WordPressサイトを保護する方法、WordPressサイトを保護するためのステップツーステップガイド

人々は、無料でオープンソースのものは安全性が低いという誤った誤解を抱く傾向があります。 しかし、真実は、WordPressの背後にあるようなオープンソースコミュニティは非常に大きく、WordPressに最新のセキュリティ慣行と品質チェックをすべて最新の状態に保つようにしてください。 ベストプラクティスに従い、必要な予防措置を講じる必要があります。 あなたはあなたのウェブサイトを保護するためにWordPressサイトを保護する方法についての明確な知識を持っている必要があります。

WordPressサイトを保護する方法のステップバイステップガイドから始めましょう。その後、安全なWebサイトを確保するための追加のヒントを読むことができます。

WordPressサイトを保護する方法に関するガイド

WordPressサイトを保護するためのノウハウを学び始める前に、そもそもなぜそれが必要なのかを理解してください。 すべてのWebサイト関連のアクティビティと同様に、セキュリティには時間、労力、およびリソースが必要です。 それを真剣に受け止め、必要なリソースを割り当てることは完全にやりがいがあります。そうしないと、ブランドの評判とビジネスの成長にいくつかの損害を与えるからです。

報告によると、WordPressのインストールの70％以上が、Alexaランキングの上位100万にリストされている40,000以上のWordPressWebサイトから攻撃を受ける傾向があります。

攻撃を受けているWebサイトは、商取引の失敗、プライバシーの喪失、コンピューター時間の損失につながる可能性があり、多大な経済的損失を引き起こす可能性があります。 最近のランサムウェア攻撃を考えてみてください。多くの企業は、ハッカーからデータを取り戻すためにピケットから支払いをしなければなりませんでした。

このため、セキュリティ対策の主な目的は、対応ではなく予防である必要があります。 マルウェアやサイバー攻撃があなたを利用する余地を残さないように、適切なツールと手法を採用する必要があります。

ステップ1：WordPressを最新の状態に保ちます。

WordPressは、発見された脆弱性をカバーするためのセキュリティパッチとソリューションを提供し続けることを確実にする成長する開発コミュニティによって支えられています。 WordPressを定期的に更新しておくと、これらの更新を入手できます。

ほとんどのマイナーアップデートでは、WordPress設定を設定して自動アップデートを有効にすることができます。 新しいリリースがリリースされたらすぐに、WordPressのバージョンを最新のリリースに更新してください。

最新のリリースでは、セキュリティが更新されているだけではありません。 また、最新の機能と既存の機能に対する改善点も提供します。 WordPressの更新は、サイトの円滑な運用に不可欠であり、サイトのセキュリティと安定性に不可欠です。

プロのヒント：WordPress 5.5がリリースされました。今すぐ、ウェブサイトを最新バージョンに更新してください。

ステップ2：プラグインとテーマを更新する

コアのWordPressに加えて、定期的に使用するすべてのプラグインとテーマも更新する必要があります。

サードパーティのプラグインやテーマをいくつか使用している可能性がありますが、そのうちのいくつかはメンテナンスが不十分である可能性があります。 これらのプラグインを、定期的な更新とセキュリティ機能を保証するより良い代替プラグインに置き換えてみてください。 古いプラグインは、あなたが気付いていないかもしれない脆弱性を運ぶ可能性があります。 現在使用していないプラグインをサイトで実行している場合は、非アクティブ化します。

利用可能なすべてのプラグインの月次監査を実行し、必要なプラグインのみを保持することを選択します。

ステップ3：強力なパスワードを使用する

停止アカウント、WordPress管理者アカウント、FTPアカウント、データベースアカウントなど、WordPressサイトの実行時に処理するユーザーアカウントがいくつかあります。 これらの各アカウントには、許可された使用を保護するために電子メールIDと強力なパスワードが必要です。

したがって、この目的に固有のカスタマイズされた電子メールアドレスを選択し、強力なパスワードを使用してください。 すべてのパスワードを覚えるのは難しいかもしれませんが、安全を確保するために必要な対策です。 パスワードマネージャーを使用して、すべてのパスワードの管理に役立てることができます。

ステップ4：適切なアクセスレベルを確立する

WordPressサイトをチームとして運営している場合、またはさまざまなゲスト作成者がサイトに書き込みを行っている場合は、各ユーザーに適切なユーザーの役割と機能を割り当ててください。

WordPressで利用可能な役割を理解し、割り当てられた役割のみに関してユーザーアカウントを作成します。

ステップ5：安全なホスティングプラットフォームを選択する

これはおそらくWordPressのセキュリティの最も重要な部分です。 優れたホスティングパートナーは、データ漏洩やサイバー攻撃を回避するための適切なセキュリティ対策を提供できる必要があります。 優れたホスティングプラットフォームのいくつかの品質は、1つを選択するときに確認する必要があります。

• 疑わしいアクティビティを検出するための継続的なネットワーク監視機能。
• DDOS攻撃をブロックするツール
• 停電や継続的なサイバー攻撃に備えて、バックアップサーバーを提供します。
• 既知の脆弱性を修正するための最新のハードウェアとソフトウェア
• 事故や事故が発生した場合にデータを保護するための適切な災害復旧および緊急時対応計画。

共有ホスティングプランは、サーバーリソースを他の顧客と共有するため、専用ホスティングサーバーよりもリスクが高くなります。 これにより、隣接するサイトを使用してサイトをハッキングする可能性がある、サイト間の汚染に対して脆弱な状態になる可能性があります。

覚えておくべきことは、Sitelockのような基本的なサーバー保護の有料セキュリティアドオンに加えて提供するいくつかのウェブホスティングプロバイダーがあります。

全体的に、セキュリティを向上させるために、マネージドWordPressホスティングプランを選択してみてください。

ステップ6.バックアップソリューションを用意する

攻撃や重大な事故が発生した場合に役立つように、常に最新のバックアップを保持してください。 バックアップにより、WordPressサイトをより迅速に復元し、適切な状態にロールバックできます。 WordPressプラグインには無料版と有料版がたくさんあり、バックアップを取り、リモートの場所に安全に保存できます。

リモートロケーションに保存することは、ホスティングアカウントで作成されたバックアップと比較してはるかに安全です。 AmazonやDropboxなどのクラウドストレージサービスを利用できます。

サイトを1日1回バックアップし、自動的にバックアップするように設定します。 更新の頻度に応じて、バックアップの頻度を増減できます。

ステップ7.WordPressセキュリティプラグインを利用する

サイトのアクティビティを監査および監視するのに役立つ優れたセキュリティプラグインをインストールします。 セキュリティプラグインは、サイトがサードパーティのチャネルと行うすべてのやり取りを追跡し、疑わしいアクティビティを検出したり、サイトへのハッキングを試みたりするのにも役立ちます。

たとえば、ログイン試行の失敗やボット攻撃などのアクティビティは、セキュリティプラグインを使用して適切なタイミングで監視およびブロックできます。 また、セキュリティプラグインを使用して、マルウェアスキャン、ファイルの整合性チェック、およびその他のセキュリティ関連のタスクを実行することもできます。 ニーズに合った利用可能な最高のセキュリティプラグインについて調査し、使用を開始します。

上級者向けのヒント：使用できるセキュリティプラグインには、Sucuri、Wordfence Security、Defender、VaultPressなどがあります。

手順8.Webアプリケーションファイアウォールを有効にする

ファイアウォールは、悪意のあるトラフィックがサイトにアクセスするのをブロックする防御システムを提供するのに役立ちます。 使用する必要のあるファイアウォールには2つのレベルがあります。

• DNSレベルのWebサイトファイアウォール

このファイアウォールは、クラウドプロキシサーバーを介してWebリクエストをルーティングし、正当なトラフィックのみがサイトに到達できるようにします。

• アプリケーションレベルのファイアウォール

このファイアウォールはサーバー側でリクエストを検査し、スクリプトが本物のリクエストであることが判明した場合にのみスクリプトを実行できるようにします。 ただし、このタイプのファイアウォールはサーバーの負荷を増大させる可能性があります。

ステップ9.httpsに切り替えます

Httpsサイトは、暗号化ベースの安全な接続のみを受け入れるため、通常のHTTPサイトよりもはるかに安全です。 SSLソケットレイヤーは、Webサイトとブラウザー間のすべてのデータ転送を暗号化し、ハッカーがWebサイトにアクセスするのを困難にします。

民間当局によって発行されたSSL証明書の価格は、年間80ドルからです。 Let'sEncryptプログラムで提供される無料の証明書を選択することもできます。

WordPressサイトを保護する方法のヒント

上で議論されたものが非常に基本的なものであったものは何でも、あなたはセキュリティのために世話をしなければなりません。 ここでは、厳重に保護されたWebサイトを作成するための追加の提案とヒントをいくつか紹介します。

カスタムユーザーIDを使用します。

通常のユーザー名管理者を捨てて、ハッカーが推測しにくい、より個人的なものにします。 ありがたいことに、WordPressではアカウントのカスタムユーザー名から選択する必要があります。 ただし、ワンクリックインストールを実行すると、デフォルトのユーザー名がadminに設定されるため、WordPressをインストールして適切なカスタムユーザー名を手動で設定する必要があります。 すでにadminをユーザー名として設定している場合は、新しいadminユーザー名を作成し、古いユーザー名を削除します。 このタスクには、プラグインまたはphpMyAdminページを使用できます。

ファイル編集を無効にする

WordPressの組み込みコードエディタを無効にするには、wp-config.phpファイルを変更する必要があります。 'DISALLOW_FILE_EDIT'をtrueに設定します。 この機能は、セキュリティプラグインを介してWordPressアカウントを強化することでも有効にできます。

特定のディレクトリからスクリプトを実行する必要がない場合は、そこで無効にしても安全です。 たとえば、htaccessファイルに関連するエントリを追加することで、PHPファイルの実行を無効にできます。

ログイン試行を制限する

これは、アカウントからのログイン試行の失敗を監視し、設定された期間ブロックすることができるセキュリティプラグインを使用して設定できます。 これは、ブルートフォース攻撃を防ぐのに役立ちます。

二要素認証を使用して、ログインを強化します。 二要素認証には、パスワードに加えて、1回限りの確認メッセージまたはパスワードがユーザーの携帯電話または電子メールアドレスに送信される2段階のログインプロセスが必要です。 ログインページのセキュリティについても考慮する必要があります。 WordPressのログインURLは、最も脆弱な場所の1つです。

また、オーセンティケーターアプリケーションを利用して、ログインの試行ごとに強力な保護レイヤーを提供することもできます。

データベースの命名規則をカスタマイズします。

デフォルトでは、WordPressのデータベーステーブルはwp_プレフィックスで始まります。これにより、ハッカーはテーブル名を推測できます。 これらのプレフィックスを、保護を強化するカスタマイズされた名前に変更してみてください

サーバー側レベルでパスワード保護を追加して、DOS攻撃の試みを抑制します。

ディレクトリのインデックス作成と参照を無効にします。

ハッカーがあなたのディレクトリやファイルを検索できる場合、ハッカーは脆弱性を特定し、それを利用しようとする可能性があります。 この設定は、htaccessファイルを変更して行うことができます。

XML-RPCを無効にします。 XML RPCは、リクエスト処理を最適化する方法としてWordPress3.5から追加されました。 しかし、これはハッカーによるブルートフォース攻撃を容易にするバックドアとして機能する可能性があります。 したがって、サイトでXML-RPCを使用していない場合は、htaccessファイルを変更するか、ファイアウォールを使用して、XML-RPCを無効にしてください。

一定時間アイドル時間が経過したら、アイドル状態のユーザーをログアウトします。

非アクティブなログアウトプラグインを使用して、非アクティブなユーザーを自動的にログアウトできます。

認証レベルを追加するには、ログイン画面にセキュリティの質問を追加します。

スキャンを実行する

マルウェアスキャンを定期的に実行し、マルウェアまたはジャンクファイルが見つかった場合は、それらを必ずクリーンアップしてください。 ハッキングされたWebサイトを修正することは、難しいビジネスになる可能性があります。 セキュリティの専門家または熟練したウェブマスターを雇って世話をすることをお勧めします。 自分でやろうとしている場合は、よく調べて、重要なファイルをバックアップし、サイトの修正を開始してください。

複数のセキュリティ層を備えた優れたホスティング会社を選択してください。

機密性の高い顧客データを含むWebサイトを運営している場合は、データを保護するために投資する必要があります。 したがって、セキュリティ対策が不足しているより安価なホスティングプランを選択するように誘惑されないでください。 ホスティングプラットフォームを選択するときは、セキュリティを第一の関心事にしてください。

検証済みのソースからテーマとプラグインを入手します。 無料のテーマとプラグインは魅力的に聞こえるかもしれませんが、適切なメンテナンスとサポートがないと、これらの古いプラグインまたはテーマは、サイトのセキュリティを危険にさらす可能性のある脆弱なコードブロックを運ぶ可能性があります。

さらに、htaccessやwp-configなどのWordPressコアファイルを非表示にします。

まとめ

ソフトウェアを保護するための主要な原則を忘れないでください–アクセスを制限し、適切な認証レベルを設定します。 さらに、データベース内の重要なコンポーネントを封じ込めて保護します。 システムを定期的に更新し、安全なリモートロケーションにバックアップを維持するようにしてください。 また、プラグインとテーマは常に信頼できるソースからのみ使用してください。

強力なパスワードを使用し、パスワードを共有せず、ユーザー特権を制限し、サイトのアクティビティを定期的に監視します。 セキュリティツールを使用して、サイトのセキュリティを監視し、予防的な措置を講じることができます。

そして最後に、セキュリティの問題を報告し、さらに調査するためにテクニカルサポートに助けを求めることを忘れないでください。 セキュリティの問題に対処するために専門家を雇うことを躊躇しないでください。

はい、それは私の側からのすべてです。WordPressサイトを保護する方法を理解していただければ幸いです。