありません。

マルケア

14.WordPressファイアウォールを有効にする

WordPressサイトをハッカーから保護する別の簡単な方法がある場合、それは彼らがあなたのサイトに到達するのを困難にすることです。 ファイアウォールは、ハッカーによる「疑わしい」IP要求に対する最後の防衛線として機能します。 それは、人々があなたの家やオフィスに入ることを許可またはブロックする警備員のように機能します。

ファイアウェル

ファイアウォールは「良い」IPアドレスと「悪い」IPアドレスの両方を追跡し、ファイアウォールからの要求を自動的に許可またはブロックします。

MalCareやSucuriなどのほとんどのセキュリティプラグインには、すべての悪意のあるトラフィックをブロックするファイアウォールが組み込まれています。

WordPressサイトをハッカーから保護する必要があるのはなぜですか?

WordPressサイトをハッカーから保護する方法を知ることは、後で延期することはできなくなりました。 ハッキングがWebプレゼンスやSEOランキング以上に影響を与えるという理由だけで。 マルウェアやブルートフォース攻撃が成功すると、たとえ数時間であっても、収益に深刻なダメージを与え、ブランドの権威を損なう可能性があります。

攻撃の種類に応じて、WordPressのハッキングは以下の一部またはすべてを引き起こす可能性があります。

  • 有害な「ポップアップ」広告によるWebサイトのホームページの完全な改ざん
  • あなたのウェブサイトがスパムキーワードでランク付けされる可能性のあるSEOの取り組みの悪用
  • 偽造品や禁止医薬品を販売している他の迷惑なウェブサイトにリダイレクトされる訪問者
  • 本物のビジネス用メールアドレスを使用して顧客に送信されるスパムまたは「フィッシング」メール
  • 貴重な顧客記録、金融取引の詳細、およびその他の機密データの損失につながるデータ侵害

この記事がヒントと戦略に役立ち、WordPressサイトをマルウェアやハッキングから保護する方法を正確に理解できることを願っています。

これまでに説明した14のセキュリティ対策についてどう思いますか? このリストに追加するものはありますか? コメントで教えてください。

サースランド