安全保障

WordPressバックエンドは、初心者として踏みにじる危険な場になる可能性があります。そのような力を提供するものはすべて、ユーザーに責任を割り当てる必要もあります。これは、一部の人々が始めたときに失敗する可能性がある場所です. あなたをあまり怖がらせたくなくても、WordPressでできることには、それを壊してしまうものがあります。それほど心配する必要はありませんが（重要でもあります）、潜在的なセキュリティリスクを表すものでも、単にユーザーエクスペリエンスに悪影響を及ぼすものでも、私が間違いなく助言することができる他のことがいくつかあります。. 上記を念頭に置いて、この記事では、WordPressで避けなければならない5つのことを取り上げます。次の推奨事項を実装すると、Webサイトは訪問者にとってはるかに安全で信頼性が高く、機能的で楽しいものになります. 1.コードエディターを使用しない WordPressバックエンドにはいくつかの地雷が含まれています。サイドバーの[外観]> [エディターとプラグイン]> [エディター]からアクセスできます。. 一見すると、これらのエディターは非常に興味深いものです—ウェブサイトのバックエンドへのフルアクセス！可能性を想像してください. テーマエディターからアクセスする私のブログのヘッダーファイル. 実際に可能性を想像してみてください。1回の間違ったキーストロークで、突然あなたのウェブサイトを見つけ、本当に壊れることがあります。 上記のように、テーマのPHPファイルから3文字を削除するだけで、ウェブサイトの外観を完全に変更できました. しかし、それは最悪の事態ではありません。WordPressサイトのバックエンドへのアクセスを誤って無効にすることは非常に簡単であり、サイトに順序を復元するための即時の手段がありません。. このため、次のようなFTPアプリケーションでのみサイトのPHPファイルにアクセスして編集することをお勧めします。 Filezilla （私の個人的なお気に入りと WordPress.orgの推奨事項）。開始する前に、編集するPHPファイルのコピーを作成しておく必要があります。これにより、サイトで誤って大混乱が発生した場合に、すぐに作業バージョンに戻すことができます。申し訳ありませんが安全である方がはるかに良いです! 2.非アクティブ化されたテーマをインストールしたままにしない 私の経験では、WordPressユーザーには3つのタイプがあります。 非常にタイトな船を運んでいる人 かなりきちんと整理整頓されている人 サイトのバックエンドをほとんど気にしない人 2つ目または3つ目のタイプに該当する場合は、WordPressサイトに現在インストールされているテーマを慎重に検討する必要があります。私はアクティブなテーマについて話していませんが、インストールして非アクティブ化したテーマについて. これらのテーマは非アクティブ化されていますが、WordPressインストールにまだ存在しており、セキュリティの欠陥や脆弱性が引き続き悪用される可能性があります。たとえば、最も有名なWordPressテーマハックはTimThumbエクスプロイトです。このエクスプロイトは、特定のブログに影響を与え続けています。. 一般的に言って、良質のテーマを使用し、それらが最新の状態に保たれていることを確認している場合は、問題が発生することはありません。ただし、サイトのバックエンドで使用されていない古いテーマがある場合は、すぐに削除することをお勧めします。 WordPressは使用率が非常に高いため、ハッカーにとって大きなターゲットです。自分を簡単なターゲットにしないでください. 3.テーマのSEO機能を使用しない この推奨事項は、「 しなければならない これを実行してください」と私はあなたが従うことを強く勧める提案の詳細. テーマによっては、SEO機能が組み込まれている場合があります。次の2つの理由により、これらの機能を使用しないことをお勧めします。 テーマを変更することを決定した場合、テーマ内のSEOデータが失われる可能性があります（または抽出が難しい） 無料 YoastによるWordPress SEO プラグインは、利用可能なプラグインまたはテーマの中で最高のSEO機能を備えています これは大胆な主張ですが、WordPressコミュニティで最も尊敬されているユーザーや開発者の一部によって一般的に受け入れられているという主張の1つです。たとえば、2012年10月31日現在、YooastによるSEOはWordPressユーザーにとって「より有益」であるため、WooThemesはテーマ内のSEO機能を廃止しました。 WooThemesが別の開発者にSEOの手綱を引き渡すことは、Yoastのプラグインに対する彼らの信頼の大胆な兆候であり、それがいかに愛されているかを示しています. Yoast by SEOの詳細を知りたい場合は、WordPress SEOの一般的な間違いに関するガイドを確認してください. 4.分類やタグ付けを多用しないでください WordPress内でのカテゴリやタグの不適切な使用よりも、私がより多くのことをしなければならないことがいくつかあります。. まず、1つのことを真っ先に考えてみましょう。カテゴリとタグはどちらも、Webサイトで再生する役割を果たすことができます。一部の人が信じていることとは逆に、タグは現代のブログ時代に関連性のない時代遅れの分類法ではありません。さらに、カテゴリが使用および乱用されることはありません. カテゴリとタグの私のお気に入りの定義はLorelleから来ています： カテゴリはサイトの目次であり、タグはサイトの索引語です. これについて考えてください。本の同じテキストが異なる章に表示されますか？もちろん違います。この形式をブログに転送する必要があります。つまり、1つの投稿が複数のカテゴリに割り当てられることはほとんどありません。 2つ以上に割り当てる必要があると感じた場合は、重複するカテゴリが多すぎる可能性があります（7〜10が最適な数の目安です）. カテゴリはブログで取り上げられている幅広いトピックを表す必要があり（「ディナーレシピ」など）、タグはより具体的にする必要があります（「チキン」など）。問題のタグがコンテンツに直接関連し、関連している場合にのみ、コンテンツにタグを付ける必要があります。一般的に言えば、使用するタグは50個以下にする必要があります. 私のポイントはこれです：ユーザーに利益をもたらすためにカテゴリーとタグの両方が使われるべきです。それが彼らの主な目的です。それを見失うと、サイトをナビゲートするのは面倒な経験になります。少なくとも、カテゴリが明確に定義され、在庫が豊富であることを確認してください。タグ付けの方法がわからない場合は、トピックについて詳しく読むか、そのままにしておきます。. 5.コメントの管理をオンのままにしないでください 私は本当のペット嫌いで終わります。次のメッセージが表示されたときに、ブログにコメントするときにイライラすることはありません。 コメントが公開される前にモデレートされるのを待つ必要がある場合は、コメントすることをお勧めしますか？ブロガーに価値を感じますか？両方の質問に対する答えはノーだと思います. 私の意見では、コメントのモデレートは、ブロガーがコメント者の時間を尊重していないことを表しており、いかなる場合でも避けられるべきです。おもしろいのは、小さなブログでコメントのモデレートが頻繁に見られることです。大きなブログ（スパムが多く受信される可能性が高い）ではめったに使用されません。私はそれはより大きなブロガーが彼らの最も忠実な支持者（すなわちコメントする人々）に敵対しないことを知っているからだと推測します. 実際には、スパムはそれほど大きな問題ではありません—次のようなプラグイン Akismet […]

インターネットは内密の話をするには安全な場所ではありません。住所、電話番号、クレジットカード情報などの個人情報を取得するために、何千もの詮索好きな目があります。そのため、ほとんどの企業は機密タスクを処理するときにSecure HTTP（HTTPS）プロトコルを使用しています。今日はHTTPSについて話し、実際にサイトでそれが必要かどうかについて議論します. テクニカルティー HTTPは、Webサーバーとクライアント（ブラウザ）がWebページとファイルの通信と転送に使用するプロトコルです。 FTP、SSH、BitTorrentのような他のプロトコルがたくさんあります. HTTPSは、SSL（Secured Socket Layer）暗号化を使用するHTTPプロトコルの保護されたバージョンです。 SSLがバックグラウンドでどのように機能するかには、コンピュータサイエンスの学士号と、暗号法に関する十分な理解が必要です。抽象化の概念のおかげで、それについて心配する必要はありません。覚えてね： HTTP + SSL = HTTPS 簡単に言うと、HTTPSはデータを転送する前に、公開キーと秘密キーを照合する「ハンドシェイクメカニズム」を使用します。ハンドシェイクが完了すると、接続が確立され、保護されたセッションが開始されます。 HTTPSサイトにアクセスすると、ブラウザーのアドレスバーに緑色のインジケーターが表示される前に、このすべてがほぼ瞬時に行われます. 参考文献： HTTPSとは? ThawteによるSSL証明書 GeoCertsによるSSLの詳細 IBMによるHTTPSの仕組み （上級） HTTPSが優れている4つの理由 1.一流のセキュリティ： SSLを使用すると、接続が暗号化されます。仮想トンネルが作成され、 サーバーとブラウザのみが通信できます. 他の誰もそのチャネルを解釈することはできません。攻撃者がそのチャネルを利用したとしても、暗号化されたデータを理解することはできません。彼はブラウザだけが知っている秘密鍵を必要とするでしょう. 2.精査： HTTPSはSSL証明書を必要とし、SSL証明書をビジネスで取得することは深刻なプロセスです。 Certificate Authorizer（CA）によって検証された公式文書を提出する必要があります。ドキュメントが検証テストに合格した場合のみ、SSL証明書が発行されます. 3.ビジネスを正当化する： SSLで保護されたサイトにアクセスすると、サイトの信頼性を確信できます。サイトのSSL証明書から、所有者の必要な連絡先詳細をいつでも取得できます. 4.データの整合性： データの整合性とは、要求されたデータと受信された実際のデータの整合性を指します。この例を考えてみましょう：誰かが特定の投稿のためにあなたのサイトを訪問します XYZサーバーのセットアップ手順. 投稿の最後に、アフィリエイトリンクを残します。保護されていないサイトでは、攻撃者は簡単に接続を利用して、訪問者に 妥協 データ。おそらく、彼はあなたのアフィリエイトリンクをフィッシングリンクに置き換えます。したがって、要求されたデータと実際に受信したデータには大きな違いがあり、データの整合性が失われます。 SSLでは、これは不可能です! これがキャッチです： 安全な接続を確立するには、 かなりの計算能力 サーバーとクライアントの両方で。この結果は 転送速度が遅い HTTPと比較した場合。そのため、ほとんどのサイトは常にHTTPSを使用していません。彼らはあなたがログインしようとするか、購入しようとする瞬間まで待ちます。 AmazonやNeweggなどのeコマースサイトはこのルールに従います。このように、ブラウジングは非常に速く、購入は安全です. WordPressサイトで本当にHTTPSが必要ですか? 良い質問ですが、単純なイエスかノーの答えではありません。では、これについて詳しく説明しましょう. 検索エンジンはHTTPSサイトを好む（はい） これはからの引用です 最近の投稿 Googleウェブマスターセントラルブログ. …過去数か月にわたって、サイトがGoogleの検索ランキングアルゴリズムのシグナルとして安全な暗号化された接続を使用するかどうかを考慮したテストを実行してきました. これは、サイトにHTTPSがない場合、SERPランクが下がることを意味するものではありません。今のところ。警戒心のある人々は、これが将来の状況の初期の指標となるでしょう。多くの人がGoogleの決定に不満や疑問を投げかけています。なぜ静的ブログでHTTPSを使用するのですか？ハッカーが訪問者のコメントを読まないようにするには？ […]

Webサイトの信頼性は、WordPressブログ、Webサイト、eコマースストアにアクセスするときに読者が検討する重要な要素です。読者は、無料のリソースをダウンロードしたり、ニュースレターを購読したり、個人情報を提供して、ウェブサイトが信頼できると思われない場合は、購入することに抵抗を感じます。訪問者の心を落ち着かせる最も簡単な方法の1つは、McAfee SECUREトラストマークを使用することです. McAfee SECUREとは? McAfeeは、世界中の消費者がWebブラウジングを安全に保つために使用するWebセキュリティ製品で有名です。これには、ウイルス対策、ファイアウォール、暗号化、メールセキュリティなどのソフトウェアが含まれます。ユーザーのウェブセキュリティを念頭に置いて、マカフィーはそれぞれを拡張し、マカフィーSECUREブランドを開発しました。これには、Webを閲覧するすべての人が利用できるさまざまなWebセキュリティツールが含まれます。. このツールセットには、3つの主要なセグメントが含まれています。の McAfee SECUREトラストマーク ページにウイルス、マルウェア、その他の安全でないコードがないことを証明するためにどのウェブサイトを使用できるか。の McAfee SECURE Chromeブラウザ拡張機能 これにより、McAfeeシールドがブラウザーに追加され、安全にWebサーフィンを行っていることがわかり、アクセスしたWebサイトが危険にさらされている可能性がある場合は警告が表示されます。そして最後に McAfee SECURE Identity Protection McAfee SECURE認定Webサイトで購入する場合、購入者に最大100,000ドルのID盗難防止を提供します（ユーザーは、購入完了後に受信するアクティベーションメールの手順に従うだけです）。. これらすべてがWebユーザーにとって大きな資産ですが、McAfee SECUREトラストマークは、特にWebサイトの信頼性と信頼性を高めるために使用できるツールであるため、Webサイトの所有者に付加価値を提供します. WordPress WebサイトにMcAfee SECUREを追加する必要がありますか? McAfee SECUREがわかったところで、Webサイトにそれが必要ですか？簡単に言えば、ほとんどのWebサイトは、信頼できるマークを追加して、そのWebサイトが実際に安全であることを読者に表示することで利益を得ることができます。. ユーザーデータを収集していないブログやビジネスタイプのウェブサイトを運営している場合は、ウェブサイトに何か追加する前に長所と短所を比較検討する必要があります。しかし、eコマースサイトを運営している場合、またはユーザーデータを収集している場合は、McAfee SECUREを追加することをお勧めします。トラストマークをWebサイトに追加すると、登録する個人情報を提供する前に、ユーザーが迷う可能性があります。オンラインストアを運営している場合、追加されたMcAfee SECURE Identity Protectionは顧客に宣伝するためのボーナス機能であり、顧客が財務データを提供することに自信を持つことができます。. WordPress用にMcAfee SECUREを設定する方法 McAfee SECUREが適切に聞こえる場合、セットアップは比較的簡単です。 無料のMcAfee SECURE WordPressプラグイン. プラグインログをWordPressダッシュボードにインストールするには、[プラグイン]> [新規追加]に移動して、「McAfee」を検索します。 McAfee SECUREが最初の結果です。ボタンをクリックして「今すぐインストール」してからプラグインを「アクティブ化」します. プラグインをセットアップします。 McAfeeでは、ダッシュボードに通知を追加してプラグインをアクティブにすることで、これを非常に簡単にしています。何らかの理由で通知が表示されない場合は、メインのWordPressダッシュボードの新しいMcAfee SECUREメニュー項目をクリックして、プラグインのアクティベーションページに移動してください。ボタンをクリックして「今すぐアクティベート」します。 簡単なセットアップの傾向に沿って、無料のMcAfee SECUREアカウントを作成するためのポップアップウィンドウが開きます。フォームには、ウェブサイトのURLとWordPressユーザーアカウントの作成に使用したメールが自動入力されます。情報を確認し、[今すぐアクティブ化]をクリックしてください。 これにより、サイトが追加されたことが確認され、WordPressダッシュボードが更新されてMcAfee SECURE設定が表示されます。 McAfee SECUREプロファイルを編集する場合は、赤いボタンをクリックします。それ以外の場合は、ポップアップウィンドウを閉じてWordPressダッシュボードに戻ります。. Webサイトが安全であると想定すると、すべてのテストに合格したことを示す緑色の確認が表示されます（フレイ！）、認定トラストマークはすべて良好です。これで、ウェブサイトのフロントエンドにアクセスすると、ブラウザの右下隅にあるMcAfee SECUREトラストマークが表示されます。それは簡単でした? McAfee SECUREを使用 自由 […]

WordPressでeコマースサイトを設定する場合、セキュリティを最優先する必要があります。人の個人情報や財務データを扱うときは常に、慎重に注意する必要があります。認識可能なセキュリティロゴを介して信頼できるベンダーであることを証明しないと、顧客を失う可能性があります。しかし、セキュリティを考慮しないと、盗難やデータ損失など、はるかに悪い結果になる可能性があります。. これは、eコマースサイトの所有者にとって最悪の悪夢です。ありがたいことに、これをあなたに起こさせる必要はありません。ここでは、WordPressベースのeコマースサイトが直面する最も一般的なセキュリティ問題のいくつかについて説明し、これらのセキュリティホールを一度にすべて埋めるために必要な手順を説明します。. ステップ1：SSL eコマースの分野で作業する場合、絶対に妥協できないのはSSLです。これは、初心者向けのSecure Sockets Layerであり、処理のために送信されている間、機密情報（お客様とお客様の両方）を保護します。サイトでの支払いが安全であることを確認する良い方法は、PayPalなどの一般的なシステムを使用することです。これにより、すべての財務情報がサイトから切り離され、このようなトランザクションの保護を専門とする会社の手に渡ります。. ワイルドカードSSLは高価な場合がありますが、最高のWordPressホスティングオプションの多くはLet’s Encryptを通じて無料のSSLを提供します。迅速、簡単、完全無料. ステップ2：既製のプラットフォームを使用する サイトのセキュリティを強化する1つの方法は、既成のeコマースプラットフォームを使用することです。これにより、何を含めるべきか、含めるべきではないかという推測がなくなり、開始が非常に簡単になります。 WooCommerce、Shopifyなどのプラットフォームがいくつかあります。だから、あなたの研究を行い、あなたのニーズに適切に適合するeコマースプラットフォームを見つけてください. 代わりにWordPressテーマのみを使用する場合は、WordPressディレクトリまたは評判の良いテーマWebサイトで見つけたテーマのみを使用することをお勧めします。低品質のテーマは、多くの場合、サイトと顧客の情報を危険にさらす適切なセキュリティ対策を欠いています. ステップ3：.htaccessを変更する WordPressの潜在的なセキュリティ問題を解決する別の方法は、.htaccessファイルを変更することです。多くのサイト攻撃は、プラットフォームをサポートするデータベースで実行されます。データベースが攻撃された場合、サイトを機能させるPHPスクリプトを実行できなくなります. SQLインジェクションは、ハッカーがサイトに侵入する1つの方法です。データベースのURL内に独自のコマンドを配置することでこれを行います。これらのコマンドは、ログイン情報を含む、サイトに関する情報をデータベースに出力させることができます。このハッキング方法のバリエーションにより、サイトにマルウェアをインストールする特定のPHPスクリプトが実行される可能性があります。基本的に、これらすべては、顧客が自信を持って使用できる安全なサイトを運営しようとする誰かにとって悪いニュースです。. ありがたいことに、WordPressサイトのファイルの.htaccessファイルを変更することで、これを修正できます。サイトのセキュリティを強化するためにファイルに配置できる.htaccessコードスニペットの優れたコレクションがあります。これらのルールが整ったら、特定のIPアドレスや特定のURLリクエストなど、特定の人がサイトにアクセスできないようにすることができます. また、表示できるファイルを制限することもできます。これらのコマンドを.htaccessに追加して、古いユーザーがサーバー上のプライベートファイルにアクセスするのをブロックすることもできます。通常、これを行うには、ディレクトリリストへのアクセスをブロックします。サイトの訪問者がサイト上のすべてのファイルのリストを表示する必要がないため、アクセスをブロックすると、悪意のあるユーザーがその情報を使用して攻撃を仕掛けることを防ぐことができます. ステップ4：管理者をスキップする eコマースのWordPressサイトを設定するときに間違いなく行いたいもう1つのことは、ユーザー名とパスワードが文字、数字、文字の組み合わせで構成されていることを確認することです。ユーザー名をデフォルトの「admin」のままにしないでください。これは、ブルートフォース攻撃を仕掛けるときに最も頻繁にユーザー名としてハッカーが「推測」するものです（以下を参照）。そして、あなたはハッカーの生活をより簡単にしたくありません。だからあなたのユーザー名を作る そして 複雑なパスワード. サイトに2段階認証をインストールすることもできます。何かのようなもの Keyy Two Factor トリックをするかもしれない. ステップ5：ログイン試行を制限する 先に述べたように、ブルートフォース攻撃によってユーザーはサイトにアクセスできます。これらの攻撃は、サイトへのログインを繰り返し試行する自動スクリプトによって実行されます。スクリプトは何千回も実行されるため、最終的には成功する可能性が高い. つまり、フェイルセーフ対策を講じない限りです。そのようなフェイルセーフの1つがログインリミッターです。ログインリミッターは、特定のIPアドレスまたはユーザー名が、指定された時間内に特定の回数ログインするのを防ぐツールです。数分で10回という一般的な制限により、そのユーザーまたはIPは1時間のタイムアウトが発生します。ブルートフォース攻撃者は、ログインリミッターに直面しても効果的ではありません。何千回または何百万回ものログイン試行を成功させることができないためです。彼らはしばしばあなたのサイトから移動し、より簡単な領域を探します. 利用可能なログインリミッタープラグインは多数ありますが、私が個人的に気に入っているプラ​​グインをいくつか紹介します。まず、 iThemesのセキュリティ, これは、さまざまな攻撃からサイトを保護するために設計された堅牢なプラグインです。実際には、あいまいな戦術、ログイン制限、ボット検出など、サイト攻撃を防ぐ30以上の方法が含まれています. そして、 ログイン試行を制限する, これにより、ユーザーがログインを試行できる回数を制限できるため、ブルートフォース攻撃を防止できます。また、完全にカスタマイズ可能であり、サイトのロックアウトが発生したときにオプションのロギングと電子メール通知を提供します. もちろん他のオプションもありますが、これらは信頼できるとわかった2つにすぎません. どのようなサイトを運営していても、セキュリティを念頭に置くことが重要です。しかし、eコマースサイトを運営しているユーザーにとっては、さらに重要です。他人の情報に対して責任がある場合、自分の力の範囲内でできる限りのことをして情報を保護することが重要です。つまり、既製のeコマースプラットフォームを使用するか、安全なサービスを介してすべてのトランザクションをオフサイトで処理することを選択します。または、WordPressサイトのファイルに手動でアクセスし、悪意のある攻撃者から保護するためのコードを追加する必要がある場合もあります。また、ユーザー名とパスワードが十分でないことを確認する場合は、ログイン試行を制限してブルートフォース攻撃を防ぐこともできます. これらの方法をすべて組み合わせて使用​​すると、サイトのセキュリティを強化し、顧客のショッピング体験をより安全にすることができます。それは要点の一種です、あなたは思いませんか? さてあなたに。オンラインストアのWordPressサイトのセキュリティを向上させるためにどのような方法を使用していますか？どのツールまたはプラグインがあなたにとって必須のアイテムですか？それについてコメントで聞きたいです!

このチュートリアルでは、無料のプラグインを使用してWordPressの2要素認証を有効にする方法を学びます Duoの2要素認証. Duoのセキュリティ によって信頼されているエンタープライズレベルの有名なセキュリティサービスです。 数百社 ソニー、マイクロソフト、アクセンチュア、トヨタ、Yelpなど。非常に安全で使いやすい. 2要素認証とは? 非常に簡単に言えば、2要素認証は、保護するサイト/製品のセキュリティを強化することを目的とした追加のセキュリティ対策です。これは、2つの異なる認証ステージで構成されています。 アカウントのパスワード ワンタイムパスワード（OTP）と呼ばれる動的に生成されたセキュリティコード たとえば、Googleアカウントを見てみましょう。 2要素認証が有効になっている場合、新しいIPアドレスまたは以前に未使用のIPアドレスからアカウントにサインインすると、最初の障壁はパスワードになります。次に、GoogleがSMSを送信するか、登録済みの携帯電話番号に電話して6桁のコードを送信します。コードを入力した場合のみ、アカウントへのアクセスが許可されます. PC（本質的には特定のIPアドレス）が既知のアクセスポイントであることを承認するまで、常に次の2つの手順を使用してログインする必要があります。 IPアドレスを認証すると、2nd 確認コード（OTP）は必要ありません. 2要素認証の利点 ご想像のとおり、2要素認証の利点は、安全でない環境では非常に貴重です。誰かがあなたのパスワードを知ったとしても、その人はあなたのアカウントにアクセスすることはできません。 2nd 認証段階、つまりOTPは彼を阻止します。これをチェック 素晴らしい説明 Duo Securityによる。ただし、非常にまれなケースでは、加害者がパスワードと電話の両方にアクセスできる場合は、. 前提条件 2要素認証を有効にするには、次のデバイスが常に各アカウント所有者と一緒にいる必要があります. 携帯電話またはタブレット。国際電話/テキストには課金可能なクレジットが必要なので、できればスマートフォン。 Android、iOS、BlackBerryデバイスが推奨されるスマートフォン. 有効な電話番号（これまたはインターネットにアクセスできる推奨スマートフォン） あ Duoのセキュリティ アカウント Duoセキュリティアカウントを設定する まず、無料のDuo Securityアカウントを作成する必要があります。アカウントを登録するには、アクティブな電話番号を使用する必要があります。次の手順は、その方法を示しています。 まず、 無料アカウント 価格設定ページのオプション。詳細を注意深く記入してください。電話番号については、国コード、スペース、電話番号の順に使用してください。. 私はインド出身なので、国コードは+91です。 +91 XXXXXYYYYYと入力しました. に ステップ2, 別の会社のサイズを使用できます。 Duo Securityを使用してWordPressサイトを保護しているので、 CMS 下 「何を守りたいですか？」 残りの設定は問題ありません. 登録するとすぐに、Duoからアクティベーションリンクが送信されます。受信トレイを開き、そのリンクをクリックします。同様のページにリダイレクトされます。 下 電話番号 Duo登録プロセスの最初のステップで使用したものと同じものを使用していることを確認してください. すべての詳細を入力したら、をクリックします 参加する. 数秒待って、どちらかをクリックします […]

WordPressのセキュリティは、現在ブロゴスフィアで話題となっています。膨大な数のWordPressサイトに対する最近のボットネット攻撃では、貴重なデータを取り戻すためにスクランブルをかける人がいるため、WordPressのセキュリティを強化するために迅速に行動する必要があります. それから、先を考えて、それが必要とされる前に行動を起こした人がいます。彼らは自分自身をハードターゲットにしたので、彼らは全く問題を経験しなかった可能性があります. 事実は次のとおりです。100％安全なサイトというものはありませんが、わずかな時間をかけて他のサイトの99％よりも安全なサイトにすることで、ハッキングされる可能性をはるかに小さくすることができます。このことを念頭に置いて、この投稿では、サイトをソフトターゲットから実際のタフなCookieに変える、5つの簡単なプロセスを紹介します。. ステップ1：すべてを更新する サイトの古いアイテムは、ハッカーがサイトのバックエンドに侵入するために使用できるため、潜在的なセキュリティリスクを表しています。そのため、すべてを最新に保つことが非常に重要です. そして私がすべてを言うとき、私は 平均 すべて： WordPressコア テーマ プラグイン 非アクティブ化されたテーマとプラグインも最新の状態に保つ必要があります。サイトに存在するだけでセキュリティリスクが発生する可能性があるため、WordPressのセキュリティを強化するには最新の状態に保つ必要があります。. 頻繁にログインしないのですか？心配はいりません–のようなプラグインを使用できます 簡単更新マネージャー WordPressコア、テーマ、プラグインの自動更新を有効にします。また、更新をカスタマイズするための組み込みの詳細設定や、更新された内容と時期を確認するためのログも多数あります. 多くの人はこれをここでやめますが、実際にはもう1つのステップがあります。最近更新されていないテーマやプラグインをサイトから削除することを真剣に検討する必要があります。 Plugin Last Updatedでプラグインが最後に更新された時期を簡単に監視できます。これにより、バックエンドのプラグインリストに最終更新日が追加されます（デフォルトで表示されるはずです）。. 一般的に言えば、過去12か月以内に更新されていないプラグインは削除対象と見なす必要があります. ステップ2：すべてを（そして定期的に）バックアップする 私はそれが明白な提案であることを知っていますが、WordPressのバックアップを含めないことは私を失望させるでしょう。単純な事実は、サイトの安全性にとってより重要なものは（もしあれば）少ないということです。. あなたのサイトが本当に破壊的なハック（これは 常に 可能です）、最後の防御線は最近のバックアップです。これは、最悪の事態が発生した場合でも、頼りになるものがあることを意味します。もし、あんたが しない 定期的にバックアップをとっておいてください。. 非常に多くのバックアップソリューションが世の中にありますが、私の最初の提案は、サービス内に自動バックアップを含むホスティングプロバイダーを選択することです。あなたがあなたのサイトに損害を与えるハッキングの試みの犠牲者であるなら、あなたはあなたのプロバイダーがそのサイトを以前の栄光に迅速に復元することに気付くはずです. それ以外にも、作物の選択肢は VaultPress とBackupBuddy。彼らはお金がかかりますが、私のアドバイスは 決して バックアップソリューションを試してみてください。個人的には、私は（WPExplorerと同様に）VaultPressユーザーです—彼らは包括的なバックアップソリューションと追加のセキュリティ機能を提供しています. ステップ3：デフォルトのユーザー名を変更する WordPressのインストールに同梱されているデフォルトの「admin」プロファイルをまだ使用している場合は、今が変更する時です. どうして？ブルートフォースログインの試みの最初のステップは、「admin」ユーザー名でログインを試みることです。そのため、膨大な数のパスワード試行を実行してエントリを取得します。よりユニークなユーザー名を作成した場合、そのハッキングの試みを阻止します. プロファイルとそれに関連する可能性のあるすべてのもの（投稿の所有権の譲渡など）を切り替えることは、かなり困難な作業に思えるかもしれませんが、サイトを保護するための重要なステップであり、思ったよりもはるかに簡単です。追加のガイダンスが必要な場合は、YouTubeのチュートリアルをチェックしてください. ステップ4：一意の強力なパスワードを作成する（そして定期的に変更する） 最近のほとんどの人は、自分のパスワードが「パスワード」であってはならないことを理解するのに十分な知識を持っています。彼らができること ない ブルートフォースハッキングの試みは、ウェブサイトへのアクセスを試みる際に、驚異的な数のパスワードの組み合わせを試みることを知っています。パスワードが理にかなっている場合、または何らかの方法で予測可能である場合（認識可能な単語または数字のパターンで構成されている場合など）、サイトは危険にさらされています. 実際には、ベストプラクティスのパスワード生成には3つの重要なルールがあります。 それは違いない 本当に ランダムでユニーク 一度だけ使用する必要があります（つまり、複数のサイトで使用しないでください） 定期的に変更する必要があります（例：月に1回） これらの3つのルールに従うと、サイトのセキュリティが大幅に向上します。本当にランダムなパスワードを生成するという点では、無料のオンラインジェネレーターを使用できます。 LastPass そのサービスを使用して、（a）すべてのパスワードを生成および保存します. ステップ5：プラグイン保護をインストールする あなたのサイトのセキュリティを高めると主張するプラグインは非常にたくさんあります。選択の幅が広すぎる場合もありますが、問題を切り抜けて、使用する最も簡単で最も効果的なプラグインであると私が考えるものをお勧めします. そのプラグインは ワードフェンス：人気の高い評価の高い無料プラグイン。これには、次のようなさまざまなセキュリティ機能が含まれます（これらに限定されません）。 ファイアウォール 悪意のあるIP保護 バックドアスキャン マルウェアスキャン 強化されたログインセキュリティ Wordfenceはフリーミアムモデルであり、より多くのオプションを備えた有料版がありますが、プラグイン自体と基本的なサービスは無料です。これをサイトにインストールするのは簡単です. 実際には、ここで表面を引っ掻いているだけです。上記のセキュリティ対策を講じることで、WordPressのセキュリティを他の大半のセキュリティよりも強化することができますが、できることは常にあります。 常に […]

訪問者を再訪問させ続けるウェブサイトを作成したい場合は、かなりの時間と、場合によっては金銭を費やす必要があります。結局のところ、あなたが望む最後のことはあなたのサイトが危険にさらされているかハッキングされているのを見ることです。簡単に言うと、サイトのセキュリティを最優先にする必要があります–開発中も開発後も. 幸い、WordPressを使用すると、サイトのセキュリティ保護を比較的簡単に行うことができます。実行できる簡単な手順は数多くありますが、より高度なセキュリティ機能を提供する、無数の信頼できるプラグインを使用できます。全体として、サイトをサポートするために必要な労力は驚くほど少なく、長期的にはメリットを享受できます. はじめに、WordPressサイトのセキュリティを強化するための5つの重要なヒントを説明します。基本から始めましょう! 1.サイトを定期的にバックアップする 次のようなプラグインを使用すると、サイトのバックアップを維持するのは簡単です UpdraftPlus. まず、サイトを保護するために何をしても、何か問題が発生する可能性があることを認識することから始めることが重要です。つまり、100％の保護を提供できるセキュリティ対策はないため、サイトのバックアップを維持することが重要です。そうすれば、災害が発生した場合に回復する方法があります. また、大きな変更を加える前にサイトをバックアップすることを強くお勧めします。そのため、このヒントを最初に取り上げます。以下の提案のほとんどは、プラグインのインストールとユーザー情報の変更に関するものであり、それらを実装する前にバックアップを作成することをお勧めします. 開始するには、ホスティングプロバイダーに問い合わせてください。すでにバックアップが作成されている場合があります。そうでない場合、または安全性を高めるために、適切なセキュリティプラグインのインストールを検討してください。お勧めします UpdraftPlus 使いやすさと信頼性。どのソリューションを選択しても、サイトのバックアップを定期的に作成し、安全な場所に保管します. 2. WordPressのコア、テーマ、プラグインを最新の状態に保つ 重要な更新が利用可能になると、ダッシュボードがアラートを出します. バックアップと同様に、サイトを定期的に更新する必要があります。 WordPressはその人気からハッカーの主要なターゲットであり、新しいセキュリティの脅威が頻繁に現れます。幸いなことに、WordPressはこれらの脅威をリリースし、自動的にインストールすることで非常に真剣に受け止めています 頻繁なセキュリティ更新. 選択するプラットフォームとしてWordPressを選択することは、あなたがすでに右足から始めていることを意味します。ただし、サイトのすべての部分が最新であることを確認することは依然として重要です。 WordPressのメジャーアップデートは、大幅な変更を行うことが多いため、手動による介入が必要になります。これは、インストールされているプラ​​グインやテーマについても同様です。幸い、これらの更新は簡単なプロセスです–最初にサイトをバックアップすることを忘れないでください! 3.「強力な」ユーザー名とパスワードを選択します WordPressは、強力でハッキングが難しいパスワードを作成するのに役立ちます. 重要なサービスにログインするためのユーザー名とパスワードを作成するときは、推測しにくい資格情報を選択する必要があります。同じ原則がWordPress Webサイトにも当てはまります。人（またはボット）があなたのアカウントにアクセスできる場合、彼らはあなたのサイトとそのデータに関して自由に支配することができます. デフォルトに固執するのも魅力的です 管理者 ユーザー名ですが、使用しないことを強くお勧めします。結局のところ、ハッカーがあなたのパスワードを解読したいのなら、それが最初に推測することです。代わりに、予測が難しいユーザー名を使用するか、 代わりにメールアドレスを使用してください. パスワードについては、WordPressの組み込みのパスワードジェネレーターを使用するのが最も簡単な解決策です。ランダムで安全なものを提供します。. WordPressサイトをまだ作成していない場合は、インストールを実行するときにこれらの提案を実装するだけで済みます。ただし、すでにサイトがあり、選択した認証情報を後悔している場合でも、心配する必要はありません。あなたはできる あなたのパスワードをリセット いつでもユーザー名を変更できます. 4. Webサイトへの第三者のアクセスを制限する 他のユーザーに付与する権限を慎重に検討することが重要です. と呼ばれる情報セキュリティの概念があります。最小特権の原則‘は、ユーザーまたはプログラムに必要以上のアクセス権を与えてはならないことを示しています。これは基本的ですが重要な考慮事項です。セキュリティ違反や情報の誤用の可能性を制限するための最良の方法だからです。. 多くの異なるユーザーがサイトにアクセスしている場合は、アクセスを制限することが重要です。ただし、プラグインへのアクセスにも適用されるため、ショーを実行しているのがあなただけの場合でも役割を果たします。幸い、サードパーティのアクセスを制限するために実行できるいくつかの簡単な方法があります。 ユーザーに必要な権限のみを付与します。たとえば、投稿を書くだけでよい人に管理者アクセスを提供しないでください. 同様に、プラグインとテーマが本当に必要な場合にのみサイトへのアクセスを許可し、それらが信頼性があり安全であることを確認してください. 不要になったユーザーのアクセス権を削除し、使用を停止したテーマとプラグインを削除します. フォルダーとファイルのアクセス許可を慎重に構成する. プラグインとテーマは非常に役立つツールであり、チームがサイトを支援することは素晴らしいことです。サイトとそのデータにアクセスして使用できるユーザーを最終的に制御することを確認してください. 5.包括的なセキュリティプラグインをインストールする などのプラグイン ワードフェンスのセキュリティ 多くの重要な機能を提供できます. 特定のセキュリティ関連のタスクを実行するいくつかのプラグインについてはすでに説明しました。ただし、サイトのセキュリティニーズのほとんどを提供する他の包括的なオプションを利用できます。それらはリアルタイムセーバーになる可能性があり、十分にサポートされているものを選択すると、新しい脅威や懸念を処理するために定期的に更新されます. もちろん、セキュリティプラグインを探しているときは、信頼できる信頼できるプラグインを選択することが重要です。優れたユーザー評価と好意的なレビューがあるものを探し、それが更新される頻度を確認し、開発者が提供するサポートの量を検討します. を検索すると、多くのセキュリティプラグインを見つけることができます WordPressプラグインディレクトリ. ただし、どちらを使用すればよいかわからない場合は、 ワードフェンスのセキュリティ. これは間違いなく最も人気のあるWordPressセキュリティプラグインであり、基本的なセキュリティオプション、ファイアウォール、その他のブロック機能を提供します。また、2要素認証、サイト、データ、トラフィックの定期的なスキャンとモニタリングも可能になります. Wordfenceに必要なものがすべて含まれていない場合は、次のような代替案を使用することもできます iThemesのセキュリティ （これにより、定期的なバックアップも作成されます）および Sucuri Security （サイトで発生するすべてを監視および記録します）。どちらのプラグインを選択しても、Googleをすばやく検索すると、開始するための多数のチュートリアルが表示されます. セキュリティを強化することは、WordPressウェブサイトを作成する最もエキサイティングな部分ではありませんが、その重要性を軽視しないでください。サイトのセキュリティに注力する努力が多ければ多いほど、災害に遭遇する可能性が低くなります。あなたのサイトを保護するために今いくつかの基本的なステップを踏むことは後で後で当然の平和を提供するでしょう. WordPressサイトを安全に保つ方法について質問がありますか？下のコメント欄でお知らせください!

WordPressは非常に人気のある、完全にオープンソースのソフトウェアです。そのセキュリティに関して素晴らしいことは、社内のCMSソリューションよりも迅速にバグとセキュリティリスクを発見できる、それと連携する巨大なコミュニティがあることです。 （見つける1つの方法が実際に弱点を悪用することである場合、弱点を見つけることは困難であり、巨大なユーザーベースを持つことは発見の可能性をはるかに高くします。） 不利な点は、悪意のあるハッカーがWebサイトの構築方法を正確に知っていることです。彼らはすでにあなたのサイトへの「青写真」を持っています。使用するコア、テーマ、プラグインに弱点がある場合、それはサイトのバックエンドにアクセスしなくてもそれを知ることができるものです. そこで、この投稿では、WordPressの完全にデフォルトのインストールに存在する5つのセキュリティ脅威を修正する方法を紹介します。 （すでにいくつかの予防策を講じている場合は、すでに1つまたは2つを修正していることがわかるかもしれませんが、ハッキングされるリスクを最小限に抑えるために5つすべてを修正することが重要です。） あなたのサイトは、WordPressとそのバージョンを使用していることを示しています WordPressのデフォルトバージョンには、WordPressを使用してサイトが構築されていることを確認できるコード行が含まれています。テーマによっては、ウェブサイトのすべてのページに視覚的に表示される場合もあります. これがセキュリティリスクになる可能性がある理由は、WordPressに基づいて構築されていること以外の理由でサイトがターゲットにされない可能性があるためです。誰かがWordPressコア、テーマ、またはプラグインにセキュリティの弱点を見つけた場合、サイトにアクセスしてそれを悪用する可能性があります。一方、サイトがWordPressで構築されていることをうまく隠すことができた場合、ボットまたはクローラーを使用してWordPressサイトを検索する人々は、あなたのサイトは実行可能なターゲットではないと思い込まされます。. 修正方法： これを修正するには、Hide My WP Pluginを使用できます。この便利な小さなプラグインを使用すると、サーバーでの不要なトラフィックを回避すると同時に、WordPressサイトを標的とした攻撃からの安全を確保できます。. ログインページ/管理領域がどこにあるか誰もが知っている それでもWordPressを使用している（Hide My WPなどのプラグインを使用して積極的に非表示にしない）ことを示している場合、意図が悪い人は、サイトに対してブルートフォース攻撃を試みる場所をすでに知っています。. 修正方法： この脅威を修正し、ハッキングされる可能性を大幅に低減し、サーバーのストレスを軽減するには、悪意のあるユーザーやボットがログインページにアクセスできないようにする必要があります. これを行うには、主に2つの方法があります。プラグイン（または数行のコード）を使用して、ログインページの物理的な場所を別の場所に変更するか、IPアドレスによってログインページと管理領域へのアクセスを制限することができます。これは、この特定のもの専用のプラグイン、またはSucuriなどのセキュリティプラグインを使用して実行できます。, ワードフェンス, iThemes Security Proまたは オールインワンWPのセキュリティとファイアウォール. WordPressには、誰もが使用するデフォルトのテーブルプレフィックスがあります テーブルプレフィックスは、データベース内のテーブルの名前の前に来るものです。ユーザーの代わりに、標準のWordPressプレフィックスを使用すると、wp_usersになります。デフォルトのテーブルプレフィックスを使用すると、SQLインジェクションの脆弱性を利用して、ユーザーがサイトにアクセスしやすくなります。彼らはあなたのサイトにアクセスするためにデータベースに情報を挿入する場所を正確に知っているからです. SQLインジェクションが原因で実際​​にWebサイトの1つがハッキングされたため、これは対策を講じる必要がある非常に現実的な脅威です. 修正方法： ありがたいことに、この脅威を取り除くのは非常に簡単です。デフォルトのwp_プレフィックスを使用してWordPressをすでにインストールしている場合は、Sucuriなどのプラグインを使用して簡単に変更できます。まず、問題が発生する可能性は低いため、このオプションを使用する前にデータベースをバックアップする必要があります。これは、ボタンをクリックするだけで実行できます。次に、新しいプレフィックスを選択するか、単にSucuriにランダムに新しいプレフィックスを生成させます。. 注：WordPressを初めてインストールする場合は、インストールインターフェースで変更できます. WordPressテーマとプラグインファイルはダッシュボードで編集可能 これの問題は、ハッカーがあなたのウェブサイトにアクセスする場合、彼らが多くの損害を与えることができるということです。彼らはあなたのウェブサイトをマルウェアで他の人々に寄生させたり（あなたのサイトがグーグルのブラックリストに載せられ、検索エンジンからデインデックスされたりするかもしれません）、あなたのウェブサイトを改ざんしたり、バックドアを簡単に開けたりすることができます。. 修正方法： 次のコード行をwp-config.phpファイルに追加できます。 define（ ‘DISALLOW_FILE_EDIT’、true）; または、セキュリティプラグインを使用して実行します（基本的に、そのコード行のみが挿入されます）。唯一の問題は、この機能をオン/オフにできるプラグインがあるため、非常に熱心なハッカーがプラグインをインストールし、プラグインをオンにして、FTPアクセスなしで編集コードにアクセスできる可能性があることです。. 徹底してこれから保護したい場合は、次のコード行をwp-config.phpに追加して、すべてのプラグインとテーマの更新/インストールを無効にできます。 define（ ‘DISALLOW_FILE_MODS’、true）; ただし、プラグインまたはテーマを更新またはインストールするたびに、値をfalseに変更する必要があることは明らかです（テーマとプラグインを最新の状態に保つことが最善の方法の1つであるため、このオプションはお勧めしません）サイトの脆弱性を軽減するため）. WordPressには非常にオープンなファイアウォール設定があり、既知の悪意のあるボットでも攻撃を試みることができます WordPressのデフォルトのファイアウォール設定は、実際にはリベラル側にあります。これは、厄介なボットやその他の不要な訪問者が青信号を受け取ることを意味します. 修正方法： 基本的な5Gブラックリストファイアウォールルールをインストールするか、手動で.htaccessファイルにコピーするか（ここで見つけることができます）、または このプラグイン, または、セキュリティプラグインを使用して、.htaccessのルールをより最適化します. 無制限のWordPressログイン試行 デフォルト設定は確かに無制限のログイン試行ですが、サイトにWordPressをインストールしたときにログイン試行を制限することを選択した可能性があります。あなたがしなかったなら、しかし、それは信じられないほど簡単な修正です. 修正方法： 単にインストールする ログイン試行制限プラグイン. または、WPEngineホスティングを使用している場合、これは既に組み込まれている機能であり、プラグインは必要ありません。自分のIPアドレスのみがdasbhboardにアクセスできるようにすることでログイン領域をすでに保護している場合は、これを行う必要はありません。しかし、ログインページのアドレスを隠しただけの場合、それは潜在的なブルートフォース攻撃からの二重の保護になります。. 結論 サイバー犯罪は急速に成長しており、インターネットは「現実の世界」よりも多くの犯罪者の故郷になりつつあります。一部の国では、これはすでに起こっています。そして、その多くはクレジットカードと銀行詐欺ですが、ハッカーの数は増え続けています。ウェブサイトの所有者として、私たちは自分自身とサイトをできる限り保護する必要があります. […]