2021年にWordPressユーザーを保護するための7つのヒント

2021年にWordPressユーザーを保護する最善の方法は、強力なパスワードと2要素認証を使用することです。 それはかなり簡単に思えますよね？ 現実には、WordPressのユーザーセキュリティはもう少し微妙です。

ユーザーのセキュリティについて話すときはいつでも、すべてのWordPressユーザーが同じセキュリティ要件を持っているべきか、どのくらいのセキュリティがあまりにも多くのセキュリティであるかなどの質問をよく耳にします。

心配しないでください。 私たちはこれらすべての質問に答えます。 しかし、最初に、さまざまなタイプのWordPressユーザーについて話しましょう。

WordPressユーザーの種類は何ですか？

5つの異なるデフォルトのWordPressユーザーがいます。

1. 管理者
2. 編集者
3. 著者
4. 寄稿者
5. サブスクライバー

ユーザーごとに異なる機能があります。 機能は、ダッシュボードにアクセスしたときに何ができるかを決定します。 WordPressのユーザーロールと権限の詳細をご覧ください。

さまざまなハッキングされたWPユーザーの潜在的な損害

WordPressユーザーを保護する方法を理解する前に、まず、侵害された各タイプのユーザーの脅威レベルを理解する必要があります。 攻撃者が与える可能性のある損害の種類とレベルは、ハッキングするユーザーの役割と能力によって大きく異なります。

管理者–脅威レベルが高い

管理者ユーザーには、必要な機能があります。

• ユーザーを作成、削除、および変更します。
• プラグインとテーマをインストール、削除、編集します。
• すべての投稿とページを作成、削除、編集します。
• 投稿とページを公開および非公開にします。
• メディアを追加および削除します。

ハッカーがあなたのサイトの管理者の1人に手を差し伸べることができれば、彼らは身代金のためにあなたのWebサイトを保持する可能性があります。 ランサムウェアとは、ハッカーがWebサイトを乗っ取って、高額な料金を支払わない限り、Webサイトをリリースしないことを指します。

ランサムウェア攻撃の平均ダウンタイムは9。5日です。 10日間の販売なしの費用はどのくらいの収入になりますか？

編集者–脅威レベルが高い

編集者は、ウェブサイトのすべてのコンテンツを管理します。 これらのユーザーはまだかなりの力を持っています。

• すべての投稿とページを作成、削除、編集します。
• すべての投稿とページを公開および非公開にします。
• メディアファイルをアップロードします。
• すべてのリンクを管理します。
• コメントを管理します。
• カテゴリを管理します。

攻撃者が編集者のアカウントを制御した場合、フィッシング攻撃で使用するようにページの1つを変更する可能性があります。 フィッシングは、ログイン資格情報やクレジットカード番号などのユーザーデータを盗むために使用される攻撃の一種です。

フィッシングは、ウェブサイトをGoogleによってブラックリストに登録する最も確実な方法の1つです。 毎日、さまざまな理由で10,000のサイトがGoogleのブロックリストに登録されています。

作成者–脅威レベル中

著者は、独自のコンテンツを作成および管理するように設計されています。

• 独自の投稿やページを作成、削除、編集します。
• 自分の投稿を公開および非公開にします。
• メディアファイルをアップロードする

攻撃者が作成者のアカウントを制御できるようになると、サイトの訪問者を悪意のあるWebサイトに誘導するページや投稿が作成される可能性があります。

コントリビューターとサブスクライバー–脅威レベルが低い

コントリビューターは、作成者ユーザーロールのライトバージョンです。 彼らには出版力がありません。

• 独自の投稿を作成および編集します。
• 自分の未公開の投稿を削除します。

サブスクライバーは、他のユーザーが公開しているものを読むことができます。

コントリビューターまたはサブスクライバーの役割を持つハッカーは悪意のある変更を加えることはできませんが、ユーザーのアカウントまたはプロファイルページに保存されている機密情報を盗むことはできます。

WordPressユーザーを保護するための7つのヒント

さて、それはハッカーが私たちのウェブサイトにできるかなり厄介なことです。 幸いなことに、WordPressユーザーアカウントへのほとんどの攻撃は、ほんの少しの努力で防ぐことができます。

WordPressユーザーを保護するためにできることを見てみましょう。 真実は、これらのセキュリティ方法があらゆるタイプのWordPressユーザーを保護するのに役立つということです。 ただし、各メソッドを実行するときに、そのメソッドを使用するために必要なユーザーをお知らせします。

1.必要な機能のみを人々に提供する

Webサイトを保護する最も簡単な方法は、ユーザーに必要な機能のみを提供し、それ以上の機能を提供しないことです。 誰かがあなたのウェブサイトでやろうとしているのが自分のブログ投稿を作成して編集することだけである場合、彼らは他の人の投稿を編集する機能を必要としません。

2.ログイン試行を制限する

ブルートフォース攻撃とは、ユーザー名とパスワードの組み合わせを見つけてWebサイトに侵入するために使用される試行錯誤の方法を指します。 デフォルトでは、WordPressには、誰かが失敗したログイン試行の回数を制限するものは何も組み込まれていません。

攻撃者は、失敗したログイン試行回数に制限がなく、成功するまで無限の数のユーザー名とパスワードを試行し続けることができます。

iThemes Security Proローカルブルートフォース保護機能は、IPアドレスとユーザー名による無効なログイン試行を追跡します。 IPまたはユーザー名が連続して無効なログイン試行を何度も繰り返した場合、それらはロックアウトされ、それ以上のログイン試行はできなくなります。

3.強力なパスワードでWordPressユーザーを保護する

WordPressユーザーアカウントのパスワードが強いほど、推測が難しくなります。 7文字のパスワードを解読するのに0.29ミリ秒かかります。 しかし、ハッカーが12文字のパスワードを解読するには、2世紀が必要です。

理想的には、強力なパスワードは12文字の長さの英数字の文字列です。 パスワードには、大文字と小文字、およびその他のASCII文字を含める必要があります。

誰もが強力なパスワードを使用することで恩恵を受けることができますが、作成者レベル以上の機能を持つ人々に強力なパスワードを強制することだけが必要な場合があります。

iThemes Security Proのパスワード要件機能を使用すると、特定のユーザーに強力なパスワードの使用を強制できます。

4.侵害されたパスワードを拒否する

91％の人がパスワードの再利用は悪い習慣であることを知っていますが、59％の人はまだどこでもパスワードを再利用しています！ これらの人々の多くは、データベースダンプに表示されていることがわかっているパスワードをまだ使用しています。

ハッカーは、辞書攻撃と呼ばれるブルートフォース攻撃の形式を使用します。 辞書攻撃は、データベースダンプに表示される一般的に使用されるパスワードを使用してWordPressWebサイトに侵入する方法です。 「コレクション＃1？ MEGAホストでホストされたデータ侵害には、電子メールアドレスとパスワードの1,160,253,228の一意の組み合わせが含まれていました。 それはbで10億です。 この種のスコアは、辞書攻撃が最も一般的に使用されるWordPressパスワードを絞り込むのに本当に役立ちます。

作成者レベル以上の機能を持つユーザーが侵害されたパスワードを使用しないようにする必要があります。 また、下位レベルのユーザーに侵害されたパスワードを使用させないようにすることも考えられます。

新しい顧客アカウントの作成をできるだけ簡単にすることは完全に理解でき、奨励されています。 ただし、顧客は、使用しているパスワードがデータダンプで見つかったことを知らない場合があります。 使用しているパスワードが侵害されたという事実を顧客に警告することで、顧客にすばらしいサービスを提供することになります。 彼らがどこでもそのパスワードを使用しているなら、あなたは将来のいくつかの大きな頭痛から彼らを救うことができます。

iThemes Security Pro Refuse Compromised Passwords機能は、Have I beenPwnedによって追跡されたパスワード違反に表示されていないパスワードを使用するようにユーザーに強制します。

5.2要素認証でWordPressユーザーを保護する

二要素認証は、2つの別個の検証方法を要求することにより、個人のIDを検証するプロセスです。 Googleはブログで、2要素認証を使用すると自動ボット攻撃を100％阻止できることを共有しました。 私はそれらのオッズが本当に好きです。

少なくとも、管理者と編集者に2要素認証の使用を要求する必要があります。

iThemes Security Proの2要素認証機能は、Webサイトに2faを実装する際に非常に高い柔軟性を提供します。 すべてまたは一部のユーザーに対して2要素を有効にし、高レベルのユーザーにログインごとに2faを使用するように強制することができます。

6.WPダッシュボードへのデバイスアクセスを制限する

WordPressダッシュボードへのアクセスを一連のデバイスに制限すると、Webサイトに強力なセキュリティレイヤーを追加できます。 ハッカーがユーザーにとって適切なデバイスを使用していない場合、ハッカーは侵害されたユーザーを使用してWebサイトに損害を与えることはできません。

管理者と編集者へのデバイスアクセスのみを制限する必要があります。

iThemes Security Proの信頼できるデバイス機能は、あなたと他のユーザーがWordPressサイトへのログインに使用するデバイスを識別します。 ユーザーが認識されないデバイスにログインすると、信頼できるデバイスは管理者レベルの機能を制限できます。 つまり、攻撃者がWordPressサイトのバックエンドに侵入できた場合、攻撃者はWebサイトに悪意のある変更を加えることができなくなります。

7.WordPressユーザーをセッションハイジャックから保護する

WordPressは、WebサイトにログインするたびにセッションCookieを生成します。 また、開発者によって放棄され、セキュリティ更新プログラムをリリースしなくなったブラウザ拡張機能があるとします。 残念ながら、無視されたブラウザ拡張機能には脆弱性があります。 この脆弱性により、悪意のある攻撃者が前述のWordPressセッションCookieを含むブラウザCookieを乗っ取る可能性があります。 このタイプのハッキングは、セッションハイジャックとして知られています。 そのため、攻撃者は拡張機能の脆弱性を悪用してログインを便乗させ、WordPressユーザーに悪意のある変更を加え始める可能性があります。

管理者と編集者のために、セッションハイジャック保護を設定する必要があります。

iThemes Security Proの信頼できるデバイス機能により、セッションハイジャックは過去のものになります。 セッション中にユーザーのデバイスが変更された場合、iThemes Securityはユーザーを自動的にログアウトして、ユーザーの電子メールアドレスの変更や悪意のあるプラグインのアップロードなど、ユーザーのアカウントでの不正なアクティビティを防止します。

まとめ

WordPressの人気は、世界中のハッカーの標的になっています。 すでに説明したように、攻撃者は最低レベルのWordPressユーザーをハッキングすることで損害を与える可能性があります。 幸いなことに、WordPressユーザーへの攻撃を防ぐ方法はありませんが、私たちの少しの努力で、攻撃が成功するのを防ぐことができます。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。