WordPressサイトの簡単なセキュリティチェックリスト

毎日10万以上のWebサイトがハッキングされていることをご存知ですか?そうです、サイバー犯罪はどの企業にとっても深刻な脅威であり、WordPressサイトを持っている人も安全ではありません。私はハッカーに遭遇しました(そして私のWordPressサイトを回復する必要がありました)。.


ハッカーは、金銭的利益または純粋な悪意の目的でリリースできるデータを破壊および盗むために、脆弱なWebサイトを積極的に探しています。あなた自身とあなたの貴重なサイトを保護するには、WordPressのセキュリティを強化することを真剣に検討する必要があります.

ハッカーがWebサイトに侵入すると、収益、時間、労力が失われることを考慮して、WordPress Webサイトを保護するために使用できる次のセキュリティチェックリストを作成しました。投稿のすべてのセキュリティ項目は、初心者でも比較的簡単に実装できます。

ご覧のとおり、安全なホストの選択から管理領域の強化など、すべてをカバーする複数の部分に投稿を分割します。テーマを定期的に更新するなど、いくつかのセキュリティタスクを繰り返す必要があります。他のタスクは1回限りのものですが、サイトのセキュリティを維持する上で大きな影響があります。修正する必要があることを確認し、ハッカーも時間を無駄にしないため、すぐにそれを実行します.

シンプルなWordPressセキュリティチェックリスト

1. WordPressを更新する

WordPressコアは定期的に監査され、セキュリティの脆弱性がチェックされます。セキュリティの欠陥やバグが検出された場合、コア開発者は通常、メンテナンスアップデートをリリースします。マイナーアップデートはWordPressウェブサイトに自動的にインストールされます.

ただし、すべてのメジャーリリースでWordPressを手動で更新する必要があります。 WordPress管理者にメッセージが表示されるので、これは比較的単純なプロセスです。最新バージョンのWordPressを実行しているWebサイトは22%のみであり、更新がいかに簡単かを考えると悲しいです.

あなたが本質的にあなたのウェブサイトを更新しないことによってあらゆる種類の攻撃にあなたのサイトをさらしているので、残りの78%にはいません。通常、ハッカーは攻撃を成功させるための欠陥に頼っているため、古いバージョンの脆弱性について学ぶ最初の人々のグループです。.

WordPressを更新する前に、リリースノートを読んで変更点を確認し、ウェブサイトのバックアップを取ることをお勧めします(念のため)。このようにして、更新ボタンをクリックしたときに何を期待するか、そして何かがうまくいかなかった場合のフェイルセーフがあります.

2.テーマとプラグインを更新する

WordPressコアを更新するときは、テーマとプラグインも更新することを忘れないでください。ハッカーは、既知のセキュリティホールを持つ古いテーマやプラグインを特に好みます.

これらのセキュリティの脆弱性を悪用し、古いテーマやプラグインのバックドアを隠すことさえあります。あなたが更新しない場合、彼らはそれが彼らを喜ばせるときはいつでもあなたのウェブサイトをハッキングすることができます.

カスタムスタイルが失われないようにするため、親テーマではなくWordPress子テーマを使用することをお勧めします。こうすることで、テーマを更新してもカスタマイズが失われることはありません.

Yoはまた、非アクティブなテーマ、プラグイン、および未使用のWordPressインストールを削除する必要があります。帯域幅を節約してWebサイトを高速化するだけでなく、ハッカーを寄せ付けない.

別の簡単なメモ、「nulled」のプレミアムテーマとプラグインをダウンロードしないでください。 WordPress.org、Envato、または他の評判の良いテーマショップなどの信頼できるソースのみを使用する.

3.ユニークで強力なパスワードを使用する

悪意のあるユーザーがログイン情報を盗むと、ほとんどのWebサイトがハッキングされることに驚かれることでしょう。さらに、ブルートフォース攻撃は非常に一般的であり、何かが発生するまで、何千ものユーザー名とパスワードの組み合わせでログインページを攻撃します。.

悪意のあるユーザー名とパスワード(悪名高い「admin」や「12345」など)を使用している場合、ハッカーがあなたのウェブサイトに侵入することを信じられないほど簡単にしています。定期的に変更する独自の強力なパスワードを作成する習慣をつけてください。このような無料のオンラインジェネレーターを使用することもできます。 LastPass.

多くの強力なパスワードを管理することは問題になる可能性があります。助けるために、私はとりわけ1PasswordやLastPassなどのパスワードマネージャーに依存しています。複数のWebサイトで同じパスワードを再利用しないでください。常にログイン情報を安全に保管してください。 WordPressユーザーも強力なパスワードを使用するようにしてください.

その間、メール、cPanel、MySQLデータベース、FTPアカウントにも強力なパスワードを使用することを忘れないでください.

4. WordPressセキュリティプラグインをインストールする

新しいWordPressウェブサイトを作成するときはいつでも、たいていの場合、ほとんど自動的にインストールするいくつかの事実上のプラグインがあります。アンチスパムプラグイン、Contact Form 7、Symple Shortcodes、およびiThemes Securityを取得しました。.

プラグインを使用すると、汗をかくことなくWordPressの防御を強化できます。それは私のウェブサイトから悪者を締め出すことを簡単にする多くの機能が付いています。プラグインの設定は非常に簡単です。あなたはすぐに稼働しているはずです.

最高のWordPressセキュリティプラグインはさまざまな機能を提供します。そのため、インストールする前に、独自性にかかわらず、Webサイト全体を保護するために必要なすべての機能を取得していることを確認してください。標準機能には、マルウェアスキャン、IPブロッキング、ブルートフォース防止、2要素認証などが含まれます。現在読んでいるこのセキュリティチェックリストの多くのボックスをチェックします!

5.優れたWordPressホスティングを選択する

通常、初心者は最初に出会った安価なホスティングパッケージを求めます。よく分からないので私はあなたに対してそれを保持しませんが、疑わしいほど安価な(または無料の)共有ホスティングはセキュリティリスクにさらされる可能性があります。共有ホスティングを提供している2つの異なるホスティング会社にハッキングされているので、私はこれを知っています.

共有ホスティングには、他の何千ものウェブサイトとサーバーを共有することが含まれます。これにより、クロスサイト汚染のリスクが高まります。つまり、ハッカーは他の誰かのWebサイトが最初の攻撃ポイントであったとしても、あなたのサイトにアクセスすることができます。.

一方、マネージドWordPressホスティングは、WordPress Webサイトのみに焦点を当てています。サーバーを他のユーザーと共有せず、安全性を維持するためのより多くのセキュリティオプションを利用できます。専用のサポートも提供しており、最悪の事態が発生した場合の回復オプションが増えます.

共有ホスティングを使用する必要がある場合は、まだ収益を上げていないブログから始める、サイトが分離されている、または「投獄されている」ことを確認してください。ビジネスまたはeコマースのWebサイトを運営している場合は、VPS、専用、または管理されたWordPressホスティングなど、ワードゴーから予算に収まる最高のWordPressホスティングを使用するのにお金がかかります。.

6. SSL(HTTPS)を使用する

現在、多くのWordPressホスティング会社が、正当な理由により、無料でSSL証明書を提供しています。 SSL証明書を使用すると、SSLを使用しないサイトよりもWebサイトのセキュリティが強化されます。 SSL証明書を使用してウェブサイト上のデータを保護することもお勧めします(SSLを使用しているかどうかをユーザーに知らせてください).

HTTPSは、以前のHTTPよりも安全です。 HTTPSを使用するWebサイトは、ユーザーのブラウザーとサーバーの間を移動するすべてのデータを暗号化します。ハッカーが通信を傍受した場合、彼らはお尻を蹴る競争で片足の男と同じくらい便利な暗号化されたデータのみを見つけるでしょうwill

ほとんどのWebホストへのSSL証明書のインストールは、A、B、Cと同じくらい簡単です。ほとんどの場合、ワンクリックインストーラーを使用して、プロセス全体を簡単に行うことができます。 SSL証明書をインストールして管理するには、cPanelにログインして1つのボタンをクリックするだけです。より実践的なアプローチが必要な場合は、Let’s Encryptを確認することを検討してください。.

7.完全なサイトバックアップを作成する

ハッカーが私をスローダウンしたとき、私は自分のウェブサイトをゼロから再構築しなければならなかった、もしも私がWordPressをバックアップすることを確実に覚えていたら避けたであろう頭痛の種.

しかし、いいえ。攻撃中にWebホストにあったバックアップが破損しました。いいえ、二次的なバックアップソリューションはありませんでした。すべての卵を1つのバスケットに入れて、私に難しいレッスンを教えた古典的なケース.

最近では、Webサイトのファイルとデータベースを含む完全なWebサイトバックアップを作成しています。主に使っています ManageWP, でも私は 複製プラグイン コンピュータとGoogleドライブにバックアップを保存する.

定期的にフルバックアップを作成することをお勧めします。多くのWordPressバックアップソリューションでは、プロセス全体を自動化して時間を節約し、安心を与えることができます.

8. Webアプリケーションファイアウォール(WAF)を使用する

WordPressサイトにセキュリティの層を追加し、夜の睡眠を良くするには、Webアプリケーションファイアウォール(WAF)を有効にします。 WAFは、悪意のあるトラフィックがサイトに到達するずっと前にブロックすることにより、Webサイトを保護します。これは、悪者が被害を与える前にトラックで死んでしまうのを防ぐための事前対策です。.

ファイアウォールは受信トラフィックをフィルタリングし、正規のユーザーを通過させながらハッカーを排除します。多くのWordPressセキュリティ企業は、他の機能とともにWebアプリケーションファイアウォールを提供しています。業界で人気のあるオプションには、Sucuriと クラウドフレア.

9. WordPress管理でファイル編集を無効にする

WordPress CMSには、WordPress管理ダッシュボード内でプラグインとテーマファイルを編集できる素晴らしいコードエディターが付属しています。コードエディターは自由に使える優れたツールですが、ハッカーは悪意のあるユーザーがWebサイトでマルウェアを改ざんしたり、追加したりすることができます.

FTPまたはcPanelのファイルマネージャーを介して、テーマファイルとプラグインファイル(必要な場合)をいつでも編集できます。つまり、WordPressのコードエディターを完全に無効にできます。 WordPressの管理領域にアクセスするハッカーがコードエディターにアクセスすることを望まないのは、数行のコードで多くの被害を引き起こす可能性があるためです。.

何をすべきか?あなたは無料を使用して組み込みのコードエディタを無効にすることができます Sucuri Security プラグイン。または、次のコードを wp-config.php ファイル:

//ファイル編集を許可しない
define( 'DISALLOW_FILE_EDIT'、true);

私たちは前進しています.

10.ログインページを保護する

通常、WordPressのログインフォームには2つのフィールドがあります。ユーザー名とパスワード。ブルートフォース攻撃者やボットが日ごとに巧妙化する中、ハッカーがWordPress管理領域にアクセスできないようにするにはどうすればよいですか?それは簡単です; CAPTCHAまたはセキュリティの質問を追加すると、誰もが不正アクセスを取得するのが困難になります.

そして、あなたはコードを編集する必要はありません CAPTCHAを追加 または セキュリティの質問 ログインページへ。として知られている人気のあるWordPressプラグインがあります WPセキュリティ質問 設定も使用も簡単です。 CAPTCHAを使用する場合は、 単純なログインキャプチャ, WordFence, またはWordPress.orgで無料で利用できる他の多くのオプションの1つ.

同時に、次のことができます あなたのWPログインURLを変更する ユニークなものに。そうすれば、ボットやハッカーはログインページのURLを推測するのに苦労します。 wp-loginはハッカーの間ですでに人気があるので、URLを別のものに変更することは完全に理にかなっています。次のようなプラグインを使用できます WPSログインを非表示.

11.認証を追加する

さらに、2要素認証と多要素認証の実装を検討してください。ハッカーがログイン情報にアクセスした場合、ハッカーはWordPressサイトにログインできなくなります。利用可能な多くのオプションがありますが、 Googleオーセンティケーター 人気のある選択です.

それ以外は、ログインページでのログインを制限します。訪問者が存在しないアカウントでログインしようとしたり、何度もログインを試みたりする場合は、ハッカーまたはボットがブルートフォース攻撃を試みている可能性があります。次のようなプラグインを使用できます。 ログイン試行を制限する または ログインのロックダウン これらの煩わしい要素を遠ざけるため.

12.非アクティブなユーザーのログアウト

マルチユーザーのWordPress Webサイトがある場合、ユーザーがWebサイトにアクセスする方法または場所を完全に制御することはできません。著者は、無料の公共Wi-Fiを使用して記事に最後の仕上げをすることにするかもしれません。 Webデザイナーが机を離れて、1時間の昼休みから戻ってくる.

このようなシナリオでは、ユーザーが無意識のうちにWebサイトをセキュリティリスクにさらす可能性があります。悪意のある人物がセッションを乗っ取り、詳細を編集し、単純に大混乱を引き起こす可能性があります。無許可の当事者が何をしているのかを知っている場合、ユーザーのアカウントを簡単に乗っ取って損害を与えることができます.

何をすべきか?事前定義された期間が経過すると、非アクティブなユーザーを自動的にログアウトできます。そして最良の部分は?この正確な目的のためのプラグインがあります。人気のあるオプションの1つは 非アクティブなログアウト ログアウト前のアイドル時間、カスタムポップアップメッセージまたはログアウト時のリダイレクト、およびユーザーロールに応じたタイムアウトをカスタマイズするオプションを含むプラグイン.

13.マルウェアと問題をスキャンする(定期的に)

しばしば忘れられがちですが、WordPress Webサイトを定期的にスキャンすると、セキュリティの問題を早期に特定するのに役立ちます。ハッカーがあなたのウェブサイトに侵入し、あらゆる種類の厄介なことをするのにほんの1秒しかかかりません。だからこそ、常に物事を把握する必要があります.

マルウェア感染、既知のセキュリティ脆弱性、古いスクリプト、ブルートフォース攻撃、存在しないバックアップなどをスキャンするための多くのWordPressセキュリティプラグイン。プラグインは既知の問題に関する詳細なレポートを送信するので、それらを修正するか、専門家を雇うことができます.

次のような多くのウェブサイトスキャナーがあります Sucuri SiteCheck, あなたがすぐにあなたのサイトをチェックするために使用できること。あなたがしなければならないすべてはあなたのURLを入力することです、そしてツールはあなたのウェブサイトを自動的にチェックします。その後、彼らはあなたが修正する必要があるものについてのレポートを提供します。レポートを入手したら、すべてのセキュリティの脆弱性をすぐに修正します.

14. VPNを使用する

ハッカーの手に渡ってはならない機密情報を扱うウェブサイトを運営している場合は、仮想プライベートネットワーク(VPN)の使用を検討してください。 VPNは、自宅や職場などのパブリックネットワークで一般的な中間者攻撃からユーザーを保護します.

仮想プライベートネットワークを使用すると、攻撃者がシステムにアクセスして詳細を盗んだとしても、取得したデータを使用して何もできなくなります。多くの人と共有しているインターネットネットワークがある場合は、WordPress管理領域にアクセスする前に必ずVPNを使用してください.

その他のWordPressセキュリティオプション

もっとやる必要がありますか?私たちはあなたのウェブサイトを常に安全に保ちたいので、チェックリストに追加するボーナスセキュリティアイテムを以下に示します:

  • / wp-content / wp-uploads /でPHPファイルの実行を無効にする
  • WordPressデータベースのプレフィックスを変更する
  • サーバー側の管理ページとログインページをパスワードで保護する
  • ディレクトリのインデックス作成を無効にする
  • 不要な場合は、WP REST APIとXML-RPCを無効にする
  • WordPressコアを編集/変更しないでください–代わりに必要な機能を提供するプラグインを作成または使用してください
  • ウェブサイトが最新バージョンのPHPを実行していることを確認してください
  • コンピューターでウイルス対策プログラムを使用する
  • Google Search Consoleを有効にする
  • XSSとSQLインジェクションの脆弱性を軽減します(これら2つについては、技術に詳しい人が必要になる場合があります)

実際、サイトを保護するために実行できる手順の数は無限です。しかし、ここに挙げた14項目を確認できれば、サイトを保護するための大きなステップになります。.


WordPress Webサイトの保護は困難ですが、不可能ではありません。適切なツールとスキルを使用して、WordPressのセキュリティをすばやく強化し、悪意のある人物を遠ざけることができます.

まとめとして、ウェブサイトを常に最新の状態に保ちます。さらに、信頼できないサイトからテーマやプラグインをダウンロードしないでください。そして、最悪の事態が発生した場合に安全を確保するために、常に信頼できるバックアップソリューションを用意してください。.

WordPress Webサイト、つまりオンラインビジネスを保護するために必要なすべてのヒントを見つけていただければ幸いです。質問がある場合、またはWordPress Webサイトを保護する方法を理解するための助けが必要な場合は、コメントでお知らせください。おげんきで!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me