Fikret tozak / Unsplash

WordPress ブログを保護する 10 の方法

1.- WordPress とプラグインを最新の状態に保つ

WordPress とそのプラグインを定期的に更新すると、セキュリティの脆弱性が修正され、ハッキングのリスクが軽減されます。

WordPress とそのプラグインを更新するには、次の手順に従います:

- WordPress ダッシュボードにログインし、[更新] ページに移動します。
- WordPress コア プラグイン (またはテーマ) の利用可能な更新がある場合は、[今すぐ更新] をクリックします。 ボタン。
- 更新プロセスが完了するまで待ちます。

ウェブサイトのテンプレートを壊さないようにするには、次のヒントに従ってください:

- 更新する前にウェブサイトをバックアップしてください。 これにより、問題が発生した場合に Web サイトを復元できます。
- 更新する前に、現在のテーマとプラグインが最新バージョンの WordPress と互換性があることを確認してください。 WordPress リポジトリのプラグインまたはテーマのページにアクセスするか、開発者に連絡して、互換性を確認できます。
- WordPress コアを更新する前に、テーマとプラグインを更新してください。 これにより、テーマとプラグインの最新バージョンが WordPress の最新バージョンと互換性があることが保証されます。
- 更新後にウェブサイトをテストします。 すべてのページ メニューとプラグインが期待どおりに機能していることを確認します。
- 何か問題が発生した場合は、バックアップを復元することで、テーマまたはプラグインの以前のバージョンの WordPress にロールバックできます。

2 - 強力なパスワードを使用する

- 管理者アカウントを含むすべてのユーザー アカウントに、強力で固有のパスワードを使用してください。 強力なパスワードは、大文字と小文字の数字と記号の組み合わせです。 管理者アカウントは WordPress サイトへの最高レベルのアクセス権を持つため、このアカウントには強力で一意のパスワードを使用することが重要です。

- ユーザーの役割ごとに異なるパスワードを使用する: WordPress サイトに複数のユーザーの役割 (編集者、投稿者など) がある場合は、役割ごとに異なるパスワードを使用してください。

- 一般的な単語の使用を避ける: 一般的な単語、フレーズ、または個人情報をパスワードに使用しないでください。 ハッカーはこの情報を使用してパスワードを推測できます。

- 繰り返しますが、これは非常に重要です: 大文字と小文字、数字、および記号の組み合わせを使用する: 強力なパスワードは、大文字と小文字、数字、および記号の組み合わせです。 辞書の単語や予測可能なパターンは使用しないでください。

- パスワードを定期的に変更する: パスワードを定期的に変更すると、WordPress サイトへの不正アクセスを防ぐことができます。 3 ～ 6 か月ごとにパスワードを変更することを検討してください。 強力なパスワードを覚えるのは難しい場合がありますが、パスワード マネージャーやニーモニックを使用すると簡単に覚えることができます。 WordPress サイトにアクセスできるすべてのユーザーにも、これらのベスト プラクティスを伝えてください。

安全なパスワードの作成にお困りの場合は、以下の記事をご覧いただくことをおすすめします：強くても記憶に残るパスワードを作るための10のヒント

3.- ログイン試行を制限する

ログインの試行回数を制限すると、ハッカーが力ずくでパスワードを推測するのを防ぐことができます。 Login Lockdown などのプラグインがこれに役立ちます。

ハッカーが WordPress サイトにアクセスする最も簡単な方法の 1 つは、力ずくでユーザー名とパスワードを推測することです。 攻撃。 これを防ぐには、単一の IP アドレスからのログイン試行回数を制限するプラグインまたはサービスを使用できます。 これは、一定回数失敗すると攻撃者がロックアウトされるため、ブルート フォース攻撃を阻止するのに役立ちます。 この目的で人気のあるプラグインには、ログイン ロックダウン(Login Lockdown)やリロードされたログイン試行の制限(Limit Login Attempts Reloaded)などがあります。 一部のウェブ ホスティング プロバイダはこのサービスを組み込みで提供しているため、提供されているかどうかプロバイダに確認することをお勧めします。

4.- 二要素認証を使用する

2 要素認証では、ユーザー名とパスワードに加えてコードの入力が必要になるため、セキュリティがさらに強化されます。 Two-Factor や Google Authenticator などのプラグインを使用して、この機能を有効にすることができます。

2 要素認証 (2FA) は、WordPress のログインに追加の保護レイヤーを追加するセキュリティ機能です。 従来、Web サイトへのログインには、ユーザー名とパスワードのみが必要でした。 ただし、攻撃者が (データ侵害やパスワードの推測などにより) パスワードにアクセスした場合、簡単にアカウントにアクセスできます。

2FA では、ユーザー名とパスワードに加えてコードが必要です。 コードは通常、モバイル デバイスで生成されるか、SMS 経由で送信され、頻繁に変更されます。 これは、攻撃者があなたのパスワードを知っていたとしても、コードがなければアカウントにアクセスできないことを意味します.

2FA を有効にする WordPress 用のプラグインがいくつかあります。 Two-Factor と Google Authenticator は、2 つの一般的なオプションです。 これらのプラグインは、ユーザー名とパスワードを入力した後にコードの入力を求めることで機能します。 コードはモバイル デバイスで (Google Authenticator などのアプリを使用して) 生成され、一定時間内に入力する必要があります。

これらのプラグインを使用して 2FA をセットアップするには、プラグインのインストールと構成、および携帯電話でのモバイル アプリのセットアップが必要です。 設定が完了すると、WordPress サイトにログインするたびにコードの入力を求められます。 これにより、セキュリティがさらに強化され、ブルート フォース攻撃やその他のセキュリティ上の脅威からサイトを保護するのに役立ちます。

5.- ファイル編集を無効にする

WordPress ダッシュボード内でファイルを編集する機能を無効にすると、ハッカーが悪意のあるコードをサイトに挿入するのを防ぐことができます。 これは、次のコード行を wp-config.php ファイルに追加することで実行できます:

define('DISALLOW_FILE_EDIT', true);

ホスティング アカウントのファイル マネージャーまたは FileZilla などの FTP クライアントから wp-config.php ファイルにアクセスできます。 このコード行を、英語の "/* That's all, stop edit! Happy published. */".

という行の上に必ず追加してください。

- ファイル編集を無効にする理由 デフォルトでは、WordPress ではユーザーが WordPress ダッシュボードから直接テーマとプラグイン ファイルを編集できるようになっています。 これは便利な機能ですが、セキュリティ上のリスクも伴います。 ハッカーが編集権限でユーザーのアカウントにアクセスできるようになると、悪意のあるコードがテーマやプラグイン ファイルに挿入され、サイト全体が危険にさらされる可能性があります。 ファイル編集を無効にすることで、この種の攻撃を防ぐことができます。

- ファイル編集を無効にする利点: ファイル編集を無効にすると、攻撃者が悪意のあるコードをサイトに挿入するのを防ぐだけでなく、編集権限を持つユーザーが誤ってファイルを変更するリスクも軽減されます。 これは、セキュリティ コンプライアンスのベスト プラクティスでもあります。

- テーマおよびプラグイン ファイルを編集するための回避策: テーマまたはプラグイン ファイルを編集する必要がある場合は、テキスト エディターを使用して編集し、編集したファイルを WordPress サイトにアップロードします。 これは、WordPress ダッシュボードに依存するのではなく、サイトのファイル システムに直接アクセスする必要があるため、ファイルを編集するより安全な方法です。

- セキュリティ プラグインを使用する: wp-config.php ファイルの編集に慣れていない場合、またはファイル編集を無効にする簡単な方法が必要な場合は、Wordfence、Sucuri 、または iThemes セキュリティ。 これらのプラグインは、ファイル編集など、WordPress のセキュリティ設定を管理するための使いやすいインターフェースを提供します。

マルウェアとマルウェアを削除する方法 ハッキングされた WordPress サイトをクリーンアップ

WordPress サイトが感染している場合は、次の手順でクリーンアップできます:

- サイトのバックアップ: サイトのクリーニングを開始する前に、サイトのファイルとデータベースを必ずバックアップしてください。 これにより、クリーニング プロセス中に問題が発生した場合に備えて、サイトのコピーを確保できます。

- マルウェアを特定する: Wordfence Sucuri や MalCare などのセキュリティ プラグインを使用して、サイトのマルウェアをスキャンします。 これらのプラグインは、悪意のあるコードとファイルを検出し、マルウェアの種類とサイトへの侵入方法に関する情報も提供します。

- マルウェアを削除する: マルウェアを特定したら、それを削除する必要があります。 感染したファイルを手動で削除するか、MalCare や Sucuri などのマルウェア除去プラグインを使用してプロセスを自動化できます。 プラグインが提供する指示に従って、感染したすべてのファイルを確実に削除してください。

- WordPress、プラグイン、およびテーマを更新する: 古いソフトウェアは、サイトを攻撃に対して脆弱にする可能性があります。 WordPress、プラグイン、およびテーマを最新バージョンに更新して、サイトが既知の脆弱性から確実に保護されるようにしてください。

- パスワードの変更: サイトが感染した場合、攻撃者が脆弱なパスワードを使用してアクセスした可能性があります。 WordPress 管理者パスワード、FTP パスワード、データベース パスワードなど、サイトに関連付けられているすべてのパスワードを変更します。 ユニークで推測しにくい強力なパスワードを使用してください。

- サイトを強化する: サイトをクリーンアップしたら、サイトのセキュリティを強化するための手順を実行します。 これには、ログイン試行を制限する強力なパスワードの使用やファイル編集の無効化など、この記事で説明したセキュリティのヒントの実装が含まれます。

- サイトを監視する: 異常なアクティビティや新しい感染の兆候がないか、サイトを監視してください。 セキュリティ プラグインを使用してサイトを定期的にスキャンし、マルウェアや脆弱性を探します。

マルウェアに感染した後に WordPress サイトをクリーンアップするのは大変な作業ですが、これらの手順に従うことで、サイトを安全に保ち、将来の攻撃から保護することができます。 自分でこれを行うことに抵抗がある場合は、専門家にサイトのクリーンアップを手伝ってもらうことを検討してください。

6.- SSL の実装

SSL を実装すると、ユーザーのブラウザとサーバーの間で送信されるデータが暗号化され、機密情報の傍受を防ぐことができます。

WordPress は、Web サイトの作成と管理に使用される人気のあるコンテンツ管理システム (CMS) です。 ユーザーが WordPress サイトを操作すると、ブラウザはサイトをホストしているサーバーにリクエストを送信し、サーバーはリクエストされたデータ (ウェブページ、画像、動画など) で応答します。

SSL (Secure Sockets Layer) は、ユーザーのブラウザと WordPress サイトをホストしているサーバーとの間で送信されるデータを暗号化するセキュリティ プロトコルです。 SSL は、2 者間で交換されるデータが、ハッカーや第三者による傍受や操作から保護されることを保証します。

WordPress サイトに SSL を実装するには、信頼できる認証局 (CA) からデジタル SSL 証明書を取得する必要があります。これにより、サイトの信頼性が検証され、ユーザーのブラウザとサーバーの間に安全な暗号化された接続が作成されます。 SSL をインストールすると、ログイン資格情報、クレジット カードの詳細、ウェブサイトに入力された個人情報などの機密情報が保護されます。

SSL を使用しないと、ユーザーのブラウザとサーバーの間で送信されるデータはすべてプレーン テキストで送信されます。つまり、ネットワークにアクセスできる人なら誰でもデータを傍受して読み取ることができます。 これにより、ユーザーはデータ侵害や個人情報の盗難に対して脆弱になります。

WordPress サイトに SSL を実装することは、ユーザー データのセキュリティとプライバシーを確保するために不可欠です。 多くのウェブ ホストは SSL 証明書を無料で提供しており、ワンクリック インストーラーで簡単にインストールできるものもあります。

SSL は WordPress のプラグインですか?
いいえ、SSL (Secure Sockets Layer) はプラグインではなく、サーバー レベルで実装されるセキュリティ プロトコルです。 ただし、サイトに SSL を設定するのに役立つ WordPress プラグインがあります。

そのようなプラグインの 1 つに Really Simple SSL があります。これは、SSL 証明書を自動的に検出し、SSL を使用するように WordPress サイトを構成します。 このプラグインは、HTTP から HTTPS への移行時に発生する可能性のある混合コンテンツ エラーも修正します。

もう 1 つのプラグインは WP Force SSL です。これは、すべての HTTP リクエストを HTTPS にリダイレクトすることにより、WordPress サイトで HTTPS を使用することを強制します。 このプラグインは、サーバーに SSL 証明書を既にインストールしており、サイトへのすべてのトラフィックを確実に暗号化したい場合に便利です。

プラグインは WordPress サイトに SSL を実装するプロセスを簡素化するのに役立ちますが、実際の SSL 証明書と構成はサーバー レベルで設定する必要があることに注意してください。 多くの Web ホストは無料の SSL 証明書を提供しており、コントロール パネルからワンクリックでインストールできるものもあります。

7.- ファイアウォールを使用する

ファイアウォールは、疑わしい IP アドレスやリクエストをブロックすることで、悪意のあるトラフィックからサイトを保護するのに役立ちます。 Wordfence や iThemes Security などのプラグインを使用して、この機能を有効にすることができます。

ファイアウォールとは?

ファイアウォールは、サーバーとの間で送受信されるトラフィックを制御するセキュリティ手段です。 WordPress サイトのコンテキストでは、ファイアウォールは、ブルート フォース攻撃、DDoS 攻撃、悪意のあるボットなど、さまざまな種類の攻撃からサイトを保護するのに役立ちます。

WordPress サイトに実装できるファイアウォールには、ネットワーク レベルのファイアウォールとアプリケーション レベルのファイアウォールの 2 種類があります。

- ネットワーク レベルのファイアウォールはサーバー レベルで実装され、WordPress アプリケーションに到達する前にトラフィックをフィルタリングするように設計されています。 このタイプのファイアウォールは、IP アドレス、ポート、プロトコルなどのさまざまな基準に基づいてトラフィックをブロックするように構成できます。

- 一方、アプリケーション レベルのファイアウォールは、WordPress アプリケーション自体に実装され、アプリケーション レベルでトラフィックをフィルタリングするように設計されています。 このタイプのファイアウォールは、ユーザー エージェント、URL パラメーター、リクエストの頻度など、さまざまな基準に基づいて疑わしいリクエストをブロックするように構成できます。

Wordfence や iThemes Security などのプラグインを使用して、WordPress サイトにアプリケーション レベルのファイアウォールを実装できます。 これらのプラグインは、マルウェア スキャン、2 要素認証、ブルート フォース保護など、さまざまなセキュリティ機能を提供します。 また、疑わしい IP アドレスやリクエストをブロックする機能も提供するため、悪意のあるトラフィックからサイトを保護するのに役立ちます.

WordPress サイトにファイアウォールを実装するには、セキュリティ プラグインをインストールしてファイアウォール設定を構成し、ファイアウォール機能を有効にします。 ファイアウォールはサイトの保護に役立ちますが、強力なパスワードを使用して WordPress サイトとプラグインを最新の状態に保ち、サイトを定期的にバックアップするなどの適切なセキュリティ対策に代わるものではないことに注意してください。

8.- WordPress のバージョンを隠す

WordPress のバージョン番号を非表示にすることで、ハッカーが既知の脆弱性を狙うのを防ぐことができます。これを行うには、次のコード行を functions.php ファイルに追加します:

remove_action('wp_head', 'wp_generator');

WordPress のバージョン番号を非表示にすることは、ハッカーが特定のバージョンの WordPress の既知の脆弱性を標的にするのを防ぐことができるため、効果的なセキュリティ対策になります。 ハッカーは、使用されている WordPress のバージョン番号を知っている場合、そのバージョンに固有の脆弱性を検索し、それらを悪用してサイトにアクセスできます。

9.- アクセスを wp-admin に制限

ディレクトリにアクセスできる IP アドレスを制限して wp-admin へのアクセスを制限すると、サイトのバックエンドへの不正アクセスを防ぐことができます。

これは、サイトのバックエンドへの不正アクセスを防止するのに役立つ一般的なセキュリティ対策です。 ただし、IP アドレスが動的である場合、つまりインターネットに接続するたびに変化する場合、IP アドレスに基づいてアクセスを制限するのは困難な場合があります。

この問題を回避するには、いくつかの方法があります:

- VPN を使用する: VPN (仮想プライベート ネットワーク) は、wp-admin ディレクトリへのアクセスに使用できる静的 IP アドレスを提供できます。 これにより、VPN IP アドレスに基づいて wp-admin ディレクトリへのアクセスを制限できます。

- ダイナミック DNS サービスを使用する: ダイナミック DNS サービスは、現在の IP アドレスに常に関連付けられているドメイン名を提供できます。 これにより、ドメイン名に基づいて wp-admin ディレクトリへのアクセスを制限できます。

これらのオプションのいずれも実行できない場合でも、.htaccess ファイルを使用して wp-admin ディレクトリへのアクセスを制限できます。

方法は次のとおりです:

- .htaccess ファイルがまだ存在しない場合は、wp-admin ディレクトリに作成します。

- 次のコードを .htaccess ファイルに追加します:

<Files wp-login.php>
order deny, allow
deny from all
allow from xx.xx.xx.xx
</Files>

「xx.xx.xx.xx」を、wp-admin ディレクトリへのアクセスを許可する IP アドレスまたは IP アドレス範囲に置き換えます。 複数の「許可元」行を追加して、複数の IP アドレスまたは IP アドレス範囲からのアクセスを許可することもできます。

wp-admin ディレクトリへのアクセスを制限すると不正アクセスを防ぐことができますが、強力なパスワードの使用、WordPress サイトとプラグインを最新の状態に保つ、セキュリティ プラグインの使用などの他のセキュリティ対策に代わるものではないことに注意してください。

もう 1 つのオプション、追加のログイン
WordPress サイトを保護するために .htaccess および .htpasswd ファイルを使用してプロンプト ログインを作成するには、次の手順に従います。

- .htpasswd ファイルを作成する: htpasswd などのツールを使用して、ログイン プロンプトに使用するユーザー名とパスワードで .htpasswd ファイルを作成します。 たとえば、ユーザー名「admin」とパスワード「password123」を使用する場合 (もちろん、このパスワードは単なる例です。強力なものを使用してください!)、ターミナルで次のコマンドを実行します:

htpasswd -c /path/to/.htpasswd admin password123

これにより、ユーザー名「admin」と暗号化されたパスワード「password123」を持つ新しい .htpasswd ファイルが作成されます。

.htaccess ファイルを作成する: WordPress サイトのルート ディレクトリに新しい .htaccess ファイルを作成します。 次のコードを .htaccess ファイルに追加します:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile /path/to/.htpasswd
Require valid-user
Replace "/path/to/.htpasswd" with the actual path to your .htpasswd file.

- ファイルをサーバーにアップロード: .htaccess ファイルと .htpasswd ファイルの両方を WordPress サイトのルート ディレクトリにアップロードします。

- ログイン プロンプトをテストする: Web ブラウザで WordPress サイトに移動します。 ステップ 1 で作成したユーザー名とパスワードの入力を求めるログイン プロンプトが表示されます。

- wp-admin と wp-login.php を除外する: WordPress 管理ダッシュボードに引き続きログインできるようにするには、wp-admin ディレクトリと wp-login を除外する必要があります。 ログイン プロンプトから php ファイルを開きます。 次のコードを .htaccess ファイルに追加します:

<Files wp-login.php>
Satisfy Any
Allow from all
</Files>

<FilesMatch "^wp-admin">
Satisfy Any
Allow from all
</FilesMatch>

これにより、wp-admin ディレクトリと wp-login.php ファイルがログイン プロンプトから除外されるため、通常どおり WordPress ダッシュボードにログインできます。 これらの手順に従うことで、WordPress サイトを保護するために .htaccess および .htpasswd ファイルを使用してプロンプト ログインを作成できます。 これは、wp-config.php ファイルや wp-content ディレクトリなど、サイトの機密領域を保護するための便利なセキュリティ対策になります。

10.- 定期的にバックアップ

最後のヒントですが、おそらく最も重要なこと: サイトを定期的にバックアップすることで、ハッキングやその他の災害が発生した場合にデータを確実に復元できます。 UpdraftPlus や BackupBuddy などのプラグインを使用して、この機能を有効にすることができます。

WordPress サイトを定期的にバックアップすることは、ハッキングやその他の災害が発生した場合にデータを回復するのに役立つため、Web サイトの所有者にとって不可欠な作業です。 幸いなことに、このプロセスを自動化するのに役立つ多くのプラグインが利用可能です。 プラグインを使用して WordPress サイトをバックアップする方法は次のとおりです。

- バックアップ プラグインをインストールする: WordPress には多くのバックアップ プラグインが用意されていますが、一般的なオプションは UpdraftPlus と BackupBuddy の 2 つです。 プラグインをインストールするには、WordPress ダッシュボードの「プラグイン」セクションに移動し、「新規追加」をクリックします。 使用するプラグインを検索し、インストールして有効化します。

- プラグインの構成: バックアップ プラグインをインストールしたら、それを構成する必要があります。 これには通常、バックアップ スケジュール (毎日または毎週のバックアップなど) の設定、バックアップ対象 (データベースまたはサイト全体など) の選択、およびバックアップの保存場所 (サーバー上、クラウド内、または 外部サービス）

- 最初のバックアップを実行する: バックアップ プラグインを構成したら、最初のバックアップを実行します。 サイトのサイズと選択した設定によっては、時間がかかる場合があります。

- バックアップの検証: バックアップが完了したら、バックアップが成功したことを検証します。 バックアップ ファイルが存在し、必要なデータがすべて含まれていることを確認してください。

- バックアップを自動化する: バックアップを常に最新の状態に保つには、プラグインのスケジュール機能を使用してバックアップ プロセスを自動化します。 これにより、忘れずに手動で行う必要がなく、サイトが定期的にバックアップされます。

次の手順に従って、プラグインを使用して WordPress サイトを定期的にバックアップできます。 これにより、ハッキングやその他の災害が発生した場合にデータを回復することができ、サイトが保護されているという安心感が得られます。