WordPressの保護のヒント。 サイトを保護するための12のヒント

公開: 2019-07-11

WordPressは、世界で最も人気のあるCMSの1つです。 全インターネットサイトの18.9%以上が利用しており、インストール数は7,650万を超えています。 残念ながら、そのような人気には欠点があります。 Sucuri(Webサイトのセキュリティと保護)のレポートによると、WordPressは世界で最もハッキング可能なCMSです。 ただし、この問題のベストプラクティスに従い、このガイドのいくつかのテクニックを実装すると、WordPressの保護をいくつかの簡単な手順で簡単に強化できることがわかります。

必要なもの

始める前に、次のことを確認してください。

  • WordPressコントロールパネルへのアクセス。
  • ホスティングアカウントへのアクセス(オプション)。

コンテンツ

ステップ1.WordPressの現在のバージョンを維持します。
ステップ2.非標準のログイン資格情報を使用します。
手順3.2段階認証を有効にします。
ステップ4.PHPエラーレポートを無効にします。
ステップ5.WordPressにヌルのテンプレートを使用しないでください。
ステップ6.WordPressでマルウェアをスキャンします。
ステップ7.ウェブサイトをより安全なホスティングに転送します。
ステップ8.できるだけ頻繁にデータをバックアップします。
手順9.ファイルの編集オプションを無効にする。
ステップ10.未使用のテンプレートとプラグインを削除します。
ステップ11..htaccessを使用してWordPressのセキュリティを向上させます。
ステップ12.SQLインジェクションを防ぐために標準のWordPressデータベースプレフィックスを変更する結論

ステップ1.WordPressの現在のバージョンを維持する

これは、WordPressのセキュリティを向上させるための最初の最も重要なステップになります。 マルウェアのないクリーンなWebサイトが必要な場合は、WordPressのバージョンが最新であることを確認する必要があります。 このアドバイスは単純に見えるかもしれませんが、すべてのWordPressインストールの22%だけが最新バージョンになっています。

WordPressはバージョン3.7で自動更新機能を実装していますが、それは小さなセキュリティ更新に対してのみ機能します。 大規模なキーアップデートは手動でインストールする必要があります。

WordPressを更新する方法がわからない場合は、こちらを確認してください。

ステップ2.非標準のログイン資格情報を使用する

WordPressの管理者名として「admin」を使用していますか? 答えが「はい」の場合、WordPressのセキュリティを大幅に低下させ、コントロールパネルへの侵入を容易にします。 管理者のユーザー名を別のユーザー名に変更するか(これを行う方法がわからない場合は、このチュートリアルを参照してください)、別のデータで新しい管理者アカウントを作成することを強くお勧めします。

2番目のオプションが必要な場合は、次の手順に従ってください。

  • WordPressコントロールパネルにログインします。
  • 「ユーザー」セクションを見つけて、「新規追加」ボタンをクリックします。
  • 新しいユーザーを作成し、管理者権限を割り当てます。
  • 新しいデータを使用してWordPressにログインします。
  • [ユーザー]セクションに戻り、デフォルトの管理者アカウントを削除します。

優れたパスワードは、WordPressのセキュリティにおいて重要な役割を果たします。 数字、大文字と小文字、および特殊記号で構成されるパスワードを解読するのははるかに困難です。 LastPassや1Passwordのようなツールは、複雑なパスワードの作成と管理に役立ちます。 さらに、安全でないネットワーク(コーヒーショップ、公共図書館など)に接続するときにWordPressコントロールパネルにログインする必要がある場合は、ログイン情報を保護する安全なVPNを使用することを忘れないでください。

手順3.2段階認証を有効にする

2段階認証により、認証ページにセキュリティの層が追加されます。 ユーザー名が確認されると、認証を正常に行うために完了する必要のある別の手順が追加されます。 ほとんどの場合、これを使用して、電子メール、オンラインバンク、および機密情報を含むその他のアカウントにアクセスしています。 WordPressでも使ってみませんか?

これは複雑に思えるかもしれませんが、WordPressで2段階認証を有効にするのは非常に簡単です。 2段階認証用のアプリをインストールし、WordPress用に構成するだけです。 WordPressで2段階認証を有効にする方法の詳細については、こちらをご覧ください。

ステップ4.PHPエラーレポートを無効にする

PHPエラーレポートは、Webサイトを開発していて、すべてが正しく機能していることを確認したい場合に非常に役立ちます。 ただし、すべての人にエラーを表示することは、WordPressのセキュリティにおける重大な省略です。

できるだけ早くこれを修正する必要があります。 心配しないでください。WordPressでPHPエラーレポートを無効にするのにプログラマーである必要はありません。 ほとんどのホスティングサービスプロバイダーは、コントロールパネルでこのオプションを提供しています。 そうでない場合は、wp-config.phpファイルに次の行を追加するだけです。 FTPクライアントまたはファイルマネージャーを使用して、wp-config.phpファイルを編集できます。

error_reporting(0);
@ini_set('display_errors'、0);

ステップ5.WordPressにヌルのテンプレートを使用しないでください

「無料のチーズはネズミ捕りだけです」ということを忘れないでください。 同じことがヌルのテンプレートとプラグインにも当てはまります。

インターネット全体に何千ものnullプラグインとテンプレートがあります。 ユーザーは、さまざまなファイル共有またはトレントファイルを使用して、それらを無料でダウンロードできます。 彼らのほとんどがマルウェアやブラック検索エンジン最適化手法へのリンクに感染していることを彼らは知りません。

nullのプラグインとテンプレートの使用を停止します。 これは非倫理的であるだけでなく、WordPressのセキュリティにも悪影響を及ぼします。 最終的に、あなたはあなたのウェブサイトをきれいにするために開発者にもっとお金を払うでしょう。

ステップ6.WordPressでマルウェアをスキャンする

ハッカーは、WordPressに感染するためにテンプレートやプラグインの穴を使用することがよくあります。 したがって、ブログをより頻繁にチェックすることが重要です。 この目的のために利用できる多くのよく書かれたプラグインがあります。 WordFenceは群衆から際立っています。 使用するためのガイドと、他のさまざまな設定とともに自動的にテストする機能を提供します。 数回クリックするだけで、変更/感染したファイルを回復することもできます。 無料でご利用いただけます。 これらの事実は、今すぐインストールするのに十分なはずです。

WordPressのセキュリティを強化するその他の人気のあるプラグイン

  • BulletProofセキュリティ。 以前に説明したWordFenceとは異なり、BulletProofはファイルをスキャンしませんが、ファイアウォール、データベース保護などを提供します。特徴的な機能は、数回のクリックでプラグインを構成およびインストールする機能です。
  • Sucuriセキュリティ。 このプラグインは、DDOS攻撃からユーザーを保護し、ブラックリストを作成し、Webサイトをスキャンしてマルウェアを検出し、ファイアウォールを制御します。 何か見つかった場合は、メールで通知されます。 Google、ノートン、マカフィー–このプラグインには、これらのプログラムのすべてのブラックリストが含まれています。

ステップ7.ウェブサイトをより安全なホスティングに転送する

このアドバイスは奇妙に思えるかもしれませんが、統計によると、WordPress Webサイトの40%以上が、ホスティングアカウントのセキュリティホールのためにハッキングされました。 これらの統計は、WordPressをより安全なホスティングに移行することを奨励するはずです。 新しいホスティングを選択する際に留意すべきいくつかの重要な事実:

  • 共有ホスティングの場合は、アカウントが他のユーザーから隔離されており、サーバー上の他のWebサイトからの感染のリスクがないことを確認してください。
  • ホスティングには自動バックアップ機能があります。
  • サーバーには、サードパーティのファイアウォールとスキャンツールがあります。

ステップ8.できるだけ頻繁にデータをバックアップします

所有者がWordPressのセキュリティを向上させるために数千ドルを費やしているにもかかわらず、最大規模のWebサイトでさえ毎日ハッキングされています。

この分野のベストプラクティスに従い、この記事のヒントを適用した場合でも、Webサイトの定期的なバックアップを作成する必要があります。

バックアップを作成するには、いくつかの方法があります。たとえば、サイトファイルを手動でダウンロードしてデータベースをエクスポートしたり、ホスティング会社が提供するツールを使用したりできます。 もう1つの方法は、WordPressプラグインを使用することです。 それらの中で最も人気があるのは次のとおりです。

  • VaultPress;
  • BackUpWordPress;
  • BackupGuard。

DropboxでWordPressバックアップを作成して保存するプロセスを自動化することもできます。

手順9.ファイルの編集オプションを無効にする

ご存知かもしれませんが、WordPressには、PHPファイルを編集できるエディターが組み込まれています。 この機能は、有害である可能性が高いのと同じくらい便利です。 ハッカーがコントロールパネルにアクセスした場合、最初に気付くのはファイルエディタです。 一部のWordPressユーザーは、この機能を完全に無効にすることを好みます。 次のコードを追加してwp-config.phpファイルを編集すると、無効にできます。

define('DISALLOW_FILE_EDIT'、true);

WordPressでこの機能を無効にするために必要なのはこれだけです。

重要。 この機能を再度有効にする場合は、ホスティングにFTPクライアントまたはファイルマネージャーを使用して、このコードをwp-config.phpファイルから削除します。

ステップ10.未使用のテンプレートとプラグインを削除する

WordPressでウェブサイトをクリーンアップし、未使用のテンプレートとプラグインをすべて削除します。 ハッカーは、コントロールパネルにアクセスしたり、悪意のあるコンテンツをサーバーにダウンロードしたりするために、無効で古いテンプレートやプラグイン(公式のWordPressプラグインも含む)を使用することがよくあります。 ずっと前に使用をやめた(そしておそらく更新を忘れた)プラグインとテンプレートを削除することで、リスクを軽減し、WordPressWebサイトをより安全にします。

ステップ11..htaccessを使用してWordPressのセキュリティを向上させる

.htaccessは、WordPressリンクが正しく機能するために必要なファイルです。 .htaccessファイルに正しいエントリがないと、多くの404が取得されます。

.htaccessを使用してWordPressの保護を強化できることを知っているユーザーは多くありません。 たとえば、アクセスをブロックしたり、特定のフォルダーでのPHPの実行を無効にしたりできます。

重要。 ファイルに変更を加える前に、古い.htaccessファイルをバックアップしてください。 これを行うには、FTPクライアントまたはファイルマネージャーを使用できます。

WordPressの管理部分へのアクセスを無効にする

以下のコードでは、特定のIPからのみWordPressの管理部分にアクセスできます。

AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName「WordPress管理者アクセス制御」
AuthType Basic

注文拒否、許可。
すべてから否定する
xx.xx.xx.xx.xxxから許可
xx.xx.xx.xx.xxxから許可

「xx.xx.xx.xx.xxx」がIPアドレスであることに注意してください。 このWebサイトを使用して、現在のIPアドレスを確認できます。 WordPressでサイトを管理するために複数の接続を使用する場合は、他のIPアドレスを書き込んでいることを確認してください(必要な数のアドレスを追加してください)。 動的IPアドレスがある場合は、このコードを使用することはお勧めしません。

特定のフォルダーでのPHP実行の無効化

ハッカーは、バックドアスクリプトをWordPressダウンロードフォルダーにアップロードするのが好きです。 デフォルトでは、このフォルダはメディアファイルの保存にのみ使用されます。 したがって、PHPファイルを含めることはできません。 次のルールを使用して/wp-content/ uploads /に新しい.htaccessファイルを作成することで、PHPの実行を簡単に無効にできます。

すべてから否定する

wp-config.phpファイルの保護

wp-config.phpファイルには、WordPress構成カーネルとMySQLデータベースの詳細が含まれています。 したがって、WordPressで最も重要なファイルです。 したがって、WordPressハッカーの主な標的になることがよくあります。 ただし、次の.htaccessルールを使用して簡単に保護できます。

注文は許可し、拒否します。
すべてから否定する

ステップ12.SQLインジェクションを防ぐために標準のWordPressデータベースプレフィックスを変更する

WordPressデータベースには、Webサイトの運用に必要なすべての重要な情報が含まれており、保存されています。 その結果、SQLコードの実装のために自動化されたコードを実行するハッカーやスパマーのもう1つの標的になります。 WordPressのインストール中に、多くの人は標準のwp_データベースプレフィックスを変更する必要はありません。 WordFenceによると、WordPressの5回のハッキングのうち1回は、SQLコードの実装に関連しています。 wp_は標準値の1つであるため、ハッカーは最初にwp_から始めます。 この段階で、WordPressのWebサイトをそのような攻撃から保護することを簡単に検討します。

既存のWordPressサイトのプレフィックスのテーブルを変更する

重要。 安全第一! 開始する前に、MySQLデータベースのバックアップがあることを確認してください。

パート1。 wp-config.phpのプレフィックスを変更する

FTPクライアントまたはファイルマネージャーを使用してwp-config.phpファイルを検索し、$table_prefixの行を検索します。

数字、文字、またはアンダースコアを追加できます。 その後、変更を保存して次の手順に進みます。 このガイドでは、新しいテーブルプレフィックスとしてwp_1secure1_を使用します。

wp-config.phpファイルを表示しているときに、データベース名を見つけて、変更するデータベース名を確認します。 define('DB_NAME'セクションを見てください。

パート2。 すべてのデータベーステーブルを更新する

次に、データベース内のすべてのレコードを更新する必要があります。 これは、phpMyAdminを使用して実行できます。

最初の部分で定義されたデータベースを見つけて、それにログインします。

デフォルトでは、WordPressのインストールには12のテーブルがあり、それぞれを更新する必要があります。 ただし、これはphpMyAdminのSQLパーティションを使用することでより高速に実行できます。

各テーブルを手動で変更するには非常に時間がかかるため、SQLクエリを使用してプロセスを高速化します。 次の構文を使用すると、データベース内のすべてのテーブルを更新できます。

テーブル`wp_commentmeta`の名前を`wp_1secure1_commentmeta`に変更します。
テーブル`wp_comments`の名前を`wp_1secure1_comments`に変更します。
テーブル`wp_links`の名前を`wp_1secure1_links`に変更します。
テーブル`wp_options`の名前を`wp_1secure1_options`に変更します。
テーブル`wp_postmeta`の名前を`wp_1secure1_postmeta`に変更します。
テーブル`wp_posts`の名前を`wp_1secure1_posts`に変更します。
テーブル`wp_terms`の名前を`wp_1secure1_terms`に変更します。
テーブル`wp_termmeta`の名前を`wp_1secure1_termmeta`に変更します。
テーブル`wp_term_relationships`を`wp_1secure1_term_relationships`に名前変更します。
テーブル`wp_term_taxonomy`の名前を`wp_1secure1_term_taxonomy`に変更します。
テーブル`wp_usermeta`の名前を`wp_1secure1_usermeta`に変更します。
テーブル`wp_users`の名前を`wp_1secure1_users`に変更します。

一部のWordPressテンプレートまたはプラグインは、データベースにテーブルを追加する場合があります。 MySQLデータベースに12を超えるテーブルがある場合は、残りのテーブルをSQLクエリに手動で追加して実行します。

パート3。 オプションとカスタムメタデータテーブルを確認する

インストールされているプラ​​グインの数によっては、データベースの一部の値を手動で更新する必要があります。 これを行うには、オプションとメタデータテーブルに対して個別のSQLクエリを実行します。

オプションテーブルには、次を使用します。

SELECT * FROM `wp_1secure1_options` WHERE` option_name` LIKE `%wp_%`

メタデータテーブルの場合:

SELECT * FROM `wp_1secure1_usermeta` WHERE` meta_key` LIKE `%wp_%`

クエリ結果を受け取ったら、wp_から新しく設定したプレフィックスにすべての値を更新するだけです。 ユーザーのメタデータテーブルでは、meta_keyフィールドを編集する必要がありますが、optionsテーブルでは、option_name値を変更する必要があります。

新しいWordPressインストールの保護

新しいWordPressWebサイトをインストールする場合は、これを最初からやり直す必要はありません。 インストールプロセス中にWordPressテーブルのプレフィックスを簡単に変更できます。

おめでとう! これで、データベースのセキュリティが正常に向上しました。

結論

WordPressは世界で最もハッキング可能なCMSですが、その保護を改善することはそれほど難しくありません。 このガイドでは、WordPressを安全に保つために従うべき12のヒントを紹介しました。

著者の経歴:ロイは技術愛好家であり、双子の愛情深い父親であり、カスタムソフトウェア会社のプログラムであり、TheHomeDweller.comの貪欲なリーダーの編集長であり、庭師です。