WooCommerceWebサイトを保護するためのガイド

公開: 2021-04-13

woocommerceウェブサイトの保護
WooCommerceは、オンラインストアを構築するための最も人気のある無料の柔軟なeコマースソリューションの1つです。 ダウンロード数は4800万回を超え、すべてのeコマースサイトの28%以上に電力を供給しています。

この絶大な人気により、WooCommerceはハッカーやその他のサイバー詐欺師の主要な標的の1つになっています。 WooCommerceストアを運営している場合、またはストアの構築を計画している場合は、ストアを安全に保つためにストアでできることを知りたいと思うかもしれません。

WooCommerceとWordPressにはセキュリティ機能が組み込まれていますが、いくつかの基本的なセキュリティ対策を実践すると、WooCommerceストアにセキュリティの層が追加されます。

この記事では、WooCommerceの顧客に店舗での安全で安全なショッピング環境を提供するために、Webサイトに適用できる重要で最も効果的なセキュリティのヒントをいくつか紹介します。

それらが何であるか、そしてそれらがどのように機能するかを調べましょう。

信頼できるホスティングプロバイダーを選択してください
信頼性が高く安全なホスティングプロバイダーを選択することは、WooCommerceストアのセキュリティを確保するための最初のステップです。 セキュリティは、ホスティングプロバイダーで探す必要がある重要なことの1つである必要があります。

以下のチェックリストを利用して、潜在的なホストがホストするWebサイトのセキュリティをどのように処理するかを理解できます。

ネットワーク監視–継続的な監視により、疑わしいトラフィックやインシデントを監視し、攻撃を早期に防ぐことができます。
ウイルス対策とマルウェアのスキャン
安全なFTP–ホスティングプロバイダーがFTPの安全なバージョンであるSFTPをサポートしていることを確認してください。
強力なパスワードを使用する

パスワードが弱いアカウントは、ブルートフォース攻撃の犠牲になることがよくあります。 これにより、WooCommerceストアに関連付けられているすべてのアカウントに強力なパスワードを選択することが重要になります。

より強力なパスワードは、大文字、小文字、数字、記号の組み合わせです。 このような複雑で長いパスワードは、ハッカーがパスワードを解読するのを困難にします。

安全なパスワードの作成に時間をかけたくない場合は、WordPressに「BetterPasswords」という組み込み機能があり、ユーザーに強力なパスワードを生成します。 Chromeセキュアパスワードジェネレータを使用して、パスワードを作成および管理することもできます。

ユーザー名として「Admin」を使用しないでください
ほとんどのWebサイトは、ユーザー名とパスワードの組み合わせに従ってWebサイトにログインします。 また、多くのWooCommerce所有者は、アカウントのユーザー名としてAdminまたはストア名を使用しています。 これにより、Webサイトは、サイトに対する完全な権限を持つ管理者アカウントを標的とするため、攻撃に対して脆弱になります。

したがって、管理者ユーザー名として「admin」を使用しないことをお勧めします。 WordPressダッシュボードで[ユーザー]> [新規追加]に移動して、WordPress管理者名を変更できます。
ユーザーを追加する
必要なすべての詳細を入力し、一意のユーザー名を選択します。 次に、新しいアカウントを作成し、使用可能なWordPressユーザーロールから「管理者」を選択します。
新しいユーザーロールを選択してください
[新しいユーザー追加]ボタンをクリックします。

次に、wp-adminからログアウトし、新しく作成したアカウントでログインする必要があります。 以前の「admin」ユーザーアカウントは削除できます。

二要素認証(2FA)を有効にする
二要素認証の実装は、WooCommerceストアを保護するためのもう1つの大きなステップです。
WooCommerceストアでこの機能を有効にすると、WordPressダッシュボードにログインしようとする人は誰でも、リアルタイムで生成される安全なパスワードだけでなく、クレデンシャルも提供する必要があります。 これは、携帯電話番号または電子メールIDに送信されるワンタイムパスワードである可能性があります。

このメカニズムは、許可されていない個人がパスワードを持っていてもWebサイトにアクセスするのを防ぎます。 この手順の唯一の欠点は、ストアへのログインに時間がかかることです。

SSL(Secure Socket Layer)証明書を追加する
ほとんどのWebサイトのURLには、プレフィックスとしてHTTPSが含まれています。 しかし、プレフィックスとしてHTTPを使用している、またはアドレスバーに安全でないことを示しているWebサイトのURLがいくつかありますが、これはどういう意味ですか?
スクリーンショット
これらのWebサイトには、SSL証明書がインストールされていないため、安全ではないと見なされます。 WebサイトにSSLを追加すると、そのURLプレフィックスがHTTPからHTTPSに変更されます。 安全なバージョン。

SSLは、ユーザーのブラウザとWooCommerceストア間でデータを安全に送信するために重要です。 ほとんどのホストは、パッケージで無料のSSLを提供しています。または、SSLを購入して、WordPressプラグインを使用してWebサイトに追加することもできます。

SSL証明書なしでWooCommerceストアを実行すると、ビジネスにさまざまな影響を与える可能性があります。 まず第一に、人々は取引を行うために彼らの支払い情報であなたのウェブサイトを信頼しないでしょう、そしてグーグルはあなたのウェブサイトをトップの結果のためにランク付けしません。

ログイン試行を制限する
これはブルートフォース攻撃に対する重要な防止メカニズムであり、ハッカーがWebサイトに侵入するために使用する最も一般的な方法の1つです。

この種の攻撃は、ボットが1秒間に何千もの組み合わせを試すことができるため、ボットによって実行された場合、成功する可能性が非常に高くなります。 作成した強力なパスワードでさえ、そのような攻撃に耐えられない可能性があります。

したがって、このような攻撃を回避する最善の方法は、Webサイトのログインページで失敗したログイン試行を制限することです。 WordPressのデフォルト設定では、ユーザーは何度でもログインできるため、WooCommerceストアでこれを有効にする他の方法を探す必要があります。

WebアプリケーションファイアウォールまたはWordPressプラグインのいずれかを使用して、Webサイトの限定的なログイン試行を構成できます。

サイトを最新の状態に保つ
WordPressとWooCommerceは、以前のバージョンのセキュリティ問題を解決し、新しい機能を追加するために、頻繁に更新を展開しています。 WooCommerceはWordPress上に構築されているため、特定のWooCommerceサイトは、WordPressのインストール自体とまったく同じくらい安全です。 これは、新しいアップデートがリリースされたときにWordPressのバージョンをアップデートする必要があることを示しています。

現在WordPress4.3.xを実行していて、4.4バージョンがリリースされている場合は、新しいバージョンに更新する必要はありません。 一方、4.4.2がリリースされた場合、最後の数字「2」はセキュリティ更新であることを示しているため、できるだけ早くこのバージョンに更新する必要があります。

更新プロセスを開始する前に、更新で問題が発生した場合に備えて、Webサイトのデータのバックアップを作成することをお勧めします。 また、最初にステージングサイトでメジャーアップデートをテストすることもベストプラクティスです。

したがって、全体として、WooCommerceストアを適切に更新しておくことは、安全を維持する上で大いに役立ちます。

定期的なWooCommerceバックアップを実行する
通常のWebサイトとは異なり、WooCommerceストアのデータが失われると、顧客データや注文データなどが含まれ、Webサイトの収益に大きな影響を与えるため、壊滅的な影響を与える可能性があります。

したがって、貴重なWooCommerceデータをすべて失うリスクを回避するために、ストアのバックアップを保持する必要があります。 Webサイトのバックアップは3つの異なる方法で作成できます。 手動バックアップ、プラグインによる自動バックアップ、およびホストによるバックアップ。

バックアップを作成するのに快適な方法を選択できます。 プラグインの使用を計画している場合、UpdraftPlusは複数の保存場所を提供し、無料バージョン自体でスケジュールされたバックアップを可能にするため、最適な選択肢です。

Webアプリケーションファイアウォールを有効にする
Webアプリケーションファイアウォールを実行すると、悪意のあるトラフィックがWebサイトに到達する前にサイトを保護するのに役立ちます。 ファイアウォールには2つのタイプがあります。 DNSレベルのWebサイトファイアウォールとアプリケーションレベルのファイアウォール。 WordPressプラグインのいずれかを使用して、Webサイトにファイアウォールを追加できます。

Wordfenceプラグインは、Webサイトにファイアウォールを追加するための優れたオプションです。 構成ファイルをダウンロードして130万のサイトからデータベースの資格情報を収集することを目的とした最近の攻撃キャンペーンは、Wordfenceの無料バージョンまたはプレミアムバージョンで実行されているWebサイトによって効果的にブロックされました。

WooCommerceストアを標的とするあらゆる種類の攻撃から保護したい場合は、ファイアウォールがWebサイトに必須です。

プラグインとテーマを賢く選択してください
検出されないプラグインとテーマの脆弱性は、攻撃者がWebサイトに侵入し、損害を与える可能性があります。 したがって、定期的に更新されるプラグインとテーマのみを選択するように注意する必要があります。 無料版はプレミアム版ほど頻繁には更新されない可能性があるため、更新とサポートを確実にするためにプレミアム版を使用することをお勧めします。

ただし、それが不可能な場合は、ウェブサイト上のすべてのプラグインとテーマが頻繁に更新されていることを確認し、WordPressプラグインリポジトリから削除されたプラグインをできるだけ早く非アクティブ化して削除してください。

安全なデータベースパスワードを使用し、データベースプレフィックスを変更する
上記のように、Webサイトデータベースを標的とした攻撃も増加しており、MySQLデータベースのパスワードとユーザー名を保護する必要があります。 あなたのウェブサイトのデータベースがより強いものと交換するよりも弱いパスワードを持っていると思うなら。

WordPressはデフォルトでWordPressデータベース内のすべてのテーブルのプレフィックスとしてwp_を使用するため、データベースのプレフィックスも変更する必要があります。これにより、攻撃に対して脆弱になります(ハッカーがテーブル名を推測しやすくなるため)。

セキュリティプラグインを使用する
ストアのすべてのセキュリティ要件を手動で処理できない場合は、サイトにセキュリティプラグインを追加して、サイトを安全に保つためのすべてのタスクを処理できるようにすることができます。 ほとんどのセキュリティプラグインには、Webアプリケーションファイアウォール、マルウェアスキャナー、サイトセキュリティアクティビティの監査、ログイン試行の制限、ブラックリストの監視など、いくつかの重要な機能が備わっています。

WordPress-WooCommerceWebサイトで最も人気のあるセキュリティプラグインのいくつかを次に示します。

ワードフェンス
スクリ
オールインワンWPセキュリティ
iThemesセキュリティ

これらのプラグインはすべて、無料バージョンとプレミアムバージョンの両方が付属しています。 要件とプラグイン機能に基づいて、無料バージョンまたはプレミアムバージョンのいずれかを選択できます。

最小特権の原則を実践する
最小特権原則は、すべてのユーザーがその機能を実行するために必要な最低限の特権のみを持つべきであるという考えです。 これにより、ユーザー権限の誤用がなくなり、攻撃が発生した場合の被害が軽減されます。

また、システムを使用する必要がない場合はシステムからログアウトし、ストアに関連付けられたアカウントにログインしている間は、電子メールやチャットなどのリンクをクリックしないようにすることをお勧めします。

ピングバックとトラックバックを無効にする
ピングバックとトラックバックは、あなたがそれらにリンクしたブログに警告するための方法です。 ただし、WooCommerceストアでは無効にすることをお勧めします。これにより、Webサイトが大量のスパムを受信する可能性があります。

WordPressダッシュボードから[設定]> [ディスカッション]に移動して機能の選択を解除することで、Webサイトでこれを簡単に無効にできます。

安全な支払いゲートウェイを使用する
支払いゲートウェイは、WooCommerceストアの不可欠な部分です。 あなたとあなたの顧客の両方のデータのセキュリティを確保するために、あなたの店に最も安全な支払いゲートウェイを追加することは非常に重要です。 Stripe、PayPal、Authorize.netなどは、安全な支払いゲートウェイのための優れたオプションです。

概要
この記事には、WooCommerceストアを安全に保つために試すことができる15の重要で最も効果的な方法がリストされています。 それぞれを簡単に見てみましょう。

  • 信頼できるホスティングプロバイダーを選択してください
  • 強力なパスワードを使用する
  • ユーザー名としてadminを使用しないでください
  • 二要素認証を有効にする
  • SSL(Secure Socket Layer)証明書を追加する
  • ログイン試行を制限する
  • あなたのウェブサイトを最新の状態に保つ
  • 定期的なバックアップを実行する
  • Webアプリケーションファイアウォールを有効にする
  • プラグインとテーマを賢く選択する
  • 安全なデータベースパスワードを使用し、データベースプレフィックスを変更します
  • セキュリティプラグインを使用する
  • 最小特権の実践原則
  • ピングバックとトラックバックを無効にする
  • 安全な支払いゲートウェイを使用する

WooCommerceストアを保護するためのより良い提案がある場合は、コメントセクションで共有し、すべてのWooCommerceストアのセキュリティを強化してください。