WordPressのセキュリティと強化、決定的なガイド

WordPressは非常に人気があります。 インターネット上の5つのサイトのほぼすべてが何らかの形でWordPressを使用しています。 謙虚なブログ、またはマルチサイトコンテンツ管理システム（CMS）またはeコマースサイトを運営するためにそれである。 その結果、WordPress Webサイトが、経験豊富なハッカーとスクリプトキディの両方にとって非常に人気のあるターゲットであることは当然のことです。

ウェブマスターが最後に望んでいるのは、自分のウェブサイトがハッキングされていることを確認することです。 人質に取られ、ボットネットの一部であるか、マルウェアを拡散している、またはサービス拒否（DoS）攻撃に参加している可能性があります。 この記事では、WordPressWebサイトを強化するのに役立ついくつかのヒントと戦略を共有します。

目次

• WordPressは安全ですか？
• プラグインとテーマ
  • より少ないソフトウェアを実行する
  • 最小特権の原則を遵守する
  • WordPressのプラグインとテーマを更新します
  • 「null」のWordPressプラグインとテーマに近づかないでください
• WordPressを最新の状態に保つ
• WordPressホスティング
• WordPressダッシュボード
  • 登録を無効にする
  • 資格情報
  • 二要素認証（2FA）
• WordPressコアの強化
  • デバッグログを無効にする
  • XML-RPCを無効にする
  • WordPress RESTAPIを制限する
  • WordPressバージョンの開示を防ぐ
  • WordPressユーザーの列挙を防ぐ
  • WordPressファイルエディタを無効にする
  • テーマとプラグインの管理を無効にする
• TLS（SSL）
• 結論と次のステップ

WordPressは安全ですか？

これは多くのシステム管理者が尋ねる質問であり、当然のことながらそうです。 WordPressは全体的にしっかりと構築されており、安全ですが、セキュリティの脆弱性が発生しやすく、「エンタープライズグレード」ではないという評判があります。 その評判は正確には公平ではありません。 多くの場合、問題はWordPressが非常に人気のあるソフトウェアパッケージであり、セキュリティショートカットを使用しながら簡単にセットアップできることにあります。 これが私たちの最初のトピックであるプラグインとテーマにつながります。

プラグインとテーマ

WordPressのセキュリティを悩ませている一番の問題は、WordPressを信じられないほど人気のあるものにしていることでもあります。 WordPressのプラグインとテーマは、品質と安全性の点で大きく異なります。 開発者がより安全なプラグインとテーマを構築するのを支援するためにWordPressチームによって多くの作業が行われていますが、それらは依然としてセキュリティの悪夢のままです。 これは、メンテナンスが不十分なプラグイン、または大ざっぱなソースから取得したプラグインを使用している場合に気付くことがあります。

WordPressプラグインとテーマについて説明する前に、まずWordPressプラグインが実際に何であるかを理解しましょう。 プラグインは、WordPressの機能を拡張するためにWordPressが実行する単なるカスタムPHPコードです。 より詳細で技術的な説明については、WordPressプラグインとはを参照してください。

同様に、WordPressテーマを使用すると、WordPressサイトの視覚的な側面をカスタマイズできます。 攻撃者の観点からは、悪意のあるコードを実行するために両方が悪用される可能性があるため、2つの間にほとんど違いはありません。

より少ないソフトウェアを実行する

では、プラグインが悪意のあるものかどうかをどのように判断できますか？ それは複雑な質問ですが、幸いなことに私たちはあなたに答えを持っています。 これについては、WordPressWebサイトに最適なWordPressプラグインを選択する方法について詳しく説明しています。

必要な調査をすべて行ったとしても、プラグインがセキュリティ上の脅威である可能性もあります。 したがって、リスクを軽減する方法の1つは、絶対に必要で信頼できるソフトウェアのみを実行することです。 新しいWordPressプラグインをインストールする前に、そのプラグインを本当にインストールする必要があるかどうかを自問してください。 サイト固有のプラグインの小さなコードスニペットでうまくいくことができますか、それとも完全に本格的なプラグインが合法的に必要ですか？

重要—インターネットで見つけたコードスニペットには十分注意してください。 コードが何をしているのかを完全に理解していない限り、コードを使用しないでください。StackOverflowにあるからといって、安全に使用できるとは限りません。

プラグインを実行する必要がある場合は、ガイドで説明されているように、プラグインがアクティブに維持され、定期的に更新されていることを確認してください。 経験則として、プラグインまたはテーマのダウンロード数と最近の更新数が多いほど、プラグインまたはテーマが広く使用されており、作成者によって積極的に保守されていることを示しています。 これは、プラグインに脆弱性がないことを意味するものではありません。 ただし、脆弱性が見つかった場合、開発者は迅速に行動し、迅速に修正を発行します。

ダウンロード数が少なく、重要なことに、アクティブなコミュニティや定期的な更新がないプラグインは避けてください。 何かが1年以内に更新を受け取らなかった場合、それは一般的に危険信号です。

最小特権の原則を遵守する

WordPressは、データベースに接続するためにMySQLrootユーザーを使用する必要はありません。 また、すべてのWordPressユーザーが管理者の役割を持つ必要はありません。 同様に、特別な理由がない限り、ほとんどのプログラムを特権ユーザーとして実行することはお勧めできません。

セキュリティのベストプラクティスでは、アプリケーションが適切に機能するために可能な限り最小限の特権を常に与えられ、追加の特権が無効になるように常に指示されています。 この慣行は、一般に最小特権の原則と呼ばれます。

仮に、WordPressが特権ユーザーアカウントでデータベースに接続していると仮定しましょう。 SQLインジェクションの脆弱性を含むWordPressプラグインの場合、攻撃者は管理者としてSQLクエリを実行できるだけでなく、場合によってはオペレーティングシステムコマンドを実行できる可能性があります。 攻撃者がオペレーティングシステムコマンドの実行に成功した場合、攻撃者は偵察を実行し、攻撃を他のシステムにエスカレートする可能性があります。

管理者権限でソフトウェアを実行したり、ユーザーに必要以上のアクセス権を提供したりすることは、問題を引き起こします。 これは、セキュリティ違反が発生した場合に攻撃者がより多くの損害を与えることを可能にするため、実証済みの最小特権の原則に反します。

WordPressの良いところは、いくつかの組み込みの役割があり、要件に応じて、さまざまなユーザーにさまざまな特権を割り当てるために使用できることです。 これについては、WordPressのセキュリティを向上させるためにWordPressのユーザーロールを使用する方法について詳しく説明しています。

WordPressのプラグインとテーマを更新します

WordPressプラグインとテーマの更新は、新機能やバグ修正の恩恵を受けるだけでなく、セキュリティの脆弱性にパッチを適用するためにも重要です。 プラグインとテーマはどちらも、WordPressインターフェース内で簡単に更新できます。

一部の商用プラグインには、プラグインを最新の状態に保つための独自のメカニズムがある可能性がありますが、ほとんどの場合、これはユーザーに対して透過的です。 それでも、使用している更新システムが何であれ、プラグインとテーマを最新の状態に保つようにしてください。

'nulled'WordPressプラグインとテーマを使用しないでください

WordPressはGPL1を利用してい^ます 。 詳細に立ち入ることなく、GPLライセンスでは、誰でもGPLライセンスのソフトウェアを自由に配布できます。 これには、商用/プレミアムGPLライセンスのWordPressテーマとプラグインが含まれます。 そのため、通常はnullのプレミアムテーマまたはプラグインと呼ばれる変更されたものをダウンロードして、無料で使用することは違法ではない可能性があります。

ただし、すでにお察しのとおり、プラグイン開発者をサポートしていないことを除けば、nullのプラグインの更新を受け取る可能性はほとんどありません。 さらに、このプラグインのソースが不正な処理を行うように変更されているかどうかを知る方法はありません。

WordPressを最新の状態に保つ

プラグインとテーマを最新の状態に保つ必要があるのと同じように、実行しているWordPressのバージョンを最新の状態に保つことも重要です。 幸い、これは以前よりもはるかに簡単になり、重要なセキュリティ更新が自動的に行われます。 もちろん、この機能を明示的に無効にしない限り。

新機能、改善、バグ修正に加えて、WordPressコアアップデートには、攻撃者がWordPress Webサイトを悪用し、それを悪用して利益を得るのを防ぐ可能性のあるセキュリティ修正も含まれています。

WordPressホスティング

WordPressサイトをホストする場所と方法は、要件によって大きく異なります。 WordPressを自分でホストして管理することに何の問題もありませんが、技術的に精通していない場合、または多くの手間をかけずにWordPressのセキュリティの基本のほとんどを確実に満たす場合は、 KinstaやWPEngineなどのマネージドWordPressホスティングプロバイダー。

両方のホストでホストされているWebサイトがあるので、それらについて書きました。 お客様のストーリーでは、お客様との経験を強調しています。 あなたの経験の詳細については、WPエンジンとKinstaのカスタマーストーリーをお読みください。 マネージドWordPressホスティングは、他の方法では自分自身について心配する必要のある多くのセキュリティ上の決定と構成を抽象化します。

当然のことながら、マネージドWordPressホスティングもあなたには向いていないかもしれません。 特に予算に制約がある場合は、WordPressを自分でホストすることを選択できます。 セルフホスティングのWordPressを使用すると、WordPressのインストールをより細かく制御できます。 さまざまなWordPressホスティングオプションのすべてと、最適なものについて詳しくは、WordPressホスティングを選択するためのガイドを参照してください。

WordPressダッシュボード

あなたのサイトのWordPressダッシュボードは、許可されていない人が潜んでいることを望まない場所です。 パブリックユーザーがWordPressダッシュボードを使用してログインできるようにする正当な理由があるサイトもありますが、これは大きなセキュリティリスクであり、慎重に検討する必要があります。

幸い、ほとんどのWordPress Webサイトにはこの要件がないため、WordPressダッシュボードへのアクセスが妨げられます。 これを行うにはいくつかの方法があり、自分に最適な方法を選択する必要があります。

一般的な方法は、WordPress Admin（wp-admin）ページをパスワードで保護することでアクセスを制限することです。 別の解決策は、選択したいくつかのIPアドレスへの/ wp-adminへのアクセスのみを許可することです。

登録を無効にする

デフォルトでは、WordPressはパブリックユーザーがWordPressWebサイトに登録することを許可していません。 ユーザー登録が無効になっていることを確認するには：

1. WordPressダッシュボード領域の[設定] > [一般]ページに移動します
2. メンバーシップセクションに移動します
3. [誰でも登録できる]の横のチェックボックスが選択されていないことを確認します。

資格情報

他のウェブサイトと同様に、WordPressダッシュボードへのアクセスは資格情報と同じくらい強力です。 強力なWordPressパスワードセキュリティを実施することは、どのシステムでも重要なセキュリティ制御であり、WordPressも例外ではありません。

WordPressにはすぐにパスワードポリシーを設定する方法はありませんが、WPasswordなどのプラグインは、WordPressダッシュボードにアクセスできるすべてのユーザーにパスワード強度の要件を適用するために絶対に不可欠です。

Webサイトに強力なパスワードセキュリティを適用したら、WPScanを使用して弱いWordPressクレデンシャルをテストし、弱いパスワードを使用しているアカウントがないことを確認します。

二要素認証（2FA）

WordPressダッシュボードのもう1つの重要なセキュリティ制御は、2要素認証を要求することです。 二要素認証（2FA）を使用すると、攻撃者がユーザーのパスワードを発見した場合に、攻撃者がWordPressダッシュボードにアクセスするのが非常に困難になります（たとえば、攻撃者がデータ侵害からユーザーのパスワードを発見する可能性があります）。

幸い、WordPressで2要素認証を設定するのは非常に簡単です。 この機能を追加するために使用できる高品質のプラグインがいくつかあります。 WordPressで利用可能な上位2FAプラグインのハイライトについては、WordPressに最適な2要素認証プラグインをお読みください。

WordPressコアの強化

WordPressのコアは安全なソフトウェアですが、それ以上強化できないという意味ではありません。 以下は、WordPressコアに固有のいくつかの強化戦略です。

デバッグログが無効になっていることを確認してください

WordPressを使用すると、開発者はデバッグメッセージをファイル（デフォルトでは/wp-content/debug.log）に記録できます。 これは開発環境では完全に受け入れられますが、同じファイルや設定が本番環境に移行した場合、攻撃者がこのファイルに簡単にアクセスする可能性があることに注意してください。

WordPressのデバッグはデフォルトで無効になっています。 常に再確認することをお勧めしますが、wp-config.phpファイルでWP_DEBUG定数が定義されていないことを確認するか、明示的にfalseに設定してください。 すべてのデバッグオプションのリストについては、WordPressデバッグガイドを参照してください。

何らかの理由で、Life WebサイトでWordPressデバッグログが必要な場合は、Webサーバールートの外部にあるファイル（例：/var/log/wordpress/debug.log）にログを記録します。 paを変更するには

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

XML-RPCを無効にする

WordPressのXML-RPC仕様は、異なるシステム間の通信を可能にするように設計されました。 これは、事実上すべてのアプリケーションがWordPressと対話できることを意味します。 WordPress XML-RPC仕様は、歴史的にWordPressにとって重要でした。 それはそれが他のシステムやソフトウェアと相互作用し、統合することを可能にします。

良い点は、XML-RPCがWordPress RESTAPIに取って代わられたことです。 XML-RPCに関するセキュリティ上の懸念のいくつかを強調するため。 そのインターフェースは、何年にもわたって多くのセキュリティの脆弱性の原因となってきました。 また、攻撃者はユーザー名の列挙、パスワードのブルートフォース攻撃にも使用できます。 または、XML-RPCピングバックを介したサービス拒否（DoS）攻撃。

したがって、XML-RPCを積極的に使用していて、適切なセキュリティ制御が実施されていない限り、無効にする必要があります。 これはサードパーティのプラグインをインストールしなくても簡単に実現できるものなので、その方法については以下で説明します。

/xmlrpc.phpへのアクセスをブロックするようにWebサーバーを構成するだけでもかまいませんが、これを行うための推奨される方法は、組み込みのWordPressフィルターを使用してXML-RPCを明示的に無効にすることです。 プラグインファイルに以下を追加して、サイトでアクティブ化するだけです。

add_filter('xmlrpc_enabled', '__return_false');

注意喚起

• WordPressを利用するには、このコードスニペットや他の同様のコードスニペットにプラグインを使用する必要があります。

WordPress RESTAPIを制限する

XML-RPCと同じように、WordPress APIは、サードパーティアプリケーションがWordPressと通信するための最新の方法です。 安全に使用できますが、ユーザーの列挙やその他の潜在的な脆弱性を防ぐために、その中の一部の機能を制限することをお勧めします。 XML-RPCとは異なり、WordPressは、REST APIを完全に無効にする単純なネイティブの方法を提供していません（以前は² 、ただし、これは非推奨になったため、これ以上使用しないことをお勧めします）。ただし、制限することができます。

WordPressで一般的であるように、これを実現するためにプラグインを使用するか、プラグインファイルに次のフィルターを追加してサイトでアクティブ化することができます。 次のコードは、rest_authentication_errors WordPressフックを使用して不正なHTTPステータスコード（ステータスコード401）を返すことにより、ログインしていないユーザーのWordPress RESTAPIを無効にします。

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
return $result;
});

さらに、WordPress RESTAPIはデフォルトでJSONPを有効にします。 JSONPは、最新のブラウザーがCORS（クロスオリジンリソースシェアリング）をサポートする前に、ブラウザーの同一生成元ポリシーをバイパスするための古い手法です。 これは攻撃者による攻撃のステップとして使用される可能性があるため、これを有効にする本当の理由はありません。 次のPHPスニペットを使用してrest_jsonp_enabledWordPressフィルターを使用して無効にすることをお勧めします。

add_filter('rest_enabled', '__return_false');

詳細については、フィルターのドキュメントを参照してください。

WordPressバージョンの開示を防ぐ

他の多くのWebアプリケーションと同様に、デフォルトでは、WordPressはそのバージョンを多くの場所で公開しています。 バージョンの開示はセキュリティ上の脆弱性ではありませんが、この情報は攻撃者が攻撃を計画する際に非常に役立ちます。 その結果、WordPressのバージョン開示機能を無効にすると、攻撃が少し難しくなる可能性があります。

WordPressは多くのバージョン情報を漏らしています。 幸い、このGitHubの要点は、WordPressプラグインの形式で無効にするWordPressフィルターの包括的なリストを提供します。 もちろん、このコードを、既存のサイト固有のプラグインまたは既存のプラグインに組み込むことができます。

WordPressユーザーの列挙を防ぐ

WordPressは、多くのユーザー列挙攻撃に対して脆弱です。 このような攻撃により、攻撃者は、ユーザーが存在するかどうかに関係なく、どのユーザーが存在するかを把握できます。 これは無害に見えるかもしれませんが、攻撃者がこの情報をより大きな攻撃の一部として使用する可能性があることに注意してください。 このトピックの詳細については、WPScanを使用してWordPressユーザーを列挙する方法をお読みください。

WordPressユーザーの列挙を防ぐには、次のWordPress機能が無効または制限されていることを確認する必要があります。

• WordPress RESTAPIを認証されていないユーザーに制限する
• WordPressXML-RPCを無効にする
• / wp-adminと/wp-login.phpをパブリックインターネットに直接公開しないでください

さらに、/？author = <number>にアクセスできないようにWebサーバーを構成する必要もあります。 Nginxを使用している場合は、次の構成を使用してWordPressユーザーの列挙を防ぐことができます。

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

または、Apache HTTPサーバーを使用している場合は、次の構成を使用してWordPressユーザーの列挙を防ぐことができます。

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

WordPressファイルエディタを無効にする

WordPressの最も危険な機能の1つは、WordPressダッシュボード自体からファイルを編集する機能です。 ユーザーがこれを行う必要がある正当な理由があってはならず、確かにWordPressコアに対してはそうではありません。 どちらかといえば、高品質のファイル整合性監視（FIM）セキュリティプラグインを使用して、どのファイルが変更されたかを正確に把握する必要があります。

ファイルの変更に関するアラートを受け取るには、当社が開発したWebサイトファイル変更モニタープラグインを使用します。

Webサイトへのファイルの変更は、安全な接続（SFTPなど）を介して行うか、できればバージョン管理リポジトリで追跡し、CI / CDを使用してデプロイする必要があります。

WordPressダッシュボードでプラグインとテーマファイルエディターを無効にするには、wp-config.phpファイルに以下を追加するだけです。

define('DISALLOW_FILE_EDIT', true );

テーマとプラグインの管理を無効にする

WordPressのセキュリティに関する優れたベストプラクティスは、WordPressダッシュボードからプラグインとテーマの管理を無効にすることです。 代わりに、wp-cliなどのコマンドラインツールを使用してこれらの変更を行ってください。

テーマとプラグインの変更を無効にすることで、WordPressWebサイトの攻撃対象領域を大幅に減らすことができます。 この場合、攻撃者が管理者アカウントの侵害に成功したとしても、悪意のあるプラグインをアップロードして、WordPressダッシュボードへのアクセスを超えて攻撃をエスカレートすることはできません。

wp-config.phpで定義されたDISALLOW_FILE_MODS定数は、ダッシュボードを介したプラグインとテーマの更新およびインストールを無効にします。 また、ダッシュボード内のすべてのファイル変更を無効にして、テーマエディターとプラグインエディターを削除します。

WordPressダッシュボードでテーマとプラグインの変更を無効にするには、wp-config.phpファイルに以下を追加します。

define('DISALLOW_FILE_MODS', true );

WordPress HTTPS（SSL / TLS）

トランスポート層セキュリティ（TLS）は、WordPressのセキュリティにとって絶対に不可欠であり、無料で簡単に設定できます。 注：TLSは、Secure Socket Layer、SSLに代わるプロトコルです。 ただし、SSLという用語は非常に一般的であるため、多くの人がTLSをSSLと呼んでいます。

HTTPS（HTTP over TLS）を介してWebサイトにアクセスすると、HTTPの要求と応答が傍受されたり、スヌープされたり、攻撃者によって変更されたりすることはありません。

TLSは、WordPressのインストールよりもWebサーバーまたはコンテンツ配信ネットワーク（CDN）と関係がありますが、TLS（WordPress HTTPS）の最も重要な側面の1つはそれを実施することです。 WordPress HTTPS（SSLおよびTLS）の設定方法については、オンラインで豊富な情報があります。

構成ファイルの編集に慣れておらず、プラグインを使用してWordPress HTTPSに切り替える場合は、Really SimpleSSLまたはWPforceSSLを使用できます。 それらは両方とも非常に優れており、使いやすいプラグインです。

さらに安全なWordPressの次のステップ

あなたがこれまでにそれを成し遂げたなら、素晴らしいです、しかしそれはなされるべきより多くの強化がまだないという意味ではありません。 以下は、WordPressWebサイトをさらに強化するために調べることができるいくつかの項目です。

1. PHPを強化します。 PHPがWordPressWebサイトのコアコンポーネントであることを考えると、PHPの強化は論理的な次のステップの1つです。 これについては、WordPressWebサイトのベストPHPセキュリティ設定で詳しく説明しています。
2. 信頼できるセキュリティプラグインを使用します。 高品質のセキュリティプラグインは、WordPressにネイティブに含まれていない高度なセキュリティ機能を提供します。 そこには膨大な量のWordPressセキュリティプラグインがあります。 ただし、評判の良いプラグインを選択するようにしてください。理想的には、WordPress用の高品質のセキュリティプラグインのように、プレミアムまたは商用サポートが利用できるプラグインを選択してください。
3. ファイルパーミッション監査を実行します。 Linuxで実行されているWordPressWebサイトの場合、ファイルのアクセス許可が正しくないと、権限のないユーザーが機密性の高いファイルにアクセスできる可能性があります。 このテーマの詳細については、安全なWordPressWebサイトとWebサーバーのアクセス許可を構成するためのガイドを参照してください。
4. バックアップファイルの監査を実行します。 誤ってアクセス可能なままにしたバックアップファイルは、機密情報を漏洩する可能性があります。 これには、攻撃者がWordPressのインストール全体を制御できるようにする可能性のあるシークレットを含む構成が含まれます。
5. Webサーバーを強化する
6. MySQLを強化する
7. 必要なHTTPセキュリティヘッダーを追加します
8. WordPressバックアップシステムが機能していることを確認してください。
9. DDoS保護サービスを使用する
10. コンテンツセキュリティポリシーを実装する
11. 公開されたバックアップファイルと参照されていないファイルを管理します。

結論–これはWordPressのセキュリティジャーニーの最初のステップにすぎません

おめでとう！ 上記のすべてのアドバイスに従い、推奨されるすべてのセキュリティのベストプラクティスを実装した場合、WordPressWebサイトは安全です。 ただし、WordPressのセキュリティは1回限りの修正ではなく、進化し続けるプロセスです。 WordPress Webサイト（1回限りの状態）を強化することと、何年もの間安全に保つことには大きな違いがあります。

強化は、WordPressセキュリティプロセス（WordPressセキュリティホイール）の4つの段階の1つにすぎません。 安全なWordPressWebサイトを一年中利用するには、テスト>強化>監視>改善というWordPressのセキュリティプロセスを繰り返す必要があります。 WordPress Webサイトのセキュリティ状態を継続的にテストおよびチェックし、ソフトウェアを強化し、システムを監視し、表示および学習した内容に基づいてセットアップを改善する必要があります。 例えば：

• WPScanなどのツールは、WordPressWebサイトのセキュリティ体制をテストするのに役立ちます
• WordPressファイアウォールは、悪意のある既知のハッキング攻撃からWordPressWebサイトを保護できます
• WordPressアクティビティログは、長い道のりを進むのに役立ちます。Webサイトで発生したすべての変更を記録することで、ユーザーの説明責任を改善し、各ユーザーが何をしているのかを把握し、内部のすべてのアクティビティを監視できます。
• WordPressのセキュリティおよび管理プラグインなどのツールは、パスワードのセキュリティを確保し、WordPressのセキュリティプロセスを強化し、ファイルの変更に関するアラートを受け取るのに役立ちます。

あなたはあなたのサイトを安全に保つためのすべての適切なツールを持っています。 小さなWordPressWebサイトを運営している場合でも、時間をかけてこのガイドを徐々に読んでください。 WordPressを標的とした攻撃によって略奪されるだけで、すばらしいWebサイトの構築に取り掛かることに終わらないようにしてください。

100％効果的なセキュリティというものはありません。 ただし、このガイドで説明されているさまざまな強化手法を適用することで、攻撃者が足場を築き、WordPressWebサイトを攻撃するのをかなり難しくしています。 攻撃者が次の犠牲者を標的にしているとき、あなたは彼らを裏切る必要がないことを覚えておいてください。 次の脆弱なWebサイトよりも安全である必要があります。