WordPressのログインページを保護する方法は? (ビデオ付き)

公開: 2019-11-14
WordPress login page

最終更新日-2021年7月8日

ウェブサイトのセキュリティは、WordPressサイト所有者の一般的な懸念事項の1つです。 WordPressは安全なプラットフォームですが、サイトは多くの場合、多くのハッキングの試みにさらされています。 一般的に、WordPressの専門家は、セキュリティソリューションを使用して注意することをお勧めします。 ありがたいことに、WordPressエコシステムには、Webサイトの保護に役立つセキュリティソリューションがいくつかあります。 また、マルウェアや攻撃者からサイトを保護するために採用できる戦略がいくつかあります。 これらの方法に従って、サイトが攻撃に対して脆弱でないことを確認することをお勧めします。 この記事では、WordPressのログインページを保護するためのいくつかの戦略について説明します。

安全なユーザー名とパスワードを使用する

WordPressサイトの安全なユーザー名とパスワードが必要です。 これは、ブルートフォース攻撃からサイトを保護するのに役立ちます。 ブルートフォース攻撃は、ハッカーがユーザー名とパスワードのさまざまな組み合わせを絶え間なく試みて、サイトのログインを侵害しようとするケースです。 この場合、デフォルトの「admin」以外のユーザー名を持つことが特に重要です。 管理者をユーザー名として保持している場合、ハッカーはユーザー名を推測する手間を省くことができます。 WordPressのログインページを保護するために実行できる最初のステップの1つは、ユーザー名をadminから別の名前に変更することです。

WordPressログインページ
安全なWordPressログインページを確保するための最初のステップの1つは、強力なユーザー名とパスワードを使用することです。

これで、安全なパスワードを使用する必要があることは一般的な知識になります。 WordPressは、デフォルトでは、弱いパスワードを選択できる場合でも、強力なパスワードを生成します。 専門家は、弱いパスワードを選択しないよう強くアドバイスします。 このために、強力なパスワードの使用を強制する人気のあるセキュリティプラグインの1つを使用できます。 外部ユーザーが多い場合、これはサイトをより安全にするための良いアプローチかもしれません。

追加するユーザーの数を制限する

他のユーザーにサイトのバックエンドへのログインを許可する場合は、注意が必要です。 複数のユーザーがサイトの管理者アクセスを許可されると、サイトはより脆弱になります。 したがって、非常に必要な場合を除いて、これを回避するのが賢明な方法です。 サイトでユーザー生成コンテンツが許可されている場合は、ユーザーロールを作成し、特定の要件に応じて各ユーザーロールの機能を制限できます。

WordPressのユーザーロールとユーザー機能をカスタマイズする方法の詳細をご覧ください。

ログイン試行を制限する

ハッカーが採用する主要な戦略の1つは、ブルートフォースログインの試みです。 これを成功させるには、サイトへのログインを複数回試行する必要があります。 ログインの試行回数を制限することで、このオプションを防ぐことができます。 WordPressエコシステムには、サイトでのログイン試行を制限するのに役立つツールがあります。 この記事の後半で使用できる一般的なセキュリティオプションのいくつかについて説明します。

ログインヒントを無効にする

WordPressのログインページをより安全にするために集中できるもう1つの側面は、WordPressが提供するログインヒントを無効にすることです。 基本的に、間違ったパスワードまたはユーザー名を入力すると、WordPressはどのクレデンシャルが間違っているかを明確に示します。 たとえば、どちらが正しいか、何が正しくないかを示す警告が明確に表示されます。 これにより、攻撃者はユーザー名またはパスワードを正しく推測したことを知ることができます。

以下のコードスニペットを使用して、これらのログインヒントを無効にすることができます。 テーマのfunctions.phpファイルにコードを貼り付けるだけです。
function no_wordpress_errors(){
return 'You have entered the wrong credentials!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

これにより、攻撃者を支援する特定のメッセージではなく、一般的なエラーメッセージが表示されます。

ログインURLをカスタマイズする

別の記事では、ブラウザのログインページにアクセスする方法について説明しました。 さて、これはログインページにアクセスするためのデフォルトの方法であり、おそらくハッカーもそれを見る方法です。 ログインページを非表示にして、ハッカーがセキュリティウォールを破ろうとしても回避するために、ログインページを見つけにくくすることができます。

ログインページとwp-adminディレクトリを保護して、サイトをより安全にする方法があります。 WPS Hide Loginプラグインを使用して、URLページを安全に変更できます。 基本的には、ページリクエストを中断し、ログイン用にカスタマイズされたURLを表示するのに役立ちます。 このURLを提供したサイトユーザーのみがページにアクセスできます。 プラグインを非アクティブ化するだけで、サイトをデフォルトのログインページに戻すことができます。

WordPressログインページ
WPS Hide Loginプラグインは、デフォルトのWordPressログインページを非表示にし、新しいページをカスタマイズするのに役立ちます。

WordPress管理ディレクトリを保護する

WordPressサイトは、基本的に使用するパスワードで保護されています。 専門家によると、WordPress管理ディレクトリをパスワードで保護することで保護オプションを追加できます。 ホスティングサービスのcPanelにログインすることで、これを手動で行うことができます。 ここでは、パスワードで保護してアクセスできるユーザーを作成できるwp-adminディレクトリを見つけることができます。 .htpasswdsファイルを作成して、これを手動で行うこともできます。

SSL証明書を取得する

SSLまたはSecureSocketLayerは、Webサイトに追加のセキュリティオプションを作成します。 サーバーとブラウザ間の通信を暗号化します。 これにより、ハッカーが情報、特にオンライン金融取引にアクセスするのを防ぐことができます。 WebサイトのSSL証明書があると、WordPressのログインページもより安全になります。 ComodoなどのサードパーティプロバイダーからSSLを購入することができます。 または、Let'sEncryptから無料のSSL証明書を取得することもできます。 多くのホスティングサービスは、ホスティングプランの1つを選択すると、共有SSLを無料で提供します。

SSL証明書を取得する利点について詳しくは、こちらをご覧ください。

二要素認証

2要素認証は、ユーザーがサイトにログインしようとしたときに、もう1つのログイン手順を追加します。 基本的に、ユーザーがログインしようとすると、ユーザー名とパスワードとともに、追加の確認コードを入力する必要があります。 この確認コードは、ほとんどが携帯電話である別のデバイスに送信されます。 ユーザーがこの確認コードを入力すると、Webサイトにアクセスできるようになります。

Google Authenticatorは、電話で2段階認証コードを作成します。 同様に、reCAPTCHAは、サイトでのスパムログインを減らすのに役立ちます。

WordPressを定期的に更新する

WordPressサイトの所有者として、WordPressソフトウェアの定期的な更新をすでに見たことがあるかもしれません。 これは、WordPressが新機能を導入し、セキュリティ更新とバグ修正を行う方法です。 あなたのウェブサイトを最新バージョンのWordPressに更新することは本当に重要です。 更新しない場合でも、サイトはすでに処理されている多くの脅威に対して脆弱です。 さらに、最新のアップデートで、新しい機能も利用できるようになります。

サイトで複数のプラグインとカスタマイズされた設定を使用している場合は、新しいアップデートが何も壊していないことを確認してください。 更新スケジュールを設定して、すべてが正常であることを確認できます。 私たちの記事を読んで、WordPressの更新を問題なく管理する方法を理解してください。

セキュリティプラグインを使用する

WordPressのログインページを保護するために、多くの特定の予防策を講じることができます。 ただし、Webサイトのセキュリティを包括的に管理するのに役立つオプションもあります。 WordPressエコシステムには、サイトのセキュリティの複数の側面を処理する多数のソリューションがあります。 これらは、継続的なサイトモニタリング、マルウェア保護、ファイアウォールの提供など、Webサイトの防御を強化するのに役立ちます。

WordPressWebサイトを保護するのに役立つ重要なWordPressセキュリティプラグインのいくつかを見てみましょう。

ジェットパック

Jetpackは、継続的な監視、定期的なバックアップ、および歓迎されない侵入者に対する確実な保護によって、サイトの保護を保証します。 Jetpackの関連機能の一部を次に示します。

  • ブルートフォース攻撃の防止に役立ちます
  • WordPressログインページの安全な認証。
  • マルウェアスキャン
  • サイトのダウンタイムをすみやかに通知します。
  • バックアップは別の場所に保存され、簡単に復元できるオプションがあります。
  • すべてのサイトアクティビティを正確なタイムラインで報告します。
  • コメントフィルター。

ワードフェンス

Wordfenceは、WordPressサイトを全面的に保護するもう1つの人気のあるソリューションです。 以下に示すように、多くの便利な機能があります。

  • サイトへの悪意のあるトラフィックをブロックするWebアプリケーションファイアウォール。
  • 違反の試みをチェックするセキュリティスキャナー。
  • 侵害されたパスワードを特定し、それらのユーザーがログインできないようにします。
  • ライブトラフィックを監視し、認識された脅威をブロックします。
  • 二要素認証
  • ファイルの修復。

MalCare

これは、サイトのパフォーマンスに影響を与えることなく完全なWordPressセキュリティを提供する信頼できるオプションの1つです。 このプラグインを使用すると、マルウェアを即座に削除するためのオプションが見つかります。 注意すべき他の機能のいくつかは次のとおりです。

  • マルウェアのスキャンと削除
  • WordPressファイアウォール
  • WordPressのログインページの保護。
  • セキュリティ強化

この記事がWordPressログインページを保護する方法についての基本的な理解を与えてくれることを願っています。 共有する質問や洞察がある場合は、コメントを残してください。

理解を深めるために、以下のビデオチュートリアルもご覧ください。

参考文献

  • WordPressセキュリティプラグイン
  • 一般的なWordPressログインエラー