WordPressサイトを安全にする方法

公開: 2020-10-27

最近、独自のWordPressサイトを立ち上げるのはとても簡単です。 残念ながら、ハッカーがサイトを標的にし始めるのにそれほど時間はかかりません。

WordPressサイトを安全にするための最良の方法は、WordPressサイトの実行に起因する脆弱性のすべてのポイントを理解することです。 次に、適切なセキュリティをインストールして、これらの各ポイントでハッカーをブロックします。

目次

    この記事では、ドメイン、WordPressログイン、およびWordPressサイトを保護するために利用できるツールとプラグインをより適切に保護する方法を学習します。

    プライベートドメインを作成する

    最近では、利用可能なドメインを見つけて非常に安い価格で購入するのは簡単すぎます。 ほとんどの人は、自分のドメイン用のドメインアドオンを購入することはありません。 ただし、常に考慮する必要があるアドオンの1つは、プライバシー保護です。

    GoDaddyによるプライバシー保護には3つの基本的なレベルがありますが、これらはほとんどのドメインプロバイダーの製品とも一致します。

    • 基本:WHOISディレクトリから名前と連絡先情報を非表示にします。 これは、政府がドメインの連絡先情報を非表示にすることを許可している場合にのみ利用できます。
    • フル:自分の情報を別のメールアドレスと連絡先情報に置き換えて、実際の身元を隠します。
    • 究極:悪意のあるドメインスキャンをブロックする追加のセキュリティ。実際のサイトのWebサイトセキュリティ監視が含まれます。

    通常、ドメインをこれらのセキュリティレベルのいずれかにアップグレードするには、ドメインリストページのドロップダウンからアップグレードすることを選択する必要があります。

    基本的なドメイン保護はかなり安価であり(通常は年間約9.99ドル)、より高いレベルのセキュリティはそれほど高価ではありません。

    これは、スパマーがWHOISデータベースから連絡先情報を取得したり、悪意のある他の人が連絡先情報にアクセスしたりするのを防ぐための優れた方法です。

    wp-config.phpおよび.htaccessファイルを非表示にします

    WordPressを初めてインストールするときは、WordPressSQLデータベースの管理者IDとパスワードをwp-config.phpファイルに含める必要があります。

    そのデータはインストール後に暗号化されますが、ハッカーがこのファイルを編集してWebサイトを破壊できないようにする必要もあります。 これを行うには、サイトのルートフォルダーで.htaccessファイルを見つけて編集し、ファイルの下部に次のコードを追加します。

     #wpconfig.phpを保護する
    <ファイルwp-config.php>
     注文許可、拒否
    すべてから否定する
    </ファイル>

    .htaccess自体が変更されないようにするには、ファイルの最後にも以下を追加します。

     #.htaccessファイルを保護する
    <ファイル.htaccess>
     注文許可、拒否
    すべてから否定する
    </ファイル>

    ファイルを保存して、ファイルエディタを終了します。

    また、各ファイルを右クリックし、アクセス許可を変更して、すべてのユーザーの書き込みアクセスを完全に削除することを検討することもできます。

    wp-config.phpファイルでこれを実行しても問題は発生しませんが、.htaccessで実行すると問題が発生する可能性があります。 特に、.htaccessファイルを編集する必要があるセキュリティWordPressプラグインを実行している場合。

    WordPressからエラーが発生した場合は、いつでもアクセス許可を更新して、.htaccessファイルへの書き込みアクセスを再度許可できます。

    WordPressのログインURLを変更する

    すべてのWordPressサイトのデフォルトのログインページはyourdomain / wp-admin.phpであるため、ハッカーはこのURLを使用してサイトにハッキングしようとします。

    彼らは、多くの人が一般的に使用する典型的なユーザー名とパスワードのバリエーションを送信する「ブルートフォース」攻撃として知られているものを介してこれを行います。 ハッカーは、幸運に恵まれ、適切な組み合わせで着陸することを望んでいます。

    WordPressのログインURLを非標準に変更することで、これらの攻撃を完全に阻止できます。

    これを行うのに役立つWordPressプラグインはたくさんあります。 最も一般的なものの1つは、WPS HideLoginです。

    このプラグインは、WordPressの[設定]の下の[全般]タブにセクションを追加します。

    そこで、任意のログインURLを入力し、[変更を保存]を選択してアクティブにします。 次回WordPressサイトにログインするときは、この新しいURLを使用してください。

    誰かがあなたの古いwp-adminURLにアクセスしようとすると、あなたのサイトの404ページにリダイレクトされます。

    :キャッシュプラグインを使用する場合は、キャッシュしないサイトのリストに新しいログインURLを追加してください。 次に、WordPressサイトに再度ログインする前に、必ずキャッシュを削除してください。

    WordPressセキュリティプラグインをインストールする

    選択できるWordPressセキュリティプラグインはたくさんあります。 それらすべての中で、Wordfenceは正当な理由で最も一般的にダウンロードされるものです。

    無料版のWordfenceには、バックドアの脅威、プラグインまたはサイトの悪意のあるコード、MySQLインジェクションの脅威などを検索する強力なスキャンエンジンが含まれています。 また、DDOS攻撃などのアクティブな脅威をブロックするファイアウォールも含まれています。

    また、ログイン試行を制限し、誤ったログイン試行を何度も行うユーザーをロックアウトすることで、ブルートフォース攻撃を阻止できます。

    無料版ではかなりの数の設定が利用可能です。 ほとんどの攻撃から中小規模のWebサイトを保護するには十分すぎるほどです。

    ブロックされた最近の脅威や攻撃を監視するために確認できる便利なダッシュボードページもあります。

    WordPressパスワードジェネレータと2FAを使用する

    あなたが望む最後のことは、ハッカーがあなたのパスワードを簡単に推測することです。 残念ながら、非常に多くの人が推測しやすい非常に単純なパスワードを使用しています。 いくつかの例には、パスワードの一部としてWebサイト名またはユーザー自身の名前を使用することや、特殊文字を使用しないことが含まれます。

    WordPressの最新バージョンにアップグレードした場合は、WordPressサイトを保護するための強力なパスワードセキュリティツールにアクセスできます。

    パスワードのセキュリティを向上させるための最初のステップは、サイトの各ユーザーに移動し、[アカウント管理]セクションまでスクロールして、[パスワードの生成]ボタンを選択することです。

    これにより、文字、数字、特殊文字を含む、長くて非常に安全なパスワードが生成されます。 このパスワードは安全な場所に保存してください。できれば、オンライン中にコンピューターから切断できる外付けドライブのドキュメントに保存してください。

    [他の場所でログアウト]を選択して、アクティブなすべてのセッションが閉じていることを確認します。

    最後に、Wordfenceセキュリティプラグインをインストールした場合は、[2FAのアクティブ化]ボタンが表示されます。 これを選択して、ユーザーログインの2要素認証を有効にします。

    Wordfenceを使用していない場合は、これらの人気のある2FAプラグインのいずれかをインストールする必要があります。

    • Google認証システム
    • 二要素認証
    • Rublon2要素認証
    • Duo2要素認証

    その他の重要なセキュリティ上の考慮事項

    WordPressサイトを完全に保護するためにできることは他にもいくつかあります。

    WordPressプラグインとWordPress自体のバージョンの両方を常に更新する必要があります。 ハッカーは、サイト上の古いバージョンのコードの脆弱性を悪用しようとすることがよくあります。 これらの両方を更新しないと、サイトが危険にさらされたままになります。

    1.WordPress管理パネルでプラグインインストール済みプラグインを定期的に選択します。 すべてのプラグインを確認して、新しいバージョンが利用可能であることを示すステータスを確認します。

    古いものが表示された場合は、[今すぐ更新]を選択します。 プラグインの自動更新を有効にするを選択することも検討してください。

    ただし、プラグインの更新によってサイトやテーマが破損することがあるため、これを行うことに慎重な人もいます。 したがって、ライブサイトでプラグインを有効にする前に、ローカルのWordPressテストサイトでプラグインの更新をテストすることをお勧めします。

    2. WordPressダッシュボードにログインすると、古いバージョンを実行している場合、WordPressが古くなっているという通知が表示されます。

    繰り返しになりますが、サイトをバックアップし、自分のPCのローカルテストサイトにロードして、ライブWebサイトで更新する前に、WordPressの更新によってサイトが破損しないことをテストします。

    3.Webホストの無料のセキュリティ機能を利用します。 ほとんどのウェブホストは、そこでホストするサイトにさまざまな無料のセキュリティサービスを提供しています。 これは、サイトを保護するだけでなく、サーバー全体を安全に保つためです。 これは、他のクライアントが同じサーバー上にWebサイトを持っている共有ホスティングアカウントを使用している場合に特に重要です。

    多くの場合、これらには、サイトの無料のSSLセキュリティインストール、無料のバックアップ、悪意のあるIPアドレスをブロックする機能、さらには悪意のあるコードや脆弱性がないかサイトを定期的にスキャンする無料のサイトスキャナーが含まれます。

    ウェブサイトの運営は、WordPressをインストールしてコンテンツを投稿するほど簡単ではありません。 WordPressのウェブサイトをできるだけ安全にすることが重要です。 上記のすべてのヒントは、あまり労力をかけずにそうするのに役立ちます。