WordPressのセキュリティを整える簡単なステップ

by

WordPressのセキュリティを整える簡単なステップ

WordPressを使用しているなら、サイトのセキュリティについて常に考える必要があります。WordPressは、他のプラットフォームと比べて安全性が高いわけでも低いわけでもありませんが、ユーザー、プラグイン、サードパーティ製アドオンの数が多いため、攻撃者の標的になりやすいのです。しかし、あなたのサイトを安全に保つために(たとえあなたが技術にあまり精通していなくても)あなたができる基本的なステップがいくつかあるので心配しないでください!

ユーザー名に「admin」を使わない

ほとんどのWordPressの「ハッキング」や攻撃は、パスワードを推測してブルートフォースで管理エリアに侵入しようとする以上の高度なことはしません。管理者ユーザー名を推測する必要がないのであれば、その方がはるかに簡単です!ユーザー名に(adminのような)一般的な単語を使わないようにすることで、ブルートフォースアタックの効果をかなり低くすることができます。

古いサイトですでに「admin」ユーザーを使用している場合は、そのアカウントを削除し、コンテンツやアクセスをより安全なユーザー名に移行しましょう!

複雑なパスワードを使う

より良いパスワードを使うことで、推測やブルートフォース(総当たり)がより難しくなります。簡単に覚えられるヒントはCLUです: 複雑な。長い。ユニーク。

しかし、長くてユニークなパスワードは覚えるのが大変ですよね?そこで、パスワードクエストのようなパスワード生成ツールが活躍する。必要な長さを入力すると、パスワードを生成してくれる。リンクを保存し、パスワードを保存し、一日を過ごす。パスワードの安全性にもよるが、長いパスワードを設定し(20文字が良い)、#や*のようなあまり一般的でない文字を含めるかどうかを決めるのが賢明だ。

二要素認証を追加する

サイトをロックする手段を講じていても、ブルートフォース攻撃が問題になることがあります。二要素認証は、ログインプロセスにセキュリティを追加し、パスワードを推測されるリスクを減らすことができます。

その原理は、ログイン情報を入力するだけでなく、あなたが所有する別のデバイス(通常は携帯電話のアプリ)からワンタイムコードを入力して、あなたがあなたであることを確認する必要があるというものです。これは、攻撃者が偽造するのがはるかに難しい!

WordPressの認証によく使われるプラグインは、Google AuthenticatorとRublon Plugin(少し異なるアプローチ)です。バックアップコードを紛失しないように注意してください。

スタッフには「最小特権」原則を

WordPress.orgチームは、WordPress CodexにRoles and Capabilitiesに関する素晴らしい記事をまとめました。それは次のステップに当てはまるので、ぜひ読んでよく理解してください。

最小権限のコンセプトはシンプルです。権限を与えるのは

  • 必要な人に
  • 必要なときに
  • 必要な人に、必要な時に、必要な時間だけ。

設定変更のために一時的な管理者権限が必要な人がいたら、権限を与えるが、タスクが完了したら削除する。良いニュースは、ベストプラクティスを採用する以外に、ここで多くをする必要がないことだ。

一般的に信じられていることとは逆に、WordPressインスタンスにアクセスするすべてのユーザーを管理者ロールに分類する必要はありません。適切な役割(「編集者」や「投稿者」など)を割り当てれば、セキュリティリスクを大幅に減らすことができます。

より細かい制御が必要な場合は、User Role Editorのようなプラグインを使えば、アクセスルールや個々のユーザー権限を微調整することができます。

システムファイルを隠す

wp-config.php と .htaccess ファイルは、WordPress のセキュリティにとって重要です。これらのファイルにはシステム認証情報が含まれていることが多く、サイトの構造や構成に関する情報を公開することができます。攻撃者がこれらのファイルにアクセスできないようにすることは非常に重要です。

これらのファイルを隠すのは比較的簡単ですが、やり方を間違えるとサイトにアクセスできなくなる可能性があります。バックアップを取り、慎重に作業を進めましょう。Yoast SEO for WordPressを使えば、この作業が多少簡単になる。ツール > ファイルエディター」で.htaccessファイルを編集するだけだ。

WordPressのセキュリティを高めるには、wp-config.phpを保護するために、.htaccessファイルにこれを追加する必要があります:

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

これでファイルにアクセスできなくなります。同様のコードは、.htaccessファイル自体にも使用できます:

<Files .htaccess>
order allow,deny 
deny from all
</Files>

WordPressのセキュリティキーを使用する

wp-config.phpファイルには、「認証キー」と「ソルト」を指定する専用のエリアがあります。これらは、あなたのウェブサイトに固有のランダムな値のセットです。WordPressがクッキーに保存された情報を暗号化するために使用し、攻撃者が認証ユーザーのふりをして忍び込むことを難しくします。

独自のランダム値を定義することもできますし、便利なジェネレーターを使用して、貼り付けるだけでセットを取得することもできます。

ファイル編集の無効化

ハッカーが侵入した場合、ファイルを変更する最も簡単な方法は、WordPressの「外観 > エディター」にアクセスすることだろう。WordPressのセキュリティを向上させるには、このエディターによるファイルの編集を無効にしてください。この場合も、wp-config.phpファイルに以下のコードを追加してください:

define('DISALLOW_FILE_EDIT', true);

を追加します;
お気に入りの(S)FTPアプリケーション(またはビルドプロセス)を使ってテンプレートを編集することはできます。WordPress自体から編集できなくなるだけです。

ログインを隠し、ログイン試行を制限する

ブルートフォース攻撃は通常ログインフォームを狙います。そのため、ログインフォームの場所を変更することで、攻撃者がログインしにくくすることができます。All in One WP Security & Firewallプラグインには、デフォルトのURL(/wp-admin/)をより安全なものに変更するオプションがあります。

その次に、特定のIPアドレスからのログインの試行回数を制限することもできる。多数のログイン試行を行うIPアドレスからログインフォームを保護するためのWordPressプラグインがいくつかあります。

XML-RPCで選択的に

XML-RPCはアプリケーション・プログラム・インターフェース(API)のひとつで、以前から存在しています。XML-RPCは多くのプラグインやテーマで使用されているため、技術的に未熟な方は、XML-RPCをどのように実装するか注意してください。

機能的ではあるが、無効化にはコストがかかる。そのため、私たちはすべてを無効にすることを推奨しているわけではなく、アクセスさせる方法や対象をより厳選している。WordPressでは、Jetpackを使用している場合は特に注意したい。

XML-RPCをデフォルトで無効にしたり、実装方法を厳選したりするのに役立つプラグインがたくさんあります。

良いホスティングを利用する

あなたがウェブサイトのセキュリティに関して細心の注意を払っていたとしても、同じように細心の注意を払っていない会社がホスティングしているのであれば、何もしていないのと同じことになるかもしれません。

攻撃者があなたのウェブサイトのホスティングにアクセスすることができれば、彼らはすべてを完全に制御することができます。つまり、ホスティングに真剣に取り組んでいるホストを選ぶ(または移行する)ことが本当に重要なのです。安価なホスティングオプションには、優れたセキュリティやバックアップが付属していないことが多く、ハッキングされたサイトをクリーンアップするためのサポートを提供していない場合もあります。

適切なホスティングパートナーを見つけるのは複雑ですが、私たちの推奨するホスティング会社から始めれば問題ありません。これらの中には、独自のWordPress専用プラグインが付属しているものもあり、さらに強力なセキュリティ効果が得られます。

最新の状態に保つ

テーマ、ソフトウェア、プラグイン、その他のコンポーネントを継続的にアップデートすることが重要です。そうでなければ、攻撃者に門戸を開いたままにしておくことになります。Yoast SEOプラグインをお使いの方は、以下の簡単な手順に従ってYoast SEOプラグインを更新してください。

最新バージョンのWordPressを使用している場合は、新しいバージョンが出るたびにサイトとプラグインが自動的にアップデートされるように設定することもできる。

最後に、あなたのセットアップの他の可動部分を見ることを忘れないでください。ホスティングシステムから自分のコンピュータのオペレーティングシステムまで、ソフトウェアを実行しているものやパスワードを使用しているものはすべて最新の状態に保つ必要があります。

定期的なバックアップ

何か問題が発生した場合、安全に以前の日付にロールバックするためにバックアップを取る必要があります。優良なホスティング会社であれば、パッケージの一部としてバックアップ機能を提供してくれますが、買い物をしたいのであれば、優れたプラグインもあります。

セキュリティ・プラグインの使用を検討する

ファイアウォール・プラグインや一般的なセキュリティ・プラグインの助けを借りることができる。これらのプラグインは、既知の攻撃者や一般的な攻撃パターンを探し、あなたのサイトを危険にさらす前に阻止します。

Sucuri SecurityやWordfenceのような)人気のあるセキュリティ・プラグインのいくつかは、問題を監視し、教育し、パッチを適用するセキュリティ研究者を雇用している企業によって維持されています。そのため、最新の脅威からサイトを守り続けることができます。

それでも基本的なことは守らなければならないが、これらのプラグインは防御を強化し、新たな脅威に素早く対応するのに役立つ。プラグインの設定を調べたり、ドキュメントを読んだり、サイト独自のニーズに合わせて設定を調整することに時間を費やす価値がある。

CDNで攻撃を「エッジ」で阻止する

最高のセキュリティ・ソリューションは、攻撃者がウェブサイトや管理コントロールに近づくことを防ぎます。多くのコンテンツ・デリバリー・システムには、高度なファイアウォール機能が搭載されており、パフォーマンスの最適化と保護が組み合わされています。このようなシステムは、ネットワークレベルで悪質なトラフィックを識別し、遮断することができ、お客様のウェブサイトに到達することを阻止します。

特にCloudflareは、「悪質なトラフィック」をブロックするのに優れており、WordPressサイトを保護するために特別に開発されたルールやスキャンも備えています。セキュリティに対する同社の「ゼロトラスト」アプローチは、「最小特権」原則を採用することを推奨する私たちの推奨を発展させたもので、そうでないことが証明されるまで、すべてのトラフィックとリクエストは「悪」であると仮定します。

ログとモニタリングも忘れずに

最高の防御を施しても、時にはうまくいかないこともある。もしそうなった場合、何が起こったのか、そして再発を防ぐために何ができるのかを知ることができることが重要です。

WordPressのウェブサイトにアクティビティログプラグインを追加すれば、ハッキング後に何が起こったかを診断したり、日々のアクティビティを監視したりするのに役立ちます。

その他に何かありますか?

SEOのためにウェブサイトを最適化するのと同様に、セキュリティは常に見ておくべきものです。探検すべきさまざまな分野があり、このリストはほとんど表面をなぞったにすぎません。

もっと詳しく知りたい場合は、wordpress.orgの「WordPressの堅牢化」ページを調べたり、ホスティング会社に相談することをお勧めします。

コメントする

©2023 - 2024 Copyright ワードプレスッサー | helped by 96ish | WEB基本制作 by [CG by NB]