WooCommerceサイトを保護する方法(手順+セキュリティツール)

公開: 2021-09-30
how to protect your woocommerce site

WooCommerceストアを通常のWordPressセキュリティ対策以上に保護しますか?

あなたはそうする権利があります。 WooCommerceのセキュリティは、支払いや個人ユーザー情報などの機密データを処理するため、別の球技です。

オンラインストアはハッカーにとって有利なターゲットであり、ほとんどのビジネスオーナーはセキュリティを真剣に受け止めていないため、簡単なターゲットにもなります。 さらに厄介なのは、データ侵害に直面しているオンラインビジネスの60%が6か月以内に廃業することです。

一度ハッキングされると、それは回復への困難で費用のかかる道です。 したがって、前進するための最善の方法は、予防的かつ予防的な対策を講じることです。

このガイドでは、ハッカーが侵入する可能性がないように、WooCommerceWebサイトをあらゆる側面から保護する方法を示します。

WooCommerceは安全ですか?

はい、WooCommerceはeコマースストア向けの安全なプラットフォームです。 それはあなたのウェブサイトとそのデータを安全に保つためにたくさんの組み込みのセキュリティ対策を持っています。 プラグインも専門家のチームによって支えられており、進化し続けるセキュリティ基準を確実に満たすように定期的に保守されています。

ただし、サードパーティのテーマやプラグインの脆弱性、ブルートフォース攻撃、DDoS攻撃など、外部のセキュリティの脅威からユーザーを保護することはできません。 これらのリスクからサイトを保護するには、自分で対策を講じる必要があります。

WooCommerceのセキュリティが非常に重要である理由

すべてのWebサイトは、サイバー脅威とハッキングのリスクに直面しています。 また、すべてのWebサイトは、Webサイトを保護するために十分なセキュリティ対策を講じる必要があります。

そうは言っても、WooCommerceストアがより大きなリスクにさらされている理由のリストがあります。

  • 機密性の高いユーザーデータの処理:顧客は、支払い情報、クレジットカードの詳細、配送先住所、および機密を保持する必要のある個人情報を共有します。 この情報が盗まれた場合、闇市場で販売される可能性があり、顧客はマーケティングスパムや詐欺の被害者になる可能性があります。
  • 重要なビジネスデータ:商品の支払いを収集する際、商品、配送、連絡先などの注文情報を消去したり紛失したりする余裕はありません。 あなたが支払いを受け取り、配達しない場合、顧客はあなたを詐欺としてタグ付けすることができます。
  • 詐欺や詐欺のリスク:ハッカーはサイトを乗っ取って詐欺的な商品を販売し、トラフィックを迂回させ、顧客をだます可能性があります。

お客様は、適切なセキュリティ対策を講じることを期待しています。 企業がデータ侵害に直面すると、顧客との間に築いたすべての信頼と信頼を失います。

結局、あなたは顧客、あなたの評判、そしてあなたのビジネスを失うことになります。 非常に多くの危機に瀕しているため、セキュリティは理想的には最優先事項である必要があります。

WooCommerceのセキュリティがいかに重要であるかがわかったところで、eコマースサイトのセキュリティを確保するために必要な手順を詳しく見ていきましょう。

WooCommerceサイトを安全にするにはどうすればよいですか?

サイバー脅威は絶えず進化しており、ハッカーはWebサイトにすばやく侵入するための新しい方法を見つけています。 したがって、従来のセキュリティ対策では、もはやそれを削減することはできません。

オンラインストアをすぐに保護するための7つのWooCommerceセキュリティのヒントを次に示します。

  1. 評判の良いホストを使用する
  2. 重要なセキュリティツールをアクティブ化する
  3. WooCommerceログインを保護する
  4. 安全なWooCommerceダッシュボード
  5. 安全なチェックアウトフォームを使用する
  6. WooCommerceのテーマとプラグインを管理する
  7. リアルタイムのWooCommerceバックアップを保持する

以下に、これらの対策を実施する方法を詳しく説明します。 また、WooCommerceのセキュリティのために特別な注意を払う必要があることも説明します。

1.評判の良いホストを使用する

あなたのウェブホスティングプロバイダーはあなたのウェブサイトのファイルとデータベースが保存されている場所であるため、最初に始める場所です。

適切なホスティングセキュリティがないと、Webサイト全体がハッカーや一般の人々の目にさらされる可能性があります。

安価なホスティングプランでは数セント硬貨を節約できますが、それだけの価値はありません。 理想的には、WooCommerceに固有のセキュリティ、機能、およびホスティングのニーズを処理するWebホストが必要です。

Bluehostは最高のウェブホスティング会社であり、WordPress.orgによって公式に推奨されています。

bluehost woocommerce plans

Bluehostは、WooCommerceストア向けに設計されたホスティングプランを提供しています。 彼らのWooCommerceプランは月額たったの12.95ドルからです。 無料のドメイン名とSSL証明書も取得できます。 これに加えて、このプランでは、次のことができます。

  • WordPressとWooCommerceがプリインストールされています
  • Storefontテーマがプリインストールされています
  • 完全にカスタマイズ可能なオンラインストア
  • 安全な支払いゲートウェイ
  • フリースピードブーストCDN
  • 毎日の自動マルウェアスキャン
  • 無料の毎日のウェブサイトのバックアップ
  • ダウンタイムの監視
  • ウェブサイトのトラフィック分析

Bluehost WooCommerceプランでは、セキュリティの詳細の多くが処理されます。

さらに、問題なくWooCommerceストアを実行するのに十分な帯域幅とストレージスペースを利用できます。

WooCommerceホスティングの詳細については、市場で入手可能なものを比較するための最高のWooCommerceホスティングプランのまとめをご覧ください。

2. EssentialSecurityToolsをアクティブ化します

ハッカーは常にウェブサイトをハッキングしようと徘徊しています。 彼らは、脆弱なサイトを見つけるために悪意のあるスキャナーとボットをプログラミングすることによってこれを行います。

これに対抗する最善の方法は、マルウェアスキャン、ファイアウォール、およびデータ暗号化を備えたセキュリティツールを使用することです。

1.WordPressセキュリティプラグインを使用する

まず、サイトでセキュリティプラグインをアクティブ化する必要があります。 これらのプラグインは通常、ファイアウォール、マルウェアスキャナー、マルウェアクリーナーを組み合わせたものです。

セキュリティプラグインはたくさんありますが、すべてが必要な保護を提供するわけではありません。 潜在的な脅威がサイトにアクセスする前に、それらを自動的にスキャン、監視、およびブロックするプラグインが必要です。

市場でトップのWooCommerceセキュリティプラグインはSucuriです。

sucuri dashboard

このオールインワンセキュリティプラグインをサイトに追加すると、Sucuriは次のことを行います。

  • 堅牢なファイアウォールを追加して、不正なトラフィックを除外します
  • スパムや悪意のあるコードを定期的にスキャンして監視します
  • 検索エンジンやその他の機関でブラックリストを確認する
  • Webサイトの稼働時間を監視する
  • DNS(ドメインネームシステム)とSSLに加えられた変更を検出する
  • 電子メール、SMS、Slack、RSSを介してインスタントセキュリティアラートを送信します

Sucuriを使用すると、ダッシュボードから推奨されるセキュリティ対策を追加することもできます。

apply and revert hardening

これらの硬化対策は、ワンクリックで適用できます。 これには、必要のないディレクトリ内のPHPファイルをブロックするなどの技術的な手順が含まれます。

Sucuriは堅牢なセキュリティ設定を提供しますが、年間199.99ドルという高額です。 それが予算外の場合は、次のような他のセキュリティプラグインを試すことができます。

  1. iThemesセキュリティ
  2. BulletProofセキュリティ
  3. SiteLock
  4. MalCare

セキュリティプラグインを選択するときは、WooCommerceストアを保護するために必要なすべての機能がプラグインに含まれていることを確認してください。 マルウェアのクリーンアップと回復にははるかに費用がかかるため、投資する価値はあります。

2.SSL証明書をインストールします

WordPress Webサイトは、訪問者がサイトにアクセスするたびに、ブラウザーとサーバー間でデータを転送します。 SSL証明書はこのデータを暗号化するため、ハッカーが転送中にデータを盗むことができた場合、データはぎこちないように見えるため、何もできません。

SSLを有効にすると、ブラウザのアドレスバーのURLの横に南京錠が表示されます。 あなたのウェブサイトはまた、データを転送するための安全なプロトコルであるHTTPSを使用します。

https-padlock-with-ssl

一部のウェブホスティングプロバイダーは、SSLを処理するか、リーズナブルな価格で購入できるようにします。

次のようなプロバイダーからSSL証明書を取得することもできます。

  • Lets Encrypt –無料で予算にやさしい証明書
  • SSL.com –年間36.75ドルからの十分な保護
  • DigiCert –幅広い価格での高セキュリティ証明書

もう1つの良いオプションは、ReallySimpleSSLプラグインを使用することです。 それはあなた自身でSSL証明書をインストールすることを信じられないほど簡単にします。

3.WooCommerceログインを保護します

WooCommerceサイトで最もターゲットを絞っている領域の1つは、ログインページです。 ハッカーはブルートフォース攻撃と呼ばれる方法を使用して、資格情報を推測し、単にログインします。

したがって、これは保護するための最も重要な領域の1つであり、それを行う方法はたくさんあります。

1.常に安全な資格情報を適用する:ハッカーは、「admin」などの一般的なユーザー名や自分の名前をよく知っているため、簡単に推測できます。 一意の管理者名と、文字、数字、記号を含む強力なパスワードを使用して、解読を困難にするようにしてください。

strong password

パスワードを作成すると、WordPressは弱いパスワードの警告を表示します。 強度レベルに従って、強力なパスワードを作成することができます。

2.パスワードを定期的に期限切れにする:どのオンラインアカウントでも、パスワードを定期的に変更する必要があります。 ExpireUserPasswordsのようなプラグインを使用できます。


パスワードの有効期限の例

これにより、サイトのすべてのユーザーは、再度ログインする前に定期的にパスワードを変更するように自動的に強制されます。

ログイン試行の制限:ユーザーが正しい資格情報を入力してログインする必要がある試行回数を制限できます。 これは、ハッカーが先に進む前に3回しか試行できないことを意味します。

Lost password in WordPress

3. 2要素認証を使用する:これにより、ログインに2段階の検証プロセスが追加され、SMS、電子メール、または認証システムアプリを介してリアルタイムで送信されるワンタイムパスコードを提供する必要があります。

2fa-code-sucuri

これにより、ハッカーは自分自身を確認できないため、アクセスするのが非常に困難になります。

4.ログインページへのアクセスを制限する:ログインページを非表示にして、信頼できるユーザーのみにアクセスを許可することができます。 他のすべてのユーザーは、このページの表示を自動的にブロックされます。

Sucuriを使用している場合は、ダッシュボードの[アクセス制御]タブで、ホワイトリストに登録されたIPアドレスを追加できます。

sucuriのホワイトリスト

このチェックボックスをオンにすると、Sucuriは信頼できるユーザーのみにログインページへのアクセスを自動的に許可します。

5. HTTP認証の追加: HTTP認証はログインページを非表示にし、その上にログインボックスがある空白のページを表示します。 ユーザーは、ログインページにアクセスするために、最初にHTTP認証情報を入力する必要があります。


http認証

これをサイトに追加するには、Webホスティングアカウントにログインし、cPanelにアクセスして、 「ディレクトリプライバシー」を見つけます。

ディレクトリのプライバシー

内部で、フォルダーのリストからwp-adminフォルダーを見つけて編集します。

wpadminプライバシーを編集する

次のページで、まず、[このディレクトリをパスワードで保護する]オプションを有効にします。 これで、cPanelはユーザー名とパスワードを追加するように求めます。

ディレクトリにパスワードを追加する

このページを終了する前に、必ず設定を保存してください。 これで、WordPress管理ディレクトリがパスワードで保護されました。

wp-adminページを開くと、作成したユーザー名とパスワードを入力するためのログインプロンプトが表示されます。

4.安全なWooCommerceダッシュボード

これで、永続的なハッカーがWordPress管理パネルにログインできる場合は、ハッカーがそれを使って何かを行うのを困難にすることができます。

彼らが疑わしい活動を実行した場合、セキュリティプラグインはそれをログに記録して警告します。 それとは別に、次のメジャーを追加できます。

1.ユーザーロール権限を適用します

WordPressサイトで複数のユーザーが作業している場合は、ユーザーの役割に応じて、ユーザーが持つ権限を制限できます。

ハッカーがチームメンバーのアカウントを乗っ取ることができた場合、彼らができることは制限されます。

WordPressでは、次の役割を作成できます。

  • スーパー管理者
  • 管理者
  • 編集者
  • 著者
  • 寄稿者
  • サブスクライバー

オールアクセスパスで最も強力な役割は、スーパー管理者と管理者です。 管理者をできるだけ少なくすることをお勧めします。

2.非アクティブユーザーの自動ログアウト

ハッカーが使用するもう1つのトリックは、ブラウジングセッションを乗っ取って、Cookieを盗むことです。 これにより、ユーザーは知らないうちにアクティブなユーザーアカウントを介してサイトにアクセスできます。

これを回避する最善の方法は、非アクティブなユーザーを定期的にログアウトすることです。

多くのセキュリティプラグインにはアイドルセッションログアウト機能があります。または、非アクティブログアウトプラグインを使用できます。

3.プラグインとテーマエディタを無効にします

ハッカーがサイトに侵入した場合、ハッカーはプラグインとテーマエディターを使用して、Webサイトのコードに直接アクセスします。

プラグエディタを無効にする

ほとんどの場合、このエディターは必要ないため、単に無効にすることができます。 Sucuriを使用している場合は、WordPressHardeningメジャーの下をクリックするだけでこのメジャーを追加できます。

自分で無効にするには、WPBeginnerのこのガイドに従うことをお勧めします:WordPress管理パネルからテーマとプラグインエディターを無効にする方法。

5.安全なチェックアウトフォームを使用する

フォームがサイトで送信されると、顧客データがMySQLデータベースに送信されて処理されます。 フォームが保護されていない場合、ハッカーは悪意のあるコードをフォームフィールドに入力する可能性があります。 これによりデータベースに侵入し、サイトがマルウェアに感染します。

安全なWebフォームを使用することで、これが発生しないようにすることができます。 WPFormsは、作成するすべてのフォームにセキュリティが組み込まれている、#1のWordPressフォームビルダーです。

anti spam protection in WPForms

お問い合わせフォームでもチェックアウトフォームでも、スパム対策保護はすでに有効になっています。

また、保護のレイヤーを追加したい場合は、WPFormsを使用してフォームでCAPTCHAを有効にすることができます。

Advanced noCaptcha and Invisible Captcha

ユーザーは、自分が人間であることを証明するために、小さなパズルを解くか、ボックスにチェックマークを付ける必要があります。 これにより、ボットがフォームを送信するのをブロックできます。

6.WooCommerceのテーマとプラグインを管理します

プラグインとテーマはサードパーティの開発者によって作成されているため、信頼できるソフトウェアのみを使用することが重要です。 オンラインストアの所有者として、nullのプラグインやテーマを選択しないでください。 ほとんどの場合、プリインストールされたマルウェアが付属しており、インストールするとすぐにサイトに感染します。

これに加えて、プラグイン、テーマ、さらにはWordPressコアインストールでさえ定期的に更新されます。 それらが利用可能になると、WordPressダッシュボード内に表示されます。

updates in wordpress

更新には通常、バグ修正、新機能、およびソフトウェアの改善が含まれます。 ただし、開発者が脆弱性やセキュリティの問題を発見する場合があります。 彼らはそれらを修正し、ソフトウェアの新しい更新バージョンをリリースします。 これらはセキュリティパッチとして知られています。

アップデートの詳細を表示することで、アップデートにセキュリティパッチが適用されているかどうかを確認できます。

view version details of update

セキュリティアップデートであることがわかった場合は、すぐに実行して最新バージョンにアップデートしてください。 そうすることで、脆弱性によるリスクを回避できます。

security update

更新によってサイトが破損する可能性があることが心配な場合は、ステージングサイトで更新をテストしてから、ライブサイトで実行できます。

7.リアルタイムのWooCommerceバックアップを保持します

バックアップはセーフティネットであり、絶対に不可欠です。 問題が発生した場合は、WordPressバックアップコピーを使用してサイトを復元できます。   WooCommerceストアの場合、無料のバックアップまたはWebホストのバックアップを使用することはお勧めしません。 彼らが提供する機能は単に十分ではありません。

まず、バックアップソリューションはWooCommerceをサポートする必要があります。 WooCommerceデータベーステーブルをバックアップしないツールがいくつかあります。

次に、自動化されたリアルタイムバックアップが必要です。 これにより、すべての新しい注文がすぐに保存されるため、取引情報が失われることはありません。

そして、もう1つ探すべきことは、インクリメンタルテクノロジーです。 これは、毎回バックアップ全体を実行するのではなく、変更のみをバックアップしてバックアップコピーに追加することを意味します。

これにより、バックグラウンドで実行されている大量のバックアッププロセスによって、Webサイトのパフォーマンスと速度が影響を受けることはありません。

それとは別に、ここにあなたが恩恵を受けるいくつかの機能があります:

  • オフサイトストレージ
  • 複数の場所のストレージ
  • 暗号化されたバックアップ
  • 1クリックで復元
  • 独立したダッシュボード

UpdraftPlusは、WordPressサイトに最適なバックアッププラグインです。 ただし、365日間のアーカイブとともにリアルタイムの増分バックアップを提供するバックアッププラグインを使用することをお勧めします。 JetpackBackupsまたはBlogVaultでそれを取得できます。

彼らはWooCommerceサイト専用の計画を持っており、WooCommerceファイルとデータベースが常にバックアップされるようにします。

その他のオプションについては、最高のWordPressバックアッププラグインの比較をご覧ください。

今日はこれですべてです。 この投稿が、WooCommerceサイトを保護するために必要なすべてのものを提供してくれることを願っています。

WooCommerceのセキュリティの詳細については、次のリソースを参照してください。

  • 完全なWordPressセキュリティガイド(初心者向け)
  • 脅威を見つけるための5つの最高のWordPress脆弱性スキャナー
  • WordPressサイトを追跡および監査するための9つの最高のアクティビティログプラグイン

これらの投稿により、脆弱性を封印し、Webサイトを保護する機会が増えるため、安心してストアを運営できます。