WordPress Webサイトを保護しない方法

WordPressサイトを保護しない方法

WordPressサイトを保護したい場合、最初に何をしますか?トップ5のセキュリティプラグインを見つけ、どれほど手頃な価格かを検討してから、インストールしてください。それが終わったら、今すぐ座ってリラックスできますよね?違う!


セキュリティプラグインを使用しても、セキュリティは保証されません。セキュリティは絶対的なものではなく、完全なセキュリティを保証することはできません。私たちにできる最善のことは、ハッキングのリスクを減らすことです。また、一般に信じられていることとは異なり、サイトの所有者はWebサイトの安全性の維持に関与する必要があります。すべきこととすべきでないことを知ることは重要です.

WordPressサイトを安全に保つために何をすべきかについてのガイドがいくつかありますが、代わりに何をすべきかについてのガイドを提供しています。ここでのアドバイスは一般的な信念と矛盾していることに注意してください。しかし、私たちの経験から、そこにある多くのアドバイスは古く、誤った安心感を提供しています.

WordPressのセキュリティの問題が私たちと同じくらいあなたを悩ませているなら、以下を見てください.

1.あまりにも多くのセキュリティプラグインを使用しない

さまざまな機能セットを備えたさまざまなプラグインがあるため、複数のWordPressセキュリティプラグインを使用したくなります。正直なところ、それはやり過ぎです。サイトのセキュリティを心配するのは普通のことですが、本当に複数のセキュリティプラグインが必要かどうかを自問する必要がありますか?サイトの要件に不可欠な機能は何ですか?機能はお互いのつま先を踏みますか?

たとえば、プラグインがwp-config.phpやhtaccessなどのファイルの変更を開始すると、競合が発生する可能性があります。プラグインはこれらのファイルを簡単にいじることができますが、それらは単一の全会一致の方法でそれらを変更していません。これにより競合が発生し、ウェブサイトが遅くなる可能性があります.

WordPressサイトでは、時々問題が発生する可能性があります。誰もが恐ろしい死の白いスクリーンを嫌っています。ウェブサイトに深く影響する複数のプラグインがあると、問題のデバッグが困難になる可能性があります。さて、プラグインが1つしかない場合は、エラーの原因を見つけて修正する方が簡単で複雑ではありませんでした。.

2. DBプレフィックスを変更しないでください

WordPressサイトが危険にさらされる方法はいくつかあります。ハッカーは、SQLインジェクション攻撃を通じてサイトのデータベースにアクセスする可能性があります。プラグインまたはテーマの脆弱性は、サイトのデータベースに侵入するために使用される可能性があります(そのため、代わりに WordPressデータベースバックアッププラグイン 同様の落とし穴を避けるため)。ハッカーがサイトに侵入するのを防ぐ一般的な方法の1つは、デフォルトのテーブルプレフィックスを変更することです。下の画像からわかるように、WordPressでは、デフォルトのテーブルプレフィックスは「wp_」です。WordPressでは、特定のテーブルを非表示にするためにテーブルプレフィックス(たとえば、「xzy_」)を変更できます.

WordPressデータベースのプレフィックス

表面的には、これは良い考えのように見えます。ハッカーがテーブル名を知らない場合、テーブルからデータを取得することはできません。ただし、これは誤った推論です。誰かがデータベースにハッキングしても、テーブルを見つける方法はまだあります。したがって、接頭辞の名前を変更しても意味がありません。さらに、デフォルトのプレフィックスを変更すると、いくつかのプラグインが誤動作する可能性があります.

さらに、データベースプレフィックスmidflightの変更は実装が難しく、Webサイトがクラッシュする可能性があります。これは、すべてのレベルで行う必要がある多くの変更があるためです。プロセスでエラーが発生すると、サイトに壊滅的な影響を与えることが判明します.

3.ログインページを非表示にしない

パスワードを解読してサイトに侵入しようとする人が常にいます。ブルートフォース攻撃の際、ハッカーは一般的なユーザー名とパスワードの組み合わせを使用してWebサイトにログインしようとします。では、ログインページを非表示にするとどうなるでしょうか。 1石で2羽の鳥を殺すでしょう。ハッカーはログインページを見つけることができず、サーバーの負荷が軽減されます.

WordPressにはデフォルトのログインページがあります。通常、ページのURLは、example.com / wp-login.phpのようになります。ブルートフォース攻撃からウェブサイトを保存するよく知られた方法の1つは、デフォルトのログインページを非表示にするか、example.com / mylogin.phpなどの他のページに変更することです。これは簡単な計画のように聞こえますが、WordPressサイトを安全に保つ上でこの方法がどれほど効果的であるかを見てみましょう。.

サーバー負荷の軽減

ログインページの場所を非表示または変更した後、誰かがそのページを開こうとすると、404エラーが発生します。ただし、ログインの試行は重いプロセスです。 404エラーページが読み込まれるたびに、サーバーリソースが大量に消費されます。そして、あなたのウェブサイトを遅くします。したがって、ログインページを非表示にするとサーバーの負荷が軽減されるという一般的な考えは正しくありません。.

推測しにくい代替URL

CMSとしてのWordPressの成功の一部は、ウェブサイトへの変更を容易にするプラグインによるものです。サイトのログインページを非表示にする一般的な方法がプラグインを使用することであることは当然のことです。これらのプラグインには、xzy.com / wplogin.phpなどのデフォルトの代替ログインURLのセットが付属しています。デフォルトの設定を使用するようにトレーニングされています。プラグインをインストールしてURLを変更すると、あまり考慮されなくなります。しかし、プラグインが提供できるURLはそれほど多くありません。これらの事前設定されたログインURLを見つけることはそれほど難しくありません。したがって、代替URLを使用してもほとんどの場合効果がない場合があります.

使いやすさの問題

WordPressの優れた点は、使いやすいことです。おなじみのプラットフォームです。多数のユーザーがいるサイトの場合、ログインページを変更または非表示にすると、特定の問題が発生する可能性があります。ログインURLが変更されたためにユーザーがサイトにアクセスできなくなったWordPressフォーラムへの投稿を何度か目にしました。ほとんどの場合、変更はプラグインを使用して行われ、ユーザーは混乱の原因となる状況を認識していませんでした.

4. IPアドレスを手動でブロックしない

サイトにセキュリティプラグインがインストールされている場合は、誰かがウェブサイトにログインしようとすると通知が届きます。これらの悪意のあるリクエストを送信しているIPを簡単に手に入れ、 .htaccessファイルを使用してブロックする. 手作業が多い作業であり、あまり便利な方法ではありません.

ユーザーフレンドリーではない

.htaccessファイルを変更しようとする非技術者は、災害のレシピです。 WordPressのようなコンテンツ管理システムのフォーマットは非常に厳密です。 FTP / SFTPなどの最も一般的なツールを使用することも非常に危険です。軽微なエラーまたはコマンドの誤った配置により、サイトがクラッシュする可能性があります.

ブロックするにはIPが多すぎます

ブラックリストに登録されないようにするために、ハッカーは世界中のIPアドレスを使用します。これまで、サイトに侵入しようとするIPアドレスを手動でブロックする方法について説明しました。 (前述したように)この作業には多くの時間と労力が必要ですが、時間を効率的に使用することはできません。ただし、Malcareなどの上位のWordPressセキュリティプラグインを使用している場合は、ブロックプロセスを自動化できます。このようなセキュリティプラグインは、すべてのWPセキュリティの抜け穴を処理します.

5. WordPressを隠す

CMSを隠すと、悪意のあるユーザーがサイトに侵入することが難しくなるという一般的な仮定があります。あなたのウェブサイトがWordPressで実行されているという事実を隠すことができたらどうでしょう。これは、一般的な脆弱性を悪用しようとするハッカーからサイトを保護します。これを行う簡単な方法は、プラグインを使用することです(ご想像のとおり)。しかし、ハッカーがあなたのウェブサイトが実行しているプラ​​ットフォームを気にしない場合、この方法は失敗します。さらに、サイトがWordPressで実行されているかどうかを確認する方法は多数あります.

プラグインを使用する以外に、作業を手動で行うことを選択できます。しかし、それは時間のかかるプロセスです。 1回のWordPressアップデートで、数秒以内にすべての作業を取り消すことができます。つまり、このプロセスを何度も繰り返すか、WPの更新を避ける必要があります。 WordPressの更新をスキップすることは、ハッカーが自宅に侵入するための玄関口を開くようなものです。.

6. wp-adminを保護するパスワードが機能しない

デフォルトのWordPressログインページ(この例はexample.com/wp-admin)は、サイトへのゲートウェイです。一般的なログインページは次の図のようになります。.

ここでは、WordPressダッシュボードにアクセスするために資格情報を使用する必要があります。ログインページをパスワードで保護すると、ダッシュボードへのこのゲートウェイを非表示または保護できます。それは良いアイデアですが、抜け穴がないわけではありません.

LookLinuxパスワード保護の例

写真提供: LookLinux

まず、パスワードを紛失した場合、パスワードを維持したり変更したりすることは困難です。追加のセキュリティを提供する効果がないだけでなく、サイトへのこのような変更は非常に危険であることが判明する場合があります。たとえば、管理ページをパスワードで保護する場合、/ wp-admin / admin-ajax.phpなどのリクエストは保護をバイパスできません。サイトのAjax機能に依存する可能性のあるプラグインがあります。そして、彼らがこの機能にアクセスできないとき、彼らは誤動作を始めます。したがって、これによりWebサイトが破損する可能性があります.

あなたに

WordPressサイトを保護するために回避する必要があることについて質問や提案がある場合は、コメントでお知らせください.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map