WPWebサイトをサイバー攻撃に対して脆弱にする一般的な間違い

おめでとう！ あなたはあなたのWordPressウェブサイトをまとめました、それは素晴らしく見えます、そしてあなたは立ち上げる準備ができています。 ただし、あなたがしなければならない最も重要なことの1つは、あなたのWebサイトがサイバー犯罪者に対して完全に安全であることを確認することです。 WPWebサイトをサイバー攻撃に対して脆弱にする間違いについて詳しく知るために読んでください。

あなたがほとんどのウェブサイトの所有者のようであるならば、あなたはデザインとコンテンツに多くの考えを入れました。 しかし、セキュリティについてどの程度考慮しましたか？

私たちのほとんどは、より厳格なサイバーセキュリティの必要性を認識していますが、あまりにも多くの人が、トラフィックとWebサイト自体を攻撃の危険にさらす一般的な間違いを見落としています。

あなたを驚かせるかもしれないWordPressのセキュリティ統計

WordPressは、これまでで最も人気のあるCRMおよびWebサイトビルダーであり、ホワイトハウスのWebサイト、ニューヨークタイムズ、その他の有名企業を含む、インターネット上でアクティブなすべてのWebサイトの3分の1以上を支えています。

残念ながら、それはハッカーやサイバークリープのより大きな標的にもなります。

最大の脆弱性は、選択したホスティングサービスの種類（ 46％ ）と機能を追加するために使用するプラグイン（ 52％ ）に起因します。 現在、WPディレクトリには55,000を超えるプラグインがありますが、開発者によって更新されたプラグインは3％未満です。 半数以上にユーザーレビューがありません。

もう1つの懸念事項は、これらのWebサイトがどのように攻撃されるかです。

インターネットに対するすべての悪意のある攻撃のうち、 86％はクロスサイトスクリプティング（XXS）のエクスプロイトによるものであり、そのうち39％はWPを利用したサイトに対するものです。 古いバージョンのWPを使用することは、すべての攻撃の41％​​の根本にありました。 時代遅れまたはサポートされていないテーマがサイバー攻撃の11％の原因でした。

WordPressサイトの所有者として直面するであろう主な脅威と、それらを回避する方法について詳しく見ていきましょう。

5つの一般的なWordPressセキュリティの脆弱性

そこにはおそらく何千ものリスクがありますが、多くは同じテーマのバリエーションです。 たとえば、ソーシャルエンジニアリングのエクスプロイトは非常に一般的ですが、スピアフィッシングやフィッシングなどのエンジニアリング攻撃は、ターゲットとアプローチが異なります。 1つは特定の人々または企業を標的とし、もう1つはより広範囲にわたる一般的な攻撃です。

これらは、経験の浅いWebサイトの所有者がサイトの安全性を低下させるために行う主なことです。

ログインページを保護しない

最も一般的な攻撃は、正面玄関から侵入するブルートフォース攻撃です。 パスワードで保護されていると思うかもしれませんが、ログイン時に他の脆弱性を見落としています。

まず、デフォルトのユーザー名「admin」を削除し、覚えやすいが他の人には推測しにくいものに置き換えます。

次に、パスワードジェネレータを使用して、非常に安全なパスワードを作成し、少なくとも月に1回は変更します。 ログインに2要素認証を使用し、2回の試行が失敗した後にロックするようにログインインターフェイスを構成することもできます。

不適切な役割の割り当て

あなたがあなたの手に多くの時間を持っているソロの専門家またはブロガーでない限り、あなたのウェブサイトにアクセスできる他の人がいる可能性が高いです。 開発者は、変更を承認したりコンテンツを更新したりするために、クライアントに権限を付与する必要もあります。

特定の役割を誰に割り当てるか、およびどの程度のアクセスを許可するかに注意してください。 たとえば、編集者はコーディングやほとんどのデータベースにアクセスする必要はありませんが、管理者はアクセスできます。 各タイプのユーザーとアクセスレベルの役割は、ダッシュボードからカスタマイズできます。 サイドバーメニューの「ユーザー」をクリックするだけで、適切な場所に移動します。

サポートされていない、または古いテーマとプラグインの使用

私たち全員がさまざまなテーマやプラグインを試して、それらがどのように表示され機能するかを確認しましたが、Webサイトで機能しないと判断した場合にのみそれらを破棄しました。 テーマまたはプラグインを使用しなくなった場合は、単に無効にするのではなく、削除してください。 古いまたは未使用のテーマとプラグインは、ハッカーが探していないときに侵入する非常に一般的な方法です。

WordPressは、一部のソフトウェアまたはアプリで利用可能なアップデートがあるかどうかを通知するのに非常に優れているため、ダッシュボードを確認するためだけに毎日ログインしてください。 IPアドレスとヘッダーまたはフッターからバージョン番号を削除します。 ハッカーは既知の脆弱性を追跡し、悪用する古いバージョンを探します。

適切なセキュリティ機能の使用の失敗

最も基本的には、セキュリティにはウイルス対策ソフトウェアとSSL認証を含める必要があります。 しかし、セキュリティ機能はそれだけではありません。 最高のWPプラグインのいくつかは、SPAM（Akismet）およびマルウェアに対する追加の保護を提供します。 また、 Succuri Site Checkなどのサービスを使用して、悪意のあるアプリ、アクティビティ、およびコードについてWebサイトを評価することもできます。

お金を節約しようとしています

不必要にお金を使うのが好きな人はいません。 しかし、あなたが支払うものを手に入れるということわざは、ある理由で一般的になっています。 スタートアップと成長のための資金調達は、ほとんどすべての企業にとって問題ですが、どこでどのように節約するかについては慎重に考えてください。

Webセキュリティは無駄にする場所ではありません。

*サポートやその他のカスタマーサービス特典を提供する既知の開発者から信頼できるテーマとプラグインを選択してください。

*無料のホスティングサービスではなく、追加のセキュリティと保証された稼働時間を提供する予算にやさしいプロバイダーを選択してください。 それらはたくさんあります。 これにより、外部からの攻撃のリスクが軽減されるだけでなく、稼働時間と速度も向上します。

あなた自身とあなたの訪問者を保護します

平均的な人は、サービスプロバイダーを選択し、場合によってはウイルス対策保護をインストールする以外に、インターネットの使用についてほとんど決定を下しません。 もう少し心配している人は、自分のIDを保護し、サーフィンアクティビティをマスクするために、仮想プライベートネットワーク（VPN）をインストールすることもできます。

彼らは、セキュリティを念頭に置いて情報とデザインを保護するために、開発者、デザイナー、およびWebサイトの所有者を頼りにしています。

ビルドまたはアップグレードのすべてのステップでWebサイトのセキュリティのベストプラクティスを念頭に置くことで、彼らの期待に応えることができます。

信頼できる開発者からの安全なコードとプラグインを使用していることを確認してください。 アップデートが利用可能になり次第、インストールします。 可能であれば、マネージドWPホスティングを提供するホスティングサービスを選択してください。 彼らは彼らの側でセキュリティの面倒を見ます、そして多くはあなたのドメインを保護するために無料のSSL認証も含みます。 アップデートを自動インストールする機能がある場合は、それを使用してください。

ホスティングサービスがバックアップを提供する場合は、それらを使用してください。 また、クラッシュや侵害が発生した場合の復元ポリシー、手順、およびデータへのアクセスについても質問する必要があります。 安全のために、バックアップとサイトの復元のための独自の手順を用意する必要があります。

最終的な考え

ウェブサイトのセキュリティは、ホスティングサービスの選択から選択したテーマまですべての影響を受けます。 上記の推奨事項に従うことで、サイバー攻撃のリスクを軽減しながら、訪問者に比較的手間のかからない楽しい体験を提供できます。 それが最終的には本当にすべてです。

最近、Webサイトのセキュリティを評価しましたか？