7WordPressセキュリティのベストプラクティス

WordPress Webサイトを運営している人にとって、ハッキングやセキュリティ侵害が懸念されるようになるにつれ、WordPressのセキュリティに関するいくつかのベストプラクティスを使用することで、セキュリティを大幅に向上できることを知っておくことが重要です。

WordPressのセキュリティ戦略をまだ実施していない場合、この投稿は、WordPressWebサイトを保護および保護するための7つの方法を理解するのに役立ちます。

WordPressセキュリティのベストプラクティス

• 1.パスワードマネージャーを使用して強力なパスワードを使用します。
• 2.2要素のすべてのもの。
• 3.WordPressのソルトを定期的に変更します。
• 4.安全なファイル権限を使用します。
• 5.可能な限りsFTPを使用します。
• 6.すべてのWordPressサイトでSSLを使用します。
• 7.WordPressサイトとそのすべてを最新の状態に保ちます。

脅威を理解する：ハッカーとは何ですか？

残念ながら、Webサイトのハッキングに積極的に取り組んでいる人やシステムがあります。 「ハッカー」という言葉は、次のようないくつかのアイデアを思い起こさせるかもしれません。

• 暗い地下室で働く、とらえどころのないフード付きのティーンエイジャー
• 犯罪者や外国政府に潜入する政府機関
• 自由、平等、または腐敗を暴露するために戦う地下ネットワーク

これらの「ハッカー」シナリオはすべて存在しますが、個人のWordPressWebサイトをターゲットにする可能性はほとんどありません。 攻撃を擬人化したくなるかもしれませんが、現実には、「ハッカー」は無知なロボットのようなものです。

ロボットとは、インターネットに接続する「ボット」または自動化されたコードを意味します。 製造工場のロボットアームが特定のタスクを実行するようにプログラムされているのと同じように、これらのボットは毎日1秒ごとに動作して、プログラムされたタスクをできるだけ多くのサイトでできるだけ頻繁に実行します。

ボットをハッキングするロジックは、多くの場合、「サイトを見つけてこの特定の攻撃を開始する」と要約できます。 多くの場合、攻撃の目的は、攻撃されたサイトを、タスクを与えることができるさらに別のボットにすることです。 タスクは、他のサイトへの攻撃からスパムやフィッシングメールの送信まで多岐にわたります。 言い換えれば、これらのボットはあなたのサイトが何であるかを知らず、気にしません。 ボットの作成者にとって、侵害された各サイトは、何らかの方法で収益源を作成するために、より多くのリソースへのアクセスを提供します。

なぜ誰かが私のウェブサイトをハッキングしたいのですか？

現在、ウェブ上には数千万のウェブサイトがあります。 WordPressはそれらの約26％に電力を供給しています。 残念ながら、WordPressサイトの数が非常に多いためにターゲットになっています。

最近、SucuriはハッキングされたWordPressレポートをリリースし、2019年の第3四半期に取り組んだサイトの約94％がWordPressサイトでした。

このようなグラフは、WordPressが安全ではないことをユーザーに心配させる可能性があります—そうです。 上のグラフで、Sucuriは、ほとんどの場合、侵害はWordPressコアとほとんどまたはまったく関係がないことを発見しました。 代わりに、 WordPressの妥協は、ウェブマスターとホストによる不適切な展開、構成、および全体的なメンテナンスに関係していました。

これらの既知のWordPressセキュリティの問題があっても、WordPressを最新の状態に保ち、これらのWordPressセキュリティのベストプラクティスを使用すれば、WordPressは安全です。

WordPressサイトを安全に保つにはどうすればよいですか？

WordPressのセキュリティに関しては、攻撃を受けたかどうかではなく、WordPressのハッキングが成功しないようにする方法が重要です。 では、私たちは何ができるでしょうか？ WordPressセキュリティ101のヒントをいくつか確認し、これらのWordPressセキュリティのベストプラクティスを実装することで、WordPressセキュリティを大幅に向上させることができます。

1.パスワードマネージャーを使用して強力なパスワードを使用する

これが簡単なクイズです。 パスワードを少なくとも1つ知っていますか？ そのパスワードを別の場所での別のログインに使用しましたか？ これらの質問の両方に「はい」と答えた場合、パスワード戦略は深刻な監査を使用する可能性があります。

何が良いパスワードになりますか？

• 長さ
• ランダム
• 個性的

パスワードを知っている場合は、パスワードが弱すぎる可能性があります。 そのため、パスワードマネージャーを使用してパスワードを管理することが、すべてのアカウントログインを安全に保つための最良の方法です。

パスワードマネージャーを使用すると、長くてランダムな一意のパスワードを生成し、ブラウザー拡張機能を使用してそれらを安全に保存できます。 したがって、覚えておく必要のあるパスワードは、パスワードマネージャーにログインするためのマスターパスワードだけです。

パスワードマネージャー：

• LastPass
• 1Password
• Dashlane

パスワードマネージャーの助けを借りて、あなたはあなたのログインのために良いパスワードセキュリティを使い始めることができます。 WordPressのパスワードセキュリティのヒントをもっとチェックしてください。

2.すべてのものの2要素。

二要素認証は単なる迷惑ではなく、真のセキュリティです。 二要素認証を使用しましたか？それがどのように機能するか知っていますか？

二要素認証は、知っているもの、持っているもの、またはあるものの2つの検証方法を要求することにより、個人のIDを検証するプロセスです。

二要素認証は煩わしいと考えるのは簡単ですが、不便さを乗り越えて、この方法を使用してログインを保護することの価値について、私たちが知っているすべての人に教育する時が来ました。 誰かがあなたの資格情報を盗むことができる場合、2要素認証が有効になっていると、それは何の役にも立ちません。 ハッカーが正常にログインするには、ユーザー名とパスワードだけでなく、モバイルデバイスも必要になります。

WordPressログインに2要素認証を追加してから、可能な限りすべてのものを2要素認証します（電子メール、金融口座、利用可能な場合はソーシャルネットワーキングも含む）。

iThemes Security Proを使用すると、WordPressの2要素認証をWordPressログインに簡単に追加できます。

3.WordPressのソルトとキーを定期的に変更します。

WordPressは、Cookie（またはブラウザーに保存されている情報）を使用して、ログインしているユーザーとコメント投稿者のIDを確認します。 WordPress Cookieに保存されているログイン情報の保護と暗号化を強化するために、WordPressではwp-config.phpファイルに秘密の認証キーとソルトが含まれています。 基本的に、WordPressのソルトとキーは、長く、ランダムで、複雑なサイトの追加のパスワードであるため、解読することはほぼ不可能です。

WordPressのソルトとキーを変更できるiThemesSecurity Proなど、いくつかのプラグインがあります。

• iThemes Security Pro
• WP構成ファイルエディター

4.セキュアファイルパーミッションを使用します。

誰かがあなたのサーバーファイルを表示または書き込むことができる場合、あなたのサイトはどのくらい安全ですか？ そうではありません。 安全なWordPressファイルのアクセス許可は必須です。

たとえば、これらのファイルとディレクトリのアクセス許可はノーノーです。

• ディレクトリ– 777
• ファイル– 666

実際に設定できる内容はサーバーによって異なる場合がありますが、通常は、ホストのコントロールパネルとFTPクライアントを使用してファイルとディレクトリのアクセス許可を調整できます。 ファイルは400から444の間のどこかにあるはずです。そして、ディレクトリは700から744の間のどこかにあるはずです。

iThemes Securityプラグインには、不明な場合にファイルのアクセス許可のステータスをすばやく確認する方法が含まれています。

5.可能な限りsFTPを使用します。

Webサイトでファイルを編集する場合は、FTPではなくsFTPの使用を開始することをお勧めします。 コードを直接編集しない場合は、Web開発者がサーバーファイルへのアクセスに最高のセキュリティプロトコルを使用していることを確認してください。

SFTPプロトコルとFTPプロトコルはどちらもデータを転送しますが、類似点はここで終わります。 入門書と同じように、FTPはファイル転送プロトコルの略です。 FTPは、プレーンテキストで2つのリモート接続間でデータを転送します。 ユーザーが通常のFTPセッションを開くと、ホストとユーザーの間で行われる送信全体がプレーンテキストで送信されます。 ネットワーク上をスヌープできる人なら誰でも、パスワード情報を含むデータを読み取ることができます。

sFTPは、FTPコマンドの安全な形式です。 sFTPは、SSH2プロトコルを使用して、データがプライベートに安全に転送されることを保証します。 FTPの代わりにsFTPを使用する場合、パスワードの送信を含むログインセッション全体が暗号化されます。 そのため、ネットワーク上を覗き見している人がパスワードを監視して収集することははるかに困難です。

6.すべてのWordPressサイトでSSLを使用します。

SSLとは何ですか？ なぜあなたはそれを使うべきですか？ アクセスしているURLの横にあるブラウザの緑色の南京錠を見たことがありますが、なぜそれがそれほど重要なのですか？

SSL / HTTPS用語の簡単な入門書は次のとおりです。

• HTTPはハイパーテキストプロトコルの略です。 HTTPを使用して情報を転送する場合、知識のある人がそれを傍受して表示するのは比較的簡単です。
• HTTPSは、Hyper Text ProtocolSecureの略です。 HTTPSを使用する場合、誰かがそれを傍受できる場合でも、暗号化されているため、HTTPSを解読することはできません。
• SSL – Secure Socket Layersは、HTTPSを使用している間の転送中のセキュリティです。

Webの初期の頃、管理者はオンラインで公開した情報を共有する方法を必要としていました。 彼らはこのためのHTTPプロトコルを開発しましたが、情報を傍受して表示するのが簡単であることをすぐに学びました。 次に、共有している情報を保護する手順について合意しました。これがHTTPSプロトコルです。

ここでSSL証明書とSSLが役立ちます。 転送に関係する各コンピューターのSSL証明書には、一意のキーまたはロックがあります。 データはセキュアソケットレイヤーを介して転送されます。 データが両端に南京錠のある安全なトンネルを通過しているので、他の誰もあなたの情報に特権を与えられていないことがわかります。

SSL証明書の価格はさまざまですが、Webサイトの情報を安全に保つために絶対に必要です。 SSL証明書を購入する場所もいくつかありますが、最も簡単な方法は、ホストから購入してインストールさせることです。 WordPressHTTPSトレーニングもご覧ください。

7.WordPressサイトとそのすべてを最新の状態に保ちます。

WordPressのメンテナンスについていくことは、堅実なWordPressセキュリティ戦略を持つための最後の部分です。 芝生を刈る必要がある、または車にオイル交換が必要なのと同じように、WordPress Webサイトで定期的なメンテナンスを行う必要があります。つまり、WordPressのコア、テーマ、プラグインの更新に積極的に対応する必要があります。

• WordPressコアを最新の状態に保ちます。
• プラグインとテーマを最新の状態に保ちます。
• パスワードは定期的に更新してください。
• 使用されていないプラグイン、テーマ、ユーザーについてサイトを定期的に監査し、それらを削除します。
• 常に最近のWordPressバックアップがあります。 サイトのバックアップを作成しておくと、問題が発生した場合の時間を節約できるだけでなく、コストのかかるエクスペリエンスも節約できます。 BackupBuddyなどのWordPressバックアッププラグインを使用して、自動WordPressバックアップを作成し、バックアップファイルをオフサイトの安全な場所に保存します。

複数のWordPressサイトを管理している場合は、iThemesSyncのようにWordPressのメンテナンスを簡単にするためのツールがあります。 個々のWebサイトにログインして更新を実行する代わりに、1つの中央ダッシュボードで複数のWebサイトを一度に実行できます。 iThemes Syncは、WordPressサイトの新しい更新が利用可能になったときに通知メールを送信することもできるため、重要なセキュリティ更新を見逃すことはありません。

どのように行う場合でも、WordPressWebサイトとそのすべてを最新の状態に保つようにしてください。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。