5 WordPressのデフォルトのセキュリティ脅威とその修正方法

WordPressのセキュリティ

WordPressは非常に人気のある、完全にオープンソースのソフトウェアです。そのセキュリティに関して素晴らしいことは、社内のCMSソリューションよりも迅速にバグとセキュリティリスクを発見できる、それと連携する巨大なコミュニティがあることです。 (見つける1つの方法が実際に弱点を悪用することである場合、弱点を見つけることは困難であり、巨大なユーザーベースを持つことは発見の可能性をはるかに高くします。)


不利な点は、悪意のあるハッカーがWebサイトの構築方法を正確に知っていることです。彼らはすでにあなたのサイトへの「青写真」を持っています。使用するコア、テーマ、プラグインに弱点がある場合、それはサイトのバックエンドにアクセスしなくてもそれを知ることができるものです.

そこで、この投稿では、WordPressの完全にデフォルトのインストールに存在する5つのセキュリティ脅威を修正する方法を紹介します。 (すでにいくつかの予防策を講じている場合は、すでに1つまたは2つを修正していることがわかるかもしれませんが、ハッキングされるリスクを最小限に抑えるために5つすべてを修正することが重要です。)

あなたのサイトは、WordPressとそのバージョンを使用していることを示しています

WordPressバージョン

WordPressのデフォルトバージョンには、WordPressを使用してサイトが構築されていることを確認できるコード行が含まれています。テーマによっては、ウェブサイトのすべてのページに視覚的に表示される場合もあります.

これがセキュリティリスクになる可能性がある理由は、WordPressに基づいて構築されていること以外の理由でサイトがターゲットにされない可能性があるためです。誰かがWordPressコア、テーマ、またはプラグインにセキュリティの弱点を見つけた場合、サイトにアクセスしてそれを悪用する可能性があります。一方、サイトがWordPressで構築されていることをうまく隠すことができた場合、ボットまたはクローラーを使用してWordPressサイトを検索する人々は、あなたのサイトは実行可能なターゲットではないと思い込まされます。.

修正方法:
これを修正するには、Hide My WP Pluginを使用できます。この便利な小さなプラグインを使用すると、サーバーでの不要なトラフィックを回避すると同時に、WordPressサイトを標的とした攻撃からの安全を確保できます。.

ログインページ/管理領域がどこにあるか誰もが知っている

WordPressログイン

それでもWordPressを使用している(Hide My WPなどのプラグインを使用して積極的に非表示にしない)ことを示している場合、意図が悪い人は、サイトに対してブルートフォース攻撃を試みる場所をすでに知っています。.

修正方法:
この脅威を修正し、ハッキングされる可能性を大幅に低減し、サーバーのストレスを軽減するには、悪意のあるユーザーやボットがログインページにアクセスできないようにする必要があります.

これを行うには、主に2つの方法があります。プラグイン(または数行のコード)を使用して、ログインページの物理的な場所を別の場所に変更するか、IPアドレスによってログインページと管理領域へのアクセスを制限することができます。これは、この特定のもの専用のプラグイン、またはSucuriなどのセキュリティプラグインを使用して実行できます。, ワードフェンス, iThemes Security Proまたは オールインワンWPのセキュリティとファイアウォール.

WordPressには、誰もが使用するデフォルトのテーブルプレフィックスがあります

WordPressテーブルプレフィックス

テーブルプレフィックスは、データベース内のテーブルの名前の前に来るものです。ユーザーの代わりに、標準のWordPressプレフィックスを使用すると、wp_usersになります。デフォルトのテーブルプレフィックスを使用すると、SQLインジェクションの脆弱性を利用して、ユーザーがサイトにアクセスしやすくなります。彼らはあなたのサイトにアクセスするためにデータベースに情報を挿入する場所を正確に知っているからです.

SQLインジェクションが原因で実際​​にWebサイトの1つがハッキングされたため、これは対策を講じる必要がある非常に現実的な脅威です.

修正方法:
ありがたいことに、この脅威を取り除くのは非常に簡単です。デフォルトのwp_プレフィックスを使用してWordPressをすでにインストールしている場合は、Sucuriなどのプラグインを使用して簡単に変更できます。まず、問題が発生する可能性は低いため、このオプションを使用する前にデータベースをバックアップする必要があります。これは、ボタンをクリックするだけで実行できます。次に、新しいプレフィックスを選択するか、単にSucuriにランダムに新しいプレフィックスを生成させます。.

注:WordPressを初めてインストールする場合は、インストールインターフェースで変更できます.

WordPressテーマとプラグインファイルはダッシュボードで編集可能

WordPressプラグインエディター

これの問題は、ハッカーがあなたのウェブサイトにアクセスする場合、彼らが多くの損害を与えることができるということです。彼らはあなたのウェブサイトをマルウェアで他の人々に寄生させたり(あなたのサイトがグーグルのブラックリストに載せられ、検索エンジンからデインデックスされたりするかもしれません)、あなたのウェブサイトを改ざんしたり、バックドアを簡単に開けたりすることができます。.

修正方法:
次のコード行をwp-config.phpファイルに追加できます。

define( 'DISALLOW_FILE_EDIT'、true);

または、セキュリティプラグインを使用して実行します(基本的に、そのコード行のみが挿入されます)。唯一の問題は、この機能をオン/オフにできるプラグインがあるため、非常に熱心なハッカーがプラグインをインストールし、プラグインをオンにして、FTPアクセスなしで編集コードにアクセスできる可能性があることです。.

徹底してこれから保護したい場合は、次のコード行をwp-config.phpに追加して、すべてのプラグインとテーマの更新/インストールを無効にできます。

define( 'DISALLOW_FILE_MODS'、true);

ただし、プラグインまたはテーマを更新またはインストールするたびに、値をfalseに変更する必要があることは明らかです(テーマとプラグインを最新の状態に保つことが最善の方法の1つであるため、このオプションはお勧めしません)サイトの脆弱性を軽減するため).

WordPressには非常にオープンなファイアウォール設定があり、既知の悪意のあるボットでも攻撃を試みることができます

WordPressファイアウォールSerrings

WordPressのデフォルトのファイアウォール設定は、実際にはリベラル側にあります。これは、厄介なボットやその他の不要な訪問者が青信号を受け取ることを意味します.

修正方法:
基本的な5Gブラックリストファイアウォールルールをインストールするか、手動で.htaccessファイルにコピーするか(ここで見つけることができます)、または このプラグイン, または、セキュリティプラグインを使用して、.htaccessのルールをより最適化します.

無制限のWordPressログイン試行

デフォルト設定は確かに無制限のログイン試行ですが、サイトにWordPressをインストールしたときにログイン試行を制限することを選択した可能性があります。あなたがしなかったなら、しかし、それは信じられないほど簡単な修正です.

修正方法:
単にインストールする ログイン試行制限プラグイン. または、WPEngineホスティングを使用している場合、これは既に組み込まれている機能であり、プラグインは必要ありません。自分のIPアドレスのみがdasbhboardにアクセスできるようにすることでログイン領域をすでに保護している場合は、これを行う必要はありません。しかし、ログインページのアドレスを隠しただけの場合、それは潜在的なブルートフォース攻撃からの二重の保護になります。.

結論

サイバー犯罪は急速に成長しており、インターネットは「現実の世界」よりも多くの犯罪者の故郷になりつつあります。一部の国では、これはすでに起こっています。そして、その多くはクレジットカードと銀行詐欺ですが、ハッカーの数は増え続けています。ウェブサイトの所有者として、私たちは自分自身とサイトをできる限り保護する必要があります.

WordPressのデフォルトのインストールにはいくつかの弱点がありますが、WordPressの優れた点は、この投稿で言及されているセキュリティの脅威を含め、サイトに関するほとんどすべての問題を簡単に解決できることです。固有のユーザー名と強力なパスワード以外にも、セキュリティプラグインをインストールし、いくつかの設定を編集し、1行または2行のコードを挿入することで、サイトがハッキングされたりマルウェアに感染したりするリスクを大幅に減らすことができます。.

WordPressサイトのセキュリティを向上させるための対策を講じましたか?何?ヒントとコツをいくつか教えてください!コメント欄でお知らせください.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map