WordPressブログを保護する方法

公開: 2021-07-20

WordPressは安全ではないという評判があります。 ほとんどのWebサイト所有者は、プラットフォームのオープンソースの性質により、あらゆる攻撃やセキュリティ違反に対して脆弱になると考えています。 しかし、それは事実とはほど遠いです。 WordPressのセキュリティ違反のほとんどは、人為的ミスによるものです。 したがって、どのプラットフォームでも同じ予防策を講じれば、WordPressWebサイトを保護できます。 完璧なプラットフォームはありませんが、いくつかの注意事項に従うことで、WordPressブログを保護できます。

ブルートフォース攻撃を防ぐためのログインページの保護

WordPressのログインページは、プラットフォームで最も攻撃されている機能の1つです。 それはあなたのウェブサイトの管理バックエンドへの扉です。 このため、ハッカーはブルートフォース攻撃を試みます。 カスタムログインページを使用する必要がありますが、WordPressが提供するものを使用する必要がある場合は、次の方法でブログを保護できます。

ロックダウン機能を追加してユーザーを禁止する

ロックダウンプラグインは、ログイン試行の繰り返しの失敗を検出した後にサイトをロックダウンすることにより、ブルートフォース攻撃を防ぎます。 その後、これらの不正ログインの通知を受け取ります。 ほとんどのセキュリティプラグインはこの機能を提供しますが、攻撃者のIPアドレスも禁止できる機能が必要です。

2要素認証を使用する

2要素認証(2FA)も、非常に効果的なセキュリティ対策です。 2つの異なるコンポーネントを使用したログインを使用します。 ウェブサイトの所有者であるあなたは、それらのコンポーネントが何であるかを決定します。 パスワードと秘密の質問、コード、文字、またはGoogle認証システムアプリなどの認証モバイルアプリのいずれかを使用するオプションがあります。

ユーザー名の代わりにメールIDを作成する

電子メールアドレスは一意であるため、予測が困難です。 WordPressでは、アカウントごとに一意のメールアドレスが必要です。 したがって、アカウント識別子としても使用するのは理にかなっています。

ログインURLの名前を変更します

インストールにプラグインを追加できない場合は、いつでもログインページのWebアドレスを変更できます。 これは、Webサイトをすぐに99%安全にするシンプルな機能です。

安全なパスワード強力なパスワード

強力なパスワードを変更して使用することは、WordPressやその他のWebサイトにとって常に良いヒントです。 実際、この方法は、自分のWebサイトだけでなく、すべてのアカウントで使用する必要があります。 パスワードを定期的に変更するのは理にかなっています。

アイドル状態のユーザーをログオフする

ユーザーが画面上でサイトを開いたままにすると、セキュリティ上の脅威が発生します。 誰でも立ち寄って情報を変更できます。 ユーザーのアカウントを変更したり、Webサイト全体を乗っ取ったりすることもできます。 設定された制限時間後に自動的にログアウトするだけで、この脅威を排除できます。

WordPress管理ダッシュボードの保護

ログインページが最も攻撃されていますが、ハッカーは本当に管理ダッシュボードを望んでいます。 したがって、あなたはそれをあなたのウェブサイトの最も保護された部分にしなければなりません。

Wp-Adminディレクトリを保護する

したがって、WordPressのセキュリティ対策のほとんどには、「/ wp-admin」ディレクトリが含まれている必要があります。 手始めに、フォルダのパスワードを保護する必要があります。 ダッシュボードにアクセスするには2つのパスワードを送信する必要がある場合がありますが、セキュリティを強化するために支払うのは少額です。

SSL暗号化を使用するWordPressSSLプラグイン

SSL(Secure Socket Layer)は常に良い動きです。 グーグルや他の主要な検索エンジンにあなたのウェブサイトをリストさせたいなら、それはSEO要件でもあります。 できるだけ早くブログのSSL証明書を取得する必要があります。 これは、管理領域を保護するための優れた方法でもあります。

ユーザーアカウントの使用を制限する

必要な数のユーザーアカウントのみが必要です。 複数のユーザーに管理ダッシュボードへのアクセスを許可することは絶対に避けてください。 その特権はあなたのブログを維持するために実際にそれを必要とする人々だけに与えられるべきです。 それでも、何らかの方法でアクセスを制限する必要があります。

ユーザー名の代わりに電子メールIDを作成する別の管理者ユーザー名を使用する

ログインページと同じように、誰もがデフォルトのWordPressの「admin」アカウントを知っています。 人々はそれのためにあなたのパスワードを推測する必要があるだけで、彼らはあなたのウェブサイトにいます。 管理者アカウントのユーザー名を変更することで、これを停止できます。

ファイルを監視する

最後に、Wordfenceなどのプラグインを介して、ファイルに不正な変更がないか常に監視する必要があります。

データベースを保護する

彼らが正面玄関から入ることができない場合、ハッカーは裏口を試みます。 あなたのウェブサイトのデータはデータベースにあります。 可能な限り固定してください。

テーブルプレフィックスを変更する

サイトの情報を追跡するために、WordPressは作成するすべてのデータベーステーブルにプレフィックスを割り当てます。 これをユニークなものに変更する必要があります。 デフォルトのプレフィックスにより、サイトはSQLインジェクション攻撃に対して脆弱になります。

定期的なバックアップ

ブログを完全に保護することはできませんが、いつでも通常の状態に戻すことができます。 定期的なオフサイトバックアップが必要です。

強力なデータベースパスワード

ユーザーアカウントと同様に、データベースアカウントには強力なパスワードが必要です。

ログの監視と監査

WordPressとMySQLはすべてをログに記録します。 Webサイトに何が起こったかを確認する必要がある場合は、これらのログファイルを確認できます。 そうすれば、何が変更され、誰が変更を加えたかがわかります。

サーバーを保護する

あなたのウェブサイトホスティングソリューションは安全なネットワークインフラストラクチャを提供するかもしれませんが、それらを完全に聞くべきではありません。 ユーザーデータの保護と、ユーザーがプライベートファイルにアクセスする方法を検討することが重要になります。Webサイトができる限り安全であることを常に確認してください。

安全なWp-config.php

このファイルには、Webサイトのデフォルト設定とデータベース情報が含まれています。 したがって、これはサイトのルートディレクトリで最も重要なファイルです。 したがって、アクセスできないようにする必要があります。

ファイル編集を禁止する

WordPressダッシュボードにアクセスできる人は誰でも、プラグインやテーマを含むWordPressファイルを変更できます。 これを停止するには、「define( 'DISALLOW_FILE_EDIT'、true);」を設定します。 wp-configファイルのフラグ。

安全なFTPアクセスを使用する

SFTPまたはSSHのみを使用して、ファイルをサイトにアップロードする必要があります。 安全なFTPは、ファイル転送が常に安全であることを保証します。 ホストがすでに提供している場合、それは素晴らしいことです。 ただし、必要に応じて手動で行うことができます。

セキュアディレクトリのアクセス許可

間違った許可は違反につながります。 したがって、あなたはあなたのウェブサイトが機能するために必要なものにそれらを書き直したいと思います。 通常、ディレクトリのアクセス許可を「755」に設定し、ファイルを「644」に設定します。

ディレクトリリストを無効にする

ほとんどのWebサーバーでは、ディレクトリにindex.htmlまたは別の登録済みの「デフォルト」ページがない場合、誰かがディレクトリにアクセスすると、サーバーは完全なディレクトリリストを生成します。 Webサイトの.htaccessファイルでこれを手動でオフにする必要があります。

ホットリンクをブロックする

ホットリンクを使用すると、あるWebサイトから別のWebサイトに画像やメディアをコピーして投稿できます。 共有を可能にする一方で、元のサーバーから帯域幅を盗みます。 サイトでこの機能をブロックするだけで、サイトのパフォーマンスを向上させ、ホスティング料金を削減できます。

DDoS攻撃から保護する

DDoS攻撃は、あらゆるWebサイトで最も一般的なサーバー関連の攻撃です。 攻撃者は複数のプログラムとシステムを使用してサーバーに過負荷をかけます。 それはあなたのファイルを安全に保ちますが、解決されなければあなたのサイトをクラッシュさせる可能性があります。

WordPressブログを保護する他の方法

これらは、WordPressのブログやWebサイトを保護する方法のほんの一部です。 新しい脅威が出現すると、WordPress開発グループと世界中の開発者がデータとページを確保するという課題に取り組みます。 WordPressのインストール、テーマ、プラグインを最新のリリースで最新の状態に保つ必要があります。 他の方法には、マネージドWordPressホスティングの使用、バージョン番号の非表示、WordPressコミュニティのセキュリティ開発に関する最新情報の入手などがあります。 コミュニティでは、単純なブログ投稿では得られない質問をしたり、回答を得たりする機会を提供しています。 このアドバイスにより、あなたのウェブサイトは可能な限り安全で安心できます。