WordPressのセキュリティ:脅威を特定して排除する方法

公開: 2018-05-11

「攻撃には小さすぎる」や「財務報告などの機密データを処理しない」などの言い訳は、もはや関係ありません。 サイズに関係なく、すべてのWebサイトは脆弱であり、ハッカーの罠に陥る可能性があることが繰り返し証明されています。

あなたが専門的にあなたのウェブサイトにアプローチするならば、あなたはWordPressのためのセキュリティのベストプラクティスに注意を払うべきです。 WordPressサイトをハッカーやマルウェアから保護するためのヒントの完全なリストを共有します。

Webサイトの所有者は、コーディング方法がわからず、複雑な問題に巻き込まれたくない場合でも、WordPressのセキュリティを向上させることができます。

ステップバイステップの説明を用意し、資料を歩くときに問題が発生しないようにナビゲーションを作成しました。 あなたはすぐにテキストの正しい断片にたどり着くことができます、そしてあなたのウェブサイトを読むことの終わりまでにあなたのウェブサイトはウェブ上のほとんどのリソースよりはるかに安全になります。

なぜセキュリティが重要なのですか?

ハッキングされたWordPressサイトは、ビジネスと評判に深刻なダメージを与える可能性があります。 ハッカーは、ユーザー情報やパスワードを盗んだり、マルウェアをインストールしたり、トロイの木馬をユーザーに配布したりする可能性があります。

2017年、Googleは、5,500万人以上のユーザーがマルウェアを使用してWebサイトにアクセスすることについて警告を受けたと報告しました。 Googleは毎週、20,000を超える悪意のあるプログラムのリストを作成しています。

あなたのサイトがあなたのビジネスであるならば、あなたはそのセキュリティにもっと注意を払わなければなりません。 侵入者からリソースを保護する責任があるのはあなただけです。 WordPressのセキュリティコーデックスで述べられているように、「基本的に、セキュリティは完全に安全なシステムではありません。 そのようなことは、実際的ではないか、見つけたり維持したりすることが不可能かもしれません。 ただし、セキュリティとは、リスクの排除ではなく、リスクの軽減です。 それは、合理的な範囲内で利用可能なすべての適切なコントロールを採用することであり、自分自身を標的にして、その後ハッキングされる可能性を減らすことによって、全体的な姿勢を改善することができます。」

時間をかけて次のベストプラクティスを実行し、最新のWordPressソフトウェアの使用、強力なクレデンシャルポリシー、セキュリティに重点を置いたシステム管理など、業界で実績のあるWordPressセキュリティ戦略を確認してください。

脆弱性の種類

WordPressの一般的な脆弱性は、テーマのセキュリティの低さ、サーバー、データベース、ファイルのアクセス許可、FTP、およびwp-admin、wp-config、wp-includesなどの特定のファイルコンポーネントの脆弱性です。 彼らは最も攻撃を受けやすいです。

多くのハッキング事件は、侵入者がWordPressセキュリティサービスで保護されていないリンクを利用することがいかに簡単であるかを示しています。 1つの脆弱性により、Webサイトが数千の攻撃にさらされる可能性があります。 たとえば、2月初旬、サイバー犯罪者は大規模なキャンペーンを開始し、侵害されたWordPressサイトが一連のエクスプロイトを使用して訪問者をドメインにリダイレクトしました

エクスプロイトは、WordPressサイトの抜け穴を使用して、ハッカーがシステムをハッキングできるようにするコードです。 言い換えれば、それはあなたのウェブサイト上の保護されていない要素を探してそれらを攻撃するソフトウェアです。

エクスプロイトは、リソースのセキュリティに適切な注意を払っていないプログラマーのエラーの結果として形成されます。 エクスプロイトが発見されたら、この脆弱性を取り除くパッチを作成する必要があります。

別の一連の攻撃では、ハッカーがXML-RPCファイルの脆弱性を悪用しました。

XML-RPCは、XMLを使用して呼び出しをエンコードし、HTTPを使用して要求または注文をWebサイトにリモートで送信するリモートプロシージャコール(RPC)プロトコルです。 ハッカーにリソースをハッキングする追加の機会を与えたくない場合は、単にそれを削除することができます。 必要に応じて、復元できます。

SQLインジェクションは、ハッカーが特別なSQL要求をWebサイトに送信するときに、ファイアウォールをバイパスしてデータベースを攻撃する最も一般的な方法です。 これらのコードインジェクションにより、リソースから悪意のあるサイトや詐欺サイトにリンクできる新しい管理者アカウントが作成される可能性があります。

SQLインジェクションを防ぐ方法は?

エラーメッセージは、主にWebサイトに関する機密情報を取得するために使用されます。 したがって、それらを無効にするか、カスタムエラーメッセージを作成する必要があります。 WordPress開発サービスのサイバーセキュリティ専門家は、すべての機密情報とパスワードにSHA1またはSHA暗号化を使用する必要があると述べています。 付与されるアクセス許可の数を制限すると、そのような悪意のある攻撃の可能性が低くなります。

ブルートフォース攻撃

ブルートフォース攻撃は、試行錯誤の方法でログインとパスワードの正しい組み合わせを取得しようとする試みで構成されます。 これは、ハッカーがログインにアクセスしようとする最も簡単な方法です。 この種の攻撃はさまざまな方法で実行でき、それぞれの方法でログインとパスワードの組み合わせを繰り返し推測しようとします。 WordPressへのログイン試行回数に制限がないため、ボットが使用する一般的な戦術です。 攻撃が成功した場合、Webサイトやビジネスの機密情報が危険にさらされる可能性があります。 失敗した場合でも、システムが過負荷になる可能性があります。

ブルートフォース攻撃に対処する方法は?

最善の方法は、無制限のログイン試行を排除するロックポリシーをアクティブにすることです。 アカウントが一定期間ロックされている場合にも、プログレッシブ遅延を使用できます。 Captchaなどのツールが役立ちますが、これはWebサイトの使いやすさに影響します。 これらのタイプの攻撃に対抗するための複雑なパスワードを作成することも役立ちます。

クロスサイトスクリプティング

WordPressのすべてのセキュリティ侵害のほぼ84%は、クロスサイトスクリプティングまたはXSS攻撃です。 このタイプの脆弱性は、ほとんどの場合、WordPressプラグインに見られます。 ここでは、侵入者がWebアプリケーションを使用して、悪意のあるスクリプトやコードを安全で信頼できるサイトに送信します。 その結果、悪意のあるJavaScriptファイルがWebページにダウンロードされ、機密情報を盗むために使用されます。

クロスサイトスクリプティングを防ぐ方法は?

XSS攻撃を防ぐには、いくつかの方法があります。

  1. 信頼できないデータがHTMLドキュメントにアクセスすることを許可しないでください。
  2. SanitizationAPIWordPressとEscapingAPIWordPressを使用します(機密情報を保護し、公開しないようにするためのコードクリーンアップ機能-たとえば、ブラウザーのリンクアドレス行に)。
  3. 信頼できないデータをURL要求文字列に入力する前に、それがURLにエンコードされていることを確認してください。
  4. 信頼性の低いデータをHTMLページに配置する前に、コード構文を置き換えて、データがHTMLでエンコードされていることを確認してください。

WebサーバーとOSの攻撃

また、Webサーバーとオペレーティングシステムには特定のセキュリティの脆弱性があります。 このようなセキュリティの脅威は、OpenSSLにエラーが記録されたときに作成されます。これにより、ハッカーはデータベースや機密情報にアクセスできるようになります。 この深刻な脆弱性は、すべてのWebサイトのほぼ3分の2に影響を及ぼします。

Webサーバーへの攻撃を防ぐ方法は?

  1. OpenSSLソフトウェアで定期的なセキュリティチェックを実行します。
  2. サーバー側の検証を実行します。
  3. 外部からの入力を信用しないでください。
  4. IPSとファイアウォールのシグニチャを更新し、Heartbleedシグニチャを有効にします。
  5. 既存のSSL証明書をキャンセルして、新しい証明書を作成します。
  6. 古いキーで新しい証明書を作成しないでください。

悪意のあるプログラムは、システムを破壊して損傷したり、データベースにアクセスしたりするように設計されています。 このようなソフトウェアは、ユーザーの同意なしにシステムに侵入する実行可能コードおよびスクリプトの形式です。

WordPressサイトがハッキングされたときはいつでも、最近変更されたファイルを見てください。 最も一般的なマルウェア感染には、バックドア、ダウンロード可能なディスク、悪意のあるリダイレクトなどがあります。

悪意のある攻撃に対処する方法は?

  1. 悪意のあるファイルを手動で削除します。
  2. バックアップからWordPressサイトを復元します。
  3. 常にWordPressとプラグインを更新してください。
  4. 「admin」アカウントを削除し、別の一意のユーザー名を使用します。

ハッキングの検出

検出が非常に難しいハッキングの試みの割合は低いですが、一般に、成功したかどうかに関係なく、あらゆる試みを特定できます。

脆弱性を検出するためのインジケーター:

  • 特に海外からの突然の予期しないトラフィックの急増(多くの場合、ターゲットオーディエンスを見つける可能性が非常に低い地域からではありません)。
  • ドメインは自動的にサードパーティのサイトにリダイレクトされます(多くの場合スパム)。
  • ホームページと内部ページが突然変更されたり、コンテンツが消えたりします。
  • 発信帯域幅のバーストは、サーバーがキャプチャされ、DDoS攻撃に使用されていることを示している可能性があります。
  • Google、Yandex、Bing、ブラウザ(Firefox、Chrome)などの検索エンジンが、ユーザーがサイトにアクセスする危険性について警告しているため、直接およびオーガニックのトラフィックは減少します。

Webサイトにリストされているアクティビティのいずれかに気付いた場合は、ここでWordPressWebサイトのセキュリティ診断をすばやく実行してください www.example.comをアドレスバーのWebサイトのドメインに置き換えるだけです。 このサービスの代わりに、無料のURLVoidツールを使用してサイトのレピュテーションをチェックすることもできます

セキュリティ違反を排除する

ハッキングの試みについて、リソースを注意深く客観的に監視します。 セキュリティ上の問題がある場合は、違反の排除を開始する必要があります。

あなたのサイトがサイバー犯罪者の標的になっていると確信している場合は、訪問者にそのことを知らせるのが正しいでしょう。 ユーザーはハッカーに対して脆弱である可能性があるため、ユーザーへの電子メールの自動配布を整理します。 サイトがセキュリティ侵害の被害に遭っている可能性があること、およびサイトへのアクセスをしばらく停止することをお勧めします。 問題が修正される日付を指定します。

攻撃が広がっている場合は、問題を見つけて解決するまで、サイトをオフにしてオフラインモードで作業するのが理にかなっています。 工事期間中は、「復興現場」ページを設置することをお勧めします。 問題が一時的なものであり、ユーザーを永遠に怖がらせることはないことをユーザーに明らかにします。

あなたのウェブホスティングに連絡してください

Webホスティング会社は、毎日何千ものWebサイトを操作しており、インターネット上のあらゆる種類のセキュリティ問題に直面しています。 サイトのセキュリティが危険にさらされていることを知ったら、ホスティング会社に連絡して問題を説明してください。

ほとんどのウェブホスティング会社にはIT、セキュリティスペシャリストがいます。 それらは、悪意のある攻撃を特定して修正するのに役立ちます。 あなたのホスティング会社がその助けを提供しなくても、その専門家は同様の問題に直面している他のウェブサイトの所有者に連絡することができます。 問題を解決するために何をすべきかを理解するのに役立ちます。

優れたホスティングプロバイダーは、サーバーを一般的な脅威から保護するために追加の対策を講じています。 ただし、共有ホスティングでは、他のWebサイト所有者とリソースを共有します。 ハッカーが隣接するWebサイトを使用してあなたを攻撃する可能性がある場合、クロスサイトスクリプティング攻撃のリスクが高まります。

WordPressマネージドホスティングを使用すると、自動バックアップ、更新、リソースを保護するためのより複雑なセキュリティ構成などの追加機能により、Webサイトのより安全な操作が提供されます。

Webセキュリティの専門家から助けを得る

通常、最も脆弱なWebサイトファイルは、メディアファイル、.phpファイル、および安全でない場所に保存されているファイルです。 ハッカーはこれらのファイルに悪意のあるコードを挿入し、バックドア攻撃を使用してWebサイトに損害を与えます。 これらは典型的なリスクゾーンであるため、最初にそれらを検査し、その後、サイトの他の領域に移動してクリーニングプロセスを開始する必要があります。

感染したファイルから悪意のあるコードをクリアするには、サーバーからそれらをダウンロードし、影響を受けたコードを削除して、クリーンなファイルをサーバーに再アップロードする必要があります。

感染したファイルをクリーンアップするだけでは不十分な場合があります。 おそらく、ハッカーはあなたのファイルにアクセスでき、ファイルに変更を加え続け、コードスニペットを削除します。 正しい方法は、感染したファイルのクリーンアップされたバージョンをWeb開発者のソースファイルと比較して、重要なコードが失われていないかどうかを確認することです。

通常、ハッカーはバックエンドシェルをインストールして、感染したファイルをすべて削除した後でもサイトをハッキングできるようにすることを忘れないでください。 これらのシェルは、通常のファイルを装っていることがよくあります。 サイトが危険にさらされている場合は、バックアップに戻ったときに、セキュリティサービスにジョブをアウトソーシングして、Webサイトが完全に安全であり、さらに機能できるようにします。

パスワードを変更する

感染したファイルのクリーンアップは、脆弱性を削除するタスクの一部にすぎません。 ハッカーがデータに再びアクセスできないようにする必要があります。 これを行う最も簡単ですが効果的な方法は、パスワードを変更することです。 以下からのすべてのパスワード:

  • Eメール;
  • FTPアカウント;
  • ホスティングアカウント;
  • WordPress管理パネル。

新しいパスワードが信頼でき、ブルートフォース方式を使用して解読されないことを確認する必要があります。 パスワードを盗むことは、WordPressWebサイトをハッキングする最も一般的なタイプであることを忘れないでください。 したがって、これまで使用されたことのない、より複雑なパスワードを作成することをお勧めします。

初心者が強力なパスワードの使用を好まない主な理由は、覚えにくいためです。 これで、この問題の解決策があります。パスワードマネージャーを使用するだけです。

リスクを軽減する効果的な方法は、WordPressアカウントにアクセスするための複数の役割を持つことです。 ゲスト作成者がいる場合は、Webサイトに新しいユーザーを追加する前に、全員の役割と機能を理解していることを確認してください。

WordPressサイトを保護する方法

通常、ウェブサイトのセキュリティを維持することは複雑な仕事と見なされており、高給の専門家のスタッフが必要です。 WordPressの場合、物事はそれほど怖いものではありません。 深い技術的知識がなくてもWordPressサイトを保護する方法を紹介します。 コーディング方法、複雑なアクションの実行方法、頭の上に立つ方法、秘密のブードゥー儀式を実行する方法を知る必要はありません。

乗ってみよう!

手順1.バックアップオプションを設定します

バックアップは、WordPress攻撃からのシールドです。 100%安全なWebサイトはないことを忘れないでください。 政府のWebサイトでさえ時々ハッキングされます。 したがって、リソースもターゲットになる可能性があります。

バックアップは、脆弱なWebサイトをすばやく復元するように設計されています。 したがって、この目的には既製のWordPressプラグインを使用することをお勧めします。 それらはたくさんあります:有料と無料のオプションがあります。

ここで最も重要なことは、バックアップを定期的に実行する必要があるということです。 重要なルールが1つあります。それらは、ホスティングアカウントではなく、サードパーティのストレージサービス(たとえば、Dropboxクラウド、Amazon)で作成する必要があります。

Webサイトを更新する頻度が高いほど、そのバックアップコピーを作成する必要があります。 ブログを毎日更新する場合は、少なくとも1日に1回はバックアップを作成することをお勧めします。

どうやるか?

VaultPressBackupBuddyなどのプラグインをダウンロードします これらは信頼性が高く、最も重要なこととして、使いやすく、セットアップが簡単で、メインのバックアップ機能に完全に対応しています。

WordPressのセキュリティプラグインとサービスを使用する

基本的なセキュリティインフラストラクチャを持つことは、その規模に関係なく、すべてのWebサイトにとって必須です。 たとえば、WordPressユーザー向けのシンプルなツールであるLogin Lockdownは、ブルートフォースを使用したログイン試行の原始的な攻撃を防ぐのに役立ちます。

したがって、サイトを保護するファイアウォールまたはセキュリティシステムがまだない場合は、遅滞なくそれらをアクティブ化してください。 私たちの目標は攻撃を防ぎ、損傷が発生した後に復元しないことであるため、解決策としてWebアプリケーションファイアウォール(WAF)を使用することをお勧めします。

ファイアウォールは、保護のレベルを追加し、Webサイトに着信するすべてのトラフィックを制御して、さまざまな悪意のある脅威をブロックする既製のソフトウェアソリューションです

これは、Open Web Application Security Project、SQLインジェクション、クロスサイトスクリプティング、無効化されたリダイレクトなど、最も一般的で攻撃的な脅威と戦います。 ファイアウォールまたはファイアウォールは、多くの場合、最新のオペレーティングシステムに組み込まれているか、有料のウイルス対策システムに含まれています。

Webアプリケーションファイアウォール(WAF)は、サイトを保護し、そのセキュリティを確保するための最も簡単な方法です。 リソースを追い抜く前に、すべての悪意のあるトラフィックをブロックします。

優れたホスティングプロバイダーは、オープンソースのmod_security Apacheサーバーモジュールを使用して組み込みのWAF保護を提供しますが、最新の検出された脅威をブロックするだけでは不十分であることを理解しています。 このモジュールは、急速に進化する脅威の状況を追跡するのに十分なリソースを持たないWebホスティングによって更新されることはめったにありません。

したがって、ユーザーは、クラウドセキュリティプロバイダーが提供するファイアウォールを使用して、自分の手でタスクを実行する必要があります。 このようなクラウドベースのWAFは、すべての着信トラフィックを制御し、脅威の検出と削除のプロセス全体を自律的に処理して、新規および既存の脅威に迅速に対応するプラグアンドプレイソリューションです。

さらに、このようなクラウドサービスには通常、CDNコンテンツ配信ネットワーク、DDoSフェイルオーバーサービス、さらにはパフォーマンス、セキュリティ、可用性を向上させるための負荷分散ソリューションが付属しています。

WordPressのWebアプリケーションに最適なファイアウォールとして、 Sucuriをお勧めします Sucuriファイアウォールの利点は、マルウェアを確実に削除できることです。 開発者は、(ページ数に関係なく)Webサイトを修正することを保証します。 セキュリティスペシャリストは、通常、1時間あたり250ドルと見積もっていますが、Sucuriを使用すると、年間199ドルであらゆるセキュリティを利用できます。

ファイアウォールベンダーはSucuriだけではありません。 すでに彼のかかとを踏んでいる彼の有名な競争相手はCloudflareです。

SucuriとCloudflareの違いは何ですか?

どちらのサービスも、異なる機能セットを備えた異なるプランを提供します。

Cloudflareの機能

Cloudflareは無料のCDNサービスで有名になりました。 DDoS攻撃の防止を専門としています。 Cloudflareは、攻撃中またはサーバーが応答を停止したときにトラフィックが多い場合に、ユーザーがサイトにアクセスできるようにします。

ファイアウォールはフォームもカバーし、スパムコメントやスパム登録からWebサイトを保護します。 Cloudflareは、すべての有料プランで無料のSSL証明書も提供しています。 無料プランでは、Cloudflare証明書のみを使用できます。 カスタム証明書を取得するには、ビジネスプランまたは企業プランにアップグレードする必要があります。

Cloudflareには無料のCDNを提供する無料バージョンがありますが、Webアプリケーションファイアウォールを含む他のほとんどの機能では、有料プランへの移行が必要です。

Cloudflareは、サーバーをスキャンしてマルウェアを検出するサービスを提供していません。 また、マルウェアを削除することを保証するものではありません。

Sucuriの機能

Sucuriは、Webサイトを監視するための最も信頼性の高いセキュリティサービスの1つです。 マルウェアの包括的な監視とスキャン、DDoSからの保護、および悪意のあるソフトウェアの削除を提供します。

Sucuriは、CloudProxy、Webサイトのファイアウォール、および負荷分散サービスを提供しています。 疑わしいトラフィック、感染したコード、ボット、その他の脅威をブロックします。 Sucuriは定期的にあなたのウェブサイトをスキャンします。

何を選ぶ?

Sucuriは、ツールとサービス(ファイアウォールサイト+負荷分散+マルウェアのクリーニング/ハッキングの復元)の最適な組み合わせを提供するため、明らかに多くの利点があります。

価格設定

Cloudflareはすべての人に無料のCDNサービスを提供しています。 帯域幅は課金されません。つまり、トラフィックの量に関係なく、無料のCDNを使用できます。

ただし、無料プランにはWebアプリケーション用のファイアウォールは付属していません。 WebサイトはCDNを使用できますが、DDoS攻撃やスパムなどから適切に保護されません。

ファイアウォールを使用するには、月額20ドルのProプランが必要ですが、このプランにはDDoS攻撃とカスタムSSLの高度な削減は含まれていません。 これらの機能を利用するには、月額200ドルのビジネスプランを購入する必要があります。

Sucuriは無料プランを提供していません。 彼らのセキュリティプランは年間199ドルから始まり、CloudFlareのProプランよりも手頃な価格であることがわかりました。 この基本計画には、完全なサイトモニタリング、Webアプリケーションファイアウォール、DDoS保護、マルウェア除去、および無料のSSL証明書が含まれます。

Sucuriは、下位レベルのプランから重要な機能を除外するのではなく、より高価なプランのインセンティブとして時間の優先順位を使用します。 たとえば、基本料金プランでマルウェアを削除する時間は、12時間、プロフェッショナルプランの場合は6時間、ビジネスプランの場合は4時間です。 同時に、実際の清掃時間は計画に示されているよりも速いです。

Sucuriは、すべてのプランを24時間サポートしています。 彼らのビジネスプランの加入者は、チャットサポートを使用することもできます。

何を選ぶ?

価格に関しては、Sucuriは中小企業にとって当然の選択です。 Cloudflare Proは、Sucuriが幅広い機能で年間199ドルを請求するのに対して、年間240ドルの費用がかかります。 同じ機能を利用するには、年間2,400ドルでCloudflareプランに参加する必要があります。 最も高価なSucuriプランは年間499ドルです。

マルウェアの削除

マルウェアと感染したコードは、Webサイトの所有者が直面する最も一般的な脅威です。

SucuriとCloudflareはこれらの一般的な脅威からサイトをどのように保護しますか?

Cloudflareの無料バージョンは通常、サイトのダウンロードを高速化するコンテンツ配信ネットワークとして適しています。

Webサイトのファイアウォールセキュリティ(有料版で利用可能)には、悪意のあるコード、XSS JavaScriptのエクスプロイト、およびフォームからのサイトの保護が含まれます。 ファイルの変更の検出、マルウェアスキャン、ブラックリストモニタリング、およびその他のセキュリティ機能は提供しません。 マルウェアをスキャンするためにサードパーティのアプリケーションを追加することはできますが、これらのサービスには余分な費用がかかります。

Sucuriは、サイトを監視し、悪意のあるソフトウェアやその他の攻撃からサイトを保護することを専門としています。 Sucuriファイアウォールは、DDoS、SQLインジェクション、XSS JavaScriptインジェクション、コメント、およびスパム連絡フォームからユーザーを保護します。

ただし、攻撃者もこれらの障壁を破った場合、Sucuriはサイトのクリーンアップを提案します(無料)。 現在、悪意のあるソフトウェアの影響を受けているWebサイトがある場合、Sucuriはそれをクリーンアップすることもできます。

何を選ぶ?

監視、マルウェア対策保護、およびクリーニングサービスを備えたWebアプリケーションファイアウォールを利用するには、Sucuriが最適です。 ただし、コンテンツ配信の分野では、Cloudflareを使用することをお勧めします。

ステップ2.まだ行っていない場合は、HTTPSに転送します

Googleが公式に発表した最新のランキング要素の1つは、HTTPSに切り替える必要があることです。 このウェブサイトのセキュリティの強調は、信頼できないまたはハッキングされたウェブサイトが検索エンジンのランキングで格下げされるという事実にグーグルが真剣に取り組んでいることを示しています。 グーグル自身によると、これはインターネットをより安全にする試みです。

HTTPSは、ユーザーとWebサイト間のデータ交換の機密性を保護するためのプロトコルです。 古いHTTPプロトコルとは対照的に、サイトとサーバー間で重要な情報を転送するセキュリティを確保します。

HTTPSは以前、メールボックスを保護するために、eコマースサイトでの金融取引に広く使用されていました。 つまり、セキュリティと信頼性を必要とするすべてのトランザクションに適用されました。

サイトをHTTPSプロトコルに転送することで、サイトの安全性を高めるだけではありません。 また、GoogleおよびBingのテーマ別クエリの検索結果で高い位置を獲得する可能性が高くなります。

ステップ3:WordPressセキュリティプラグインをインストールする

サイトで発生するすべてのアクティビティを追跡する監査および監視システムを設定することが重要です。

次のセキュリティプラグインが必要です。

  • ファイルの整合性を監視します。
  • 失敗したログイン試行を追跡します。
  • サイトをスキャンしてマルウェアを探します。
  • 脅威を排除します。
  • サイトを脅威から保護します。
  • あらゆる種類の脆弱性との戦いに普遍的なアシスタントを配置します。

無料のプラグインであるSucuriScannerは、これらのタスクを処理できます。

Sucuriスキャナーを設定する方法は?

  1. 無料のAPIキーを作成します。 証跡の記録を保持し、Webサイトの整合性をチェックし、脅威が発生したときに電子メールで通知するのに役立ちます。
  2. WordPressダッシュボードのSucuriメニューの[硬化]タブに移動します。 各オプションにマークを付け、「強化」ボタンをクリックします。

これらの設定は、ハッカーが攻撃に頻繁に使用するリスクゾーンをブロックするのに役立ちます。

  1. 電子メールによる脅威アラートを構成します。 電子メールがメールを乱雑にしないようにするために、新しいユーザーの登録、プラグインの変更などの重要なアクションについてのみ電子メールを受信するように設定することをお勧めします。

Wordfence Securityは、200万を超えるアクティブなインストールとファイアウォールが組み込まれた、最も有名なセキュリティプラグインの1つです。 それはすべての面でウェブサイトの包括的な保護を提供します:

  • ユニバーサルサイト保護;
  • 新しい脅威に対する保護。
  • ブルートフォース攻撃からの保護。
  • 悪意のあるトラフィックの検出。
  • 侵入者がサイトに到達する前にブロックします。
  • ボットからの保護。
  • 悪意のあるネットワークをブロックする。
  • ブルートフォースパスワード、DDoS攻撃からの入力の保護。
  • 脅威検出のためにサイトをスキャンします。
  • バックドアのスキャン。
  • トロイの木馬、疑わしいコードのスキャン。
  • メッセージとコメントをスキャンします。

より信頼性の高いファイアウォールを入手するには、プレミアムバージョンを購入する必要があります(年間99ドルから)。 基本的なプラグイン機能は無料版で利用できます。

Google、Bingなどにリクエストを送信します。

ハッキングされた場合の悪影響は、多くの検索エンジン、ブラウザ、およびセキュリティソフトウェアがリソースを問題があると識別し、サイトにアクセスしたいユーザーにアラートを発行することです。 したがって、彼らは彼らのユーザーの安全を確保し、彼らが危険から守ろうとします。

サイトをできるだけ早く立ち上げるには、Google、Bing、Yahoo、Mozilla、およびその他のサービスに連絡して、サイトをブラックリストから削除してください。

結論として

突然失敗した他のほとんどのことと同様に、WordPressサイトを攻撃から保護するために、可能な限りの予防策を講じていることを確認してください。 それが避けられず、すでにハッキングされている場合でも、落胆しないでください。

ネガティブな体験(通常は回避できます)を警告ベルとして使用し、上記の手順に従い、将来そのようなイベントを回避するためのセキュリティ対策を使用してください。