WordPressサイトのセキュリティ監査を行う方法

公開: 2021-06-09

WordPressのセキュリティ監査を最後に実施したのはいつですか? あなたはかつてあなたのWordPressサイトで完全なWordPressセキュリティ監査について学びそして実行さえしたかもしれません。 たぶん、それはあなたが楽しんだプロセスではなかったでしょうが、悪意のあるハッカーを遠ざけるために必然的にそれをしました。

残念ながら、WordPressのサイトのセキュリティに対処するための1回限りの取り組みでは十分ではありません。 悪意のあるハッキングは絶えず進んでいます。 良いニュースは、あなたが自由に使える予防策とセキュリティツールが脅威とともに進歩しているということです。

完全なWordPressセキュリティ監査は、サイトで機能しているセキュリティ対策と機能していないセキュリティ対策を確認するための最良の方法です。 これは、ハッカーがサイトに不正にアクセスする可能性を制限したい場合に、約3か月ごとに実行する必要があるプロセスです。

サイトでWordPressのセキュリティ監査を成功させるためのすべてのステップを学ぶため、このガイドをブックマークしてください。

見てみましょう。

このガイドでは

    WordPressのセキュリティ監査とは何ですか?

    一言で言えば、WordPressのセキュリティ監査はあなたのウェブサイトのセキュリティ対策の検査です。 ただし、WordPressのセキュリティ監査を実施することで、サイトが完全に保護されていることを確認するために採用する追加のセキュリティ対策を特定できます。

    完全なセキュリティ監査の実行にはかなりの数のステップが含まれ、特定のプロセスに従わずにチェックリストを準備しておくと、圧倒されます。

    過去にセキュリティチェックを実行したことがある場合でも、このガイドは、3か月ごとに繰り返すことができるプロセスの設定を支援することを目的としています。 完璧な世界では、セキュリティ監査を毎日実行します。 しかし、そのような時間がない場合は、3か月に1回が開始するのに最適な場所です。

    WordPressセキュリティ監査を実行する理由

    あなたのウェブサイトへの非常に多くの脅威があるので、あなたのワードプレスサイトをできるだけ安全にすることが重要です。 WebサイトのWordPressセキュリティ監査を実行すると、サイトへの攻撃の成功に備えて防止するのに役立ちます。 考えられるすべての問題からサイトを保護することはできませんが、WordPressのセキュリティ監査を実行することで、最も一般的な脅威に備えることができます。

    ある時点で、WordPressで実行されているほぼすべてのWebサイトがセキュリティの問題に直面することになります。 たとえば、テーマやプラグインには、ハッカーが悪用して悪意を持ってサイトにアクセスする可能性のある脆弱性が存在する可能性があります。

    参加すると、許可されていない広告やコンテンツを表示したり、サイトのトラフィックを別のWebサイトに誘導したり、顧客を盗んだり、個人データを盗んだりすることができます。 これらのシナリオは、ハッカーがサイトのバックエンドにアクセスしたときにできることのほんの始まりにすぎません。

    完全なWordPressセキュリティ監査を実行すると、これらのタイプの問題をすぐに特定できるため、Webサイトのセキュリティのギャップを埋めることができます。

    WordPressセキュリティ監査

    WordPressのセキュリティ監査を実行する方法:14の質問に答える

    物事をできるだけ単純にするために、Webサイトの完全なセキュリティ監査を実行するたびに実行する必要のある番号付きの手順を次に示します。

    1. Webサイト上のすべてのソフトウェアは最新ですか?

    WordPressのセキュリティ監査を行う際に確認するのは簡単ですが、非常に重要なことの1つは、Webサイトのすべてが最新であるかどうかです。 これには、すべてのプラグイン、テーマ、WordPress自体が含まれます。 プラグイン、テーマ、またはWordPress自体について、サイトに保留中の更新がありますか?

    特にWordPressの場合、バージョンの更新にはセキュリティの修正と改善が含まれることがよくあります。 古いバージョンを実行している場合、セキュリティの問題は通常既知であり、悪用される可能性があります。 そのため、WordPressサイトのすべてを最新の状態に保つことが非常に重要です。

    更新は、WordPress管理ダッシュボードのいくつかの異なる場所にあります。 (これは、サイトの状態とセキュリティにとって更新が非常に重要であるため、意図的なものである可能性があります。)

    ワードプレスの更新

    iThemes Security Pro WordPressバージョン管理機能を使用して、サイトの更新を自動化できます。 更新を自動化することで、WordPressのセキュリティの脆弱性からサイトを保護する重要なセキュリティパッチを確実に入手でき、ボーナスとして、WordPressサイトの保守に費やす時間を削減できます。

    ヒント:複数のWordPress Webサイトを管理している場合は、iThemes Syncなどのサービスを使用して、更新をすばやく実行します。

    2.誰があなたのサイトへの管理者レベルのアクセス権を持っていますか?

    WordPressを使用すると、複数のユーザーがサイトのメンテナンスと開発に貢献し、共同作業を行うことができます。 ただし、すべてのユーザーがWebサイトへの完全な管理アクセスを必要とするわけではありません。 各ユーザーに適切なユーザーの役割を知ってください。すべてのユーザーがフルアクセスを必要とするわけではありません。 アクセスを制限すると、ユーザーからのセキュリティの問題が制限されます。

    代表的な例は作家です。 コンテンツの作成と公開を可能にするアクセスのみが必要になります。 ただし、テーマの更新やプラグインのインストールなど、他のサイトの変更を行うためのアクセスは必要ありません。

    サイトユーザーを適切に分類するために、WordPressには、各ユーザーに割り当てることができる6つの異なるユーザーロールが用意されています。

    • スーパー管理者
    • 管理者
    • 編集者
    • 著者
    • 寄稿者
    • サブスクライバー

    これらの役割にはそれぞれ独自のサイト権限があることに注意してください。

    WordPressのセキュリティ監査を実施するときは、最初に、サイトのバックエンドに追加した各ユーザーを分析する必要があります。

    • 何人のユーザーが完全な管理者アクセス権を持っていますか?
    • 実際に何人のユーザーが管理者アクセスを必要としますか?
    • 管理者アクセスを必要としないサイトに低いアクセス許可を与えることで、サイトアクセスを制限できますか?
    • ダッシュボードにアクセスできるすべてのユーザーを認識していますか? そうでない場合は、ハッカーがサイトで作成した不正なアカウントである可能性があるため、認識できないユーザーを削除します。

    完了したら、サイト管理者である個人がAdminという名前を使用していないことを確認してください。 これは、ハッカーが不正なサイトアクセスを取得しようとするために利用する最も一般的なWordPressユーザー名です。

    誰かが管理者アカウントを持っている場合は、最初にその人の新しいアカウントを作成し、既存のコンテンツを新しいユーザーアカウントに割り当てる必要があります。

    それが終わったら、Adminというアカウントを削除するだけです。

    3. 2要素認証を使用していますか?

    WordPressの2要素認証を追加することは、サイトへのログインアクセスを保護するための最良の方法の1つです。 二要素認証では、ユーザーがWordPressにログインするために、ユーザー名とパスワードに加えて認証トークンを使用する必要があります。

    正しいユーザー名とパスワードがユーザーの電子メールから直接フィッシングされた場合でも、ユーザーがモバイルアプリケーションを使用して認証トークンを受信して​​いる場合は、悪意のあるログイン試行を防ぐことができます。 二要素認証は、WordPressサイトに非常に強力なセキュリティ層を追加し、iThemesSecurityなどのプラグインを使用して簡単に追加できます。

    実際、Googleの最近の調査では、2要素認証を使用すると、自動化されたボット攻撃を100%阻止できることが確認されています。 私はそれらのオッズが好きです。 iThemes Security Proを使用すると、WordPressWebサイトに2要素認証を簡単に追加できます。

    4. WordPressサイトのバックアップソリューションはありますか?

    セキュリティ監査中に問題が発生した場合は、サイトの完全バックアップをすぐに使用できるようになったことをうれしく思います。 これにより、サイトをすばやく復元し、問題が発生した場合に通常の状態に戻すことができます。

    しかし、バックアップコピーでさえ失敗した場合にどうするかを検討しましたか? サイトをまったく復元できなかった場合はどうしますか?

    これが、バックアップソリューションを用意するだけでなく、それをテストすることが重要である理由です。 サイトのバックアップに使用しているのがホストのツールだけである場合、多くの場合、テストの実行が許可されていません。

    代わりに、BackupBuddyと呼ばれるWordPressバックアッププラグインをダウンロードしてインストールします。 このプラグインは、Webサイト全体の完全なバックアップを自動的に作成します。

    サイト全体をバックアップサーバーにコピーするため、サイトの最初のバックアップには少し時間がかかる場合があることに注意してください。 ただし、将来のバックアップでは、前回のバックアップ以降にサイトに加えた変更のみがバックアップされるため、はるかに高速になります。

    BackupBuddyを使用してサイトのバックアップを完了すると、ダッシュボードに移動して、どのように復元されるかをテストできます。

    5.未使用のWordPressプラグインはありますか?

    脆弱なプラグインは、非常に多くの異なるWordPressハックの弱点です。 プラグインは、開発者によって作成されたツールであり、プラグインを維持し、最新の状態に保ちます。 ただし、すべての形式のソフトウェアと同様に、さまざまなセキュリティの脆弱性が時間の経過とともに問題になる可能性があります。

    ほとんどのプラグイン開発者はこれらの問題を迅速に修正し、ユーザーがダウンロードしてインストールできるようにアップデートをリリースします。 更新は、多くの場合、Webサイトから脆弱性を削除する特定のセキュリティパッチです。

    これらのアップデートが利用可能になったらすぐにダウンロードすることが重要です。

    WordPressのセキュリティ監査中に、サイトにインストールされているプラ​​グインのリストを確認してください。 ほとんどのWordPressサイトの所有者は、新しいプラグインを試して、何ができるかを確認することを好みます。 しかし、それらを永続的に使用することはなく、インストールしたことを忘れることがよくあります。

    使用していないプラグインを削除するには、少し時間がかかります。 これにより、サイト上の不要な要素がすべて取り除かれ、ハッカーが侵入するリスクが軽減されます。

    実行しているすべてのプラグインに精通していることと、それらを認識していることを確認してください。 実行中のプラグインを認識できず、チームがプラグインをインストールしていないことが確実な場合は、急いでプラグインを削除することをお勧めします。 サイトに感染しているマルウェアが含まれている可能性があります。

    ハッカーは、海賊版ソフトウェアを使用して悪意のあるマルウェアを配布することがよくあります。

    6.未使用のWordPressテーマはありますか?

    WordPressサイトの所有者として、私たちが固執したいテーマを見つけるために多くの異なるテーマをインストールするのが一般的です。 ただし、使用していないものを削除するのを忘れた場合は、危険な脆弱性が発生する可能性があります。

    警告:使用していないテーマとプラグインを削除することを忘れないでください。 未使用のテーマとプラグインは、サイトを危険な攻撃に対して脆弱なままにします。

    このため、使用されていないすべてのテーマを削除し、現在実行中のテーマのみを保持することが重要です。

    また、テーマが最新バージョンに更新されていることを確認してください。

    7.サイトに非アクティブなユーザーがいますか?

    サイトの古いプラグインやテーマと同じように、非アクティブなユーザーが悪用されてサイトを攻撃する可能性があります。

    ユーザーを作成したサイトで作業しているサポート担当者がいましたか? 先に進み、そのユーザーを削除します。 サイトでアクティブでない場合は、ユーザーアカウントは必要ありません。

    8.あなたのウェブホストはあなたのウェブサイトを保護するために何をしますか?

    共有ホスティングテクノロジーにより、これまで以上に多くの人々が最小限の投資で独自のWebサイトを作成できるようになりました。 これらの共有ホスティングプランは非常に安価で、主に小さなWebサイト向けに調整されています。

    WordPressサイトを最初に立ち上げたとき、おそらくこれらの共有ホスティングプランの1つを使用していました。 しかし、サイトが成長するにつれて、ホスティングのニーズも大きくなります。

    ヒント:季節ごとに、またはビジネスに大きな変更を加えるたびに、ホスティングのニーズを評価してください。

    共有ホスティングとは、サーバーを他の多くのサイトと共有していることを意味します。 サーバーを共有するこれらの他のサイトが何をしているかを制御することはできません。 それらのサイトの1つがハッキングされた場合、それはおそらく多くのサーバーリソースを消費します。

    この問題により、サイトの速度が低下し、パフォーマンスが低下します。

    マルウェア感染が、共有サーバーで実行されている別のサイトからサイトに広がる可能性もあります。 言い換えれば、過去の共有ホスティングをアップグレードする余裕がある場合は、おそらく専用サーバーにアクセスするときです。

    質の高いホスティングは通常、月額4ドルでは提供されないことに注意してください。 サイトの電源を入れて完全に安全であることを確認したい場合は、iThemesが提供する専用ホスティングプランをご覧ください。

    9.ログインの試行を制限していますか?

    デフォルトでは、WordPressには、誰かが失敗したログイン試行の回数を制限するものは何も組み込まれていません。 攻撃者が試行できるログイン試行の失敗回数に制限がない場合、攻撃者は、機能するものが見つかるまで、さまざまなユーザー名とパスワードの組み合わせを試行し続けることができます。

    ログインの試行を制限することで、ブルートフォース攻撃の機会を大幅に減らすことができます。 ブルートフォース攻撃とは、Webサイトをハッキングするためにユーザー名とパスワードを発見するために使用される試行錯誤の方法を指します。 WordPressはユーザーのログインアクティビティを追跡しないため、ブルートフォース攻撃からユーザーを保護するためにWordPressに組み込まれているものはありません。

    幸いなことに、iThemeSecurityプラグインを使用してログイン試行を制限できます。 iThemes Security Proローカルブルートフォース保護機能は、ホストまたはIPアドレスとユーザー名によって行われた無効なログイン試行を追跡します。 IPまたはユーザー名が連続して無効なログイン試行を何度も繰り返した場合、それらはロックアウトされ、設定された期間、それ以上試行できなくなります。

    10.あなたのウェブサイトはHTTPSですか?

    アクセスしているWebサイトにSSL証明書がインストールされているかどうかを確認する簡単な方法は、ブラウザのアドレスバーを調べて、URLがHTTPまたはHTTPSで始まっているかどうかを確認することです。 URLがHTTPSで始まる場合は、SSLを使用してサイトを安全に閲覧しています。

    WebサイトにSSL証明書を設定することで得られるセキュリティ上の利点は、SSL証明書をどのWebサイトにも必須にするのに十分です。 ただし、すべての人がサイトの訪問者を保護することを奨励するために、Webブラウザーと検索エンジンは、すべての人にSSLの使用を奨励するという否定的なインセンティブを生み出しました。

    SSLとは何か、およびSSLをサイトにインストールする方法の詳細は次のとおりです。

    11.どのユーザーがあなたのサイトにFTP / sFTPアクセスできますか?

    FTP(File Transfer Protocol)は、ローカルワークステーションをWebサイトのサーバーに接続できるようにするテクノロジです。 これを使用すると、サイトのすべてのフォルダーとファイルにアクセスして、必要な変更を加えることができます。

    FTPアクセスを使用すると、ユーザーはサイトファイルを削除および変更できるため、信頼できるユーザーにのみFTPアクセスを許可し、この種のサイトアクセスを要求する必要があります。

    ユーザーのリストを確認し、必要に応じてFTPパスワードをリセットすることをお勧めします。

    パスワードを変更するには、WordPressホスティングアカウントに移動し、cPanel> FTPアカウントに移動します。

    サイトファイルへのFTPアクセスを必要としないユーザーを削除することを忘れないでください。

    12.セキュリティアクティビティを監視していますか?

    WordPressサイトのセキュリティアクティビティを監視することは、サイトの疑わしいアクティビティを追跡するための良い方法です。 そこでWordPressセキュリティログが登場します。WordPressセキュリティログは、WordPressWebサイトでのアクティビティに関する詳細なデータと洞察を提供します。 ログで何を探すべきかがわかっている場合は、サイトでの悪意のある動作をすばやく特定して停止できます。

    WordPressのセキュリティログには、全体的なセキュリティ戦略にいくつかの利点があります。 サイトがハッキングされた場合は、迅速な調査と復旧に役立つ最善の情報が必要になります。

    • 1.悪意のある行動を特定して阻止します。
    • 2.違反を警告できるアクティビティを見つけます。
    • 3.どの程度の損傷があったかを評価します。
    • 4.ハッキングされたサイトの修復を支援します。

    WordPressのセキュリティログで監視する必要のあるアクティビティは次のとおりです。

    1. WordPressブルートフォース攻撃–WordPressサイトを保護するためにログインセキュリティを監視するのはあなた次第です。 幸いなことに、ブルートフォース攻撃はそれほど洗練されておらず、ログで簡単に識別できます。 ログインを試みているユーザー名とIP、およびログインが成功したかどうかを記録する必要があります。 1つのユーザー名またはIPで複数回のログイン試行が連続して失敗した場合は、ブルートフォース攻撃を受けている可能性があります。
    2. ファイルの変更– WordPressのセキュリティのベストプラクティスに従っている場合でも、サイトが危険にさらされる可能性があります。 侵害とは、サイトに悪意のある変更が加えられたことを意味します。そのため、WordPressのセキュリティログに記録して、サイト上のファイルの変更を常に把握することが非常に重要です。 ファイル変更エントリには、追加および削除されたファイルと既存のファイルへの変更が含まれます。 セキュリティログに変更が記録されたので、それらを監査する時間をスケジュールする必要があります。 iThemes Security Proユーザーの場合は、ファイルが変更されたときにファイル変更通知が通知されるようにすることを忘れないでください。
    3. マルウェアスキャン– WordPressマルウェアスキャンを実行するだけでなく、すべてのマルウェアスキャンの結果をWordPressセキュリティログに記録する必要があります。 一部のセキュリティログには、マルウェアに資金を提供するスキャン結果のみが記録されますが、それだけでは不十分です。 サイトへの違反についてできるだけ早く警告を受けることが重要です。 ハッキングについて知るのに時間がかかるほど、ハッキングによるダメージは大きくなります。 サイトへの違反についてできるだけ早く警告を受けることが重要です。 ハッキングについて知るのに時間がかかるほど、ハッキングによるダメージは大きくなります。
    4. ユーザーアクティビティ– WordPressのセキュリティログにユーザーアクティビティの記録を保持することは、攻撃が成功した後の節約の恩恵になります。 正しいユーザーアクティビティを監視している場合は、ハッキングのタイムラインをガイドし、新しいユーザーの追加からサイトへの不要な製薬広告の追加まで、ハッカーが変更したすべてのものを表示できます。

    良いニュースは、iThemesSecurityのようなプラグインを使用してサイトのセキュリティアクティビティの監視を開始できることです。 iThemes Securityは、サイト上のこれらの重要なイベントを追跡することにより、すべての作業を行います。

    WordPressのセキュリティログをウェブサイトに追加する方法を学びましょう。

    13.これらのWordPress強化対策を実装していますか?

    WordPressプラットフォームは、悪意のあるハッキングからサイトをより安全にするための特定の強化策を提供します。

    これらの対策には次のものが含まれます。

    • プラグインのインストールを無効にする
    • WordPressのソルトとキーをリセットする
    • テーマとプラグインでファイルエディタを無効にする
    • 強力なパスワードを適用する
    • 2FA(2要素認証)を実装する
    • ログイン試行を制限する

    セキュリティ監査中に、この対策のリストが完全に実施されていることを確認することが重要です。 例として、ユーザーのログイン試行を制限し、2FAを提供するプラグインを使用している場合は、プラグインがまだ機能していて、完全に最新であるかどうかを確認してください。

    また、より良いまたはより新しいプラグインオプションが利用可能かどうかも確認してください。

    いくつかの強化策は、実施するために少しの技術的知識を必要とします。 ただし、iThemes Securityプラグインを使用している場合は、数回クリックするだけで強化対策を実施できます。

    14. WordPressセキュリティプラグインを使用していますか?

    監査の最後で最後は、サイトのセキュリティプラグインを評価することです。 このWordPressセキュリティ監査リストのタスクの多くは、iThemesSecurityなどのWordPressセキュリティプラグインを使用して実行できます。

    WordPressセキュリティプラグインを実行していない場合は、すぐにダウンロードしてインストールしてください。 iThemes Securityなどの効果的なセキュリティプラグインは、ボットやハッカーからサイトを保護するために非常に役立ちます。 市場にはさまざまなセキュリティプラグインがありますが、他のプラグインよりも効果的なものもあります。

    効果的なセキュリティプラグインがテーブルにもたらす必要のある機能のリストを見てください。

    • マルウェアスキャン–熟練したハッカーは常に脆弱なプラグインを探しています。 データベースを含むサイト上のすべてのフォルダとファイルの詳細なチェックとスキャンを実行しながら、サイトの毎日のスキャンを実行するセキュリティプラグインを使用することが重要です。
    • オフサイトスキャン–セキュリティスキャンを実行すると、多くのリソースを使用します。 使用しているプラ​​グインがサーバーを利用している場合、スキャンごとにWordPressサイトが過負荷になり、停止する可能性があります。 Webサイトをスキャンするときに独自のサーバーを利用するセキュリティプラグインを見つけます。
    • ログイン保護–ハッカーは、WPログインページを攻撃し、何千ものユーザー名とパスワードの組み合わせを試みて、サイトへの不正アクセスを試みることがよくあります。 これはブルートフォース攻撃と呼ばれ、使用するセキュリティプラグインは、これらの攻撃をブロックするか、ログインページを非表示にする必要があります。
    • リアルタイムのセキュリティアラート– WordPressサイトで疑わしいアクティビティや悪意のあるアクティビティが発生した場合は、セキュリティプラグインがそれを効果的に検出し、すぐに通知する必要があります。 その後、損傷を防ぐために迅速な行動を取ることができます。
    • セキュリティアクティビティログ–監査ログは、ログインしたユーザー、繰り返し失敗したログイン試行の詳細、ユーザーがサイトで実行した機能など、Webサイトでの各ユーザーのアクティビティを追跡します。 アクティビティログがあると、サイトがどのように侵入されたか、またはサイトの誤動作の原因となった更新がどのように使用されたかを判断する場合に役立ちます。

    複数のWordPressサイトを管理していて、ソリューションにiThemes Securityを決定した場合は、iThemesSyncプラグインもダウンロードしてインストールしてください。

    定期的なWordPressセキュリティ監査は非常に重要です

    定期的に実行する必要がある8つの最も重要なセキュリティ監査タスクについて説明しました。 セキュリティプラグインを実行している場合でも、3か月に1回このチェックリストを実行することをお勧めします。

    今すぐカレンダーに繰り返しリマインダーを追加してみませんか?

    このガイドは、WordPressのセキュリティ監査を最新の状態に保つために繰り返すことができるプロセスの作成に役立つと信じています。 このプロセスをローテーションで継続すると、ハッカーがサイトにもたらす可能性のある危険を回避するのに大いに役立ちます。 セキュリティ監査を実行するためにカレンダーにリマインダーを追加しましたか?

    完全な監査は長いプロセスになる可能性がありますが、ハッキングを防止することで節約できる時間と頭痛の種は、トラブルに見合うだけの価値があります。

    サイトのセキュリティ監査プロセスを完全に自動化するために、iThemesSecurityプラグインをダウンロードしてインストールすることを忘れないでください。 他のほとんどのセキュリティプラグインとは異なり、監査だけでなく、サイトのセキュリティに多くのことを行う、理解しやすい包括的なツールスイートが付属しています。

    iThemes Securityは、マルウェアのスキャン、ボット保護、WordPressの強化など、多くの手動で面倒なアクティビティを自動化します。 必要なツールはすべて、堅牢なプラグインダッシュボードにあります。

    今すぐ無料でiThemesセキュリティをダウンロード

    WordPressセキュリティ監査