2021年にあなたのWordPressサイトをハッカーから安全に保つ

毎日100,000を超えるWebサイトがハッカーの標的になっています！ そのため、WordPressサイトを安全に保つことが重要です。 あなたのウェブサイトはいつでもそれらのウェブサイトの1つである可能性があります。 WordPressはかなり安全です。 ただし、多くのWordPressサイトはハッキングの犠牲になっています。 これはWordPress自体とは関係がなく、ウェブマスターとしてサイトを管理し、セキュリティを設定する方法と関係があります。

立ち上げ時にサイトが安全であることを確認した場合でも、セキュリティメンテナンスに遅れずについていくことで、サイトが常に適切に保護されるようになります。

始める前に、 WordPressサイトにある一般的なセキュリティ問題のいくつかを把握しておくことをお勧めします。

• ブルートフォース攻撃–ブルートフォース攻撃は、強力なパスワードを持つことが重要である理由です。 攻撃者は、WordPressサイトにアクセスするための適切なログインの組み合わせを取得するまで、ログイン情報を何度も入力します。
• マルウェア–悪意のあるソフトウェアの略で、マルウェアはWebサイトへの不正アクセスを取得して、事業主とその顧客または連絡先に属する機密データを収集するために使用されるコードです。
• ファイルインクルードエクスプロイト–ファイルインクルードエクスプロイトは、安全でないコードを使用してリモートファイルをロードすると発生し、ハッカーがWebサイトにアクセスできるようになります。 これにより、基本的にWordPressインストールのバックボーンであるwp-config.phpファイルへのアクセスも提供されます。 このファイルが危険にさらされた場合、ハッカーはデータベースのログイン情報と暗号化セキュリティにアクセスできます。
• SQLインジェクション– SQLインジェクションは、WordPressデータベースへの攻撃であり、攻撃者はデータベース、つまりデータにアクセスできます。 これが発生すると、攻撃者はデータを追加および変更できるようになります。これには、悪意のあるリンクやスパムが含まれる可能性があります。
• クロスサイトスクリプティング–クロスサイトスクリプティングはプラグインの最も一般的な問題であり、攻撃者が安全でないjavascriptスクリプトを使用して無意識のうちにWebページをロードする方法を見つけることによって機能します。

セキュリティが危険にさらされるとどうなりますか？

ハッカーはあなたのデータとあなたの顧客に属するすべてのデータを盗み、このデータを公開したままにすることができます。 マルウェアがサイトから訪問者に配布され、SEOランキングやブランドの評判を損なう可能性があります。 そして最後に、サイト全体がワイプされる可能性があります。これがバックアップされていない場合、深刻な問題が発生する可能性があります。

さて、大きな問題は、どうすればサイトをハッカーから保護できるかということです。 WordPressサイトの場合、Webサイトをより安全にする方法はいくつかあります。 このガイドでは、WordPressのより詳細なセキュリティ機能に至るまで、行うことができる基本的なセキュリティの変更のいくつかを紹介します。 に飛び込みましょう。

基本的なセキュリティ設定とは何ですか？

ほとんどのサイトは基本をカバーしていません、そしてそれはかなりずさんな保護になります。 ここでは、WordPressのセキュリティを強化するためにできる基本的なことについて説明します。

1.強力な資格

ばかげているように聞こえるかもしれませんが、強力なパスワードを持っていることを確認することが最初の防衛線です。 今日でも、保護がほとんどないPassword123のようなパスワードを使用しています。 ユーザー名やメールアドレスをパスワードとして使用したくなるかもしれませんが、使用しないでください。

強力なパスワードは、ユーザー名やメールアドレスとは異なり、大文字、小文字、数字、特殊文字（！、*、％など）が含まれます。

同様に、多くの人がadminをユーザー名として使用していることを知って驚かれるかもしれません。 もしそうなら、それを変更する時が来ました。

2.安全な接続を使用する安全なホスティング

ウェブホストはあなたと同じようにあなたのウェブサイトのセキュリティに責任があります。 現在、ホスティングはクラウドホスティングまたは共有ホスティングを介して提供されています（最も安価なWordPressホスティングオプションを確認してください）。 クラウドホスティングは複数のサーバーで複数のウェブサイトをホストしますが、共有ホスティングは1つのサーバーで複数のウェブサイトをホストします。

クラウドホスティングは、複数のサイト間で限られたリソースを共有する必要がないため、より高いレベルの信頼性とセキュリティで高く評価されています。 これは共有ホスティングの開始に関する問題であり、ホストがサーバーが処理できるよりも多くのWebサイトを積み上げると、サイトが脆弱なままになります。

共有ホスティングが悪いと言っているわけではありません。 責任あるホストは常に安全な接続を使用し、サーバーが処理できる以上のことをサーバーに与えることはありません。 ここで、ホストをチェックして、切り替えが必要かどうかを確認する良い機会かもしれません。

3.2要素認証

簡単なセキュリティ修正は、ダッシュボードにログインするときに2要素認証を有効にすることです。 これにより、Webサイトにセキュリティの層が追加され、設定で非常に簡単に有効にできます。

認証は通常、SMSまたは電子メールを介したコードです。 ログインするために追加の手順を実行する必要があるのは面倒だと感じる人もいますが、追加の保護のためにそれだけの価値があります。

3.SSL証明書

サイトにSSL証明書があるかどうかわかりませんか？ SSLを使用しているサイトでは、Webアドレスの先頭にhttps：/が表示され、ブラウザからサイトが安全でないと表示されることがよくあります。 SSL証明書は、Web訪問者にサイトが安全であることを知らせ、サイトの使用時にデータが保護されるようにします。

現在、ほとんどのホスティングプロバイダーはサブスクリプションコストにSSL証明書を含めていますが、SSL証明書を持っていない場合は、ホスト経由で支払うか、無料のLet's Encrypt証明書を使用できます（無料のSSLをWordPressサイトに手動で追加する方法を参照）。

Webサイトの所有者は、WebサイトのSSL証明書を選択するときに、さまざまなSSLタイプを確認する必要があります。たとえば、eコマースWebサイトに複数のサブドメインがある場合は、ワイルドカードSSL証明書を取得することを検討する必要があります。

AlphaSSL、Comodo、GlobalSign、DigiCertなど、サイトで信頼を確立するのに役立つ、評判の高い証明書ブランドが多数あります。 すべてのブランドが認証済みSSL証明書を提供しているため、誰でも選択できます。

4.サイトをバックアップします

サイトのセキュリティがどれほど強力であっても、100％防弾になることはありません。 このため、サイトのバックアップ（WordPressバックアッププラグインの比較を参照）は、Webサイトのセキュリティにおいて絶対に必要なものの1つです。 やむを得ない事態が発生した場合でも、ウェブサイトを最初から始める必要はありません。

Duplicator（Duplicatorを使用してWordPressサイトを移行する方法を参照）、BackupBuddy（BackupBuddyレビューを確認）、WPvivid（WPvividレビューを参照）、10Webバックアップ（10Webレビューを確認）などのバックアッププラグインを使用できます。

データをバックアップするもう1つの方法は、同じデータを使用するアプリやソフトウェアを同期することです。 たとえば、MailchimpとOffice 365を同期することで連絡先をバックアップできます。これにより、連絡先データを安全に保つことができます。

5.プラグインとテーマ

WordPressサイトは、更新が必要なテーマや多くのプラグインで機能します。 これらの更新は、サイトをスムーズに機能させるためだけでなく、ソフトウェア内のバグや問題を修正するためにも不可欠です。 非常に多くの企業が古いバージョンのソフトウェアで実行されているWebサイトを持っており、彼らはそれを知りません。

もう1つの問題は、nullのテーマとプラグインの使用です。これらには変更されたコードが含まれており、信頼されていません。 nullのプラグインを使用すると、サイトが危険にさらされる可能性があります。

6.PHPバージョンを更新します

非常に古いバージョンのPHPを実行しているサイトは、セキュリティリスクにさらされています。 PHPが古くなると、WordPressサイトが脆弱になる可能性があります。 最新のPHPバージョンで実行されていることを確認することをお勧めします。 バージョンを見つけるには、サイトのヘッダーリクエストを確認するか、さまざまなプラグインを使用するか、ホスティングで使用されている場合はcPanelを使用します。

7.管理領域を強化する

WordPress管理エリアは、基本的にユーザーにサイト上の特定のタスクにアクセスして実行する機能を提供し、多くの場合、保護されないままになります。 このため、WordPressサイトで最も一般的にターゲットにされている領域です。

adminディレクトリに認証手段を追加することで、このセキュリティを強化できます。 2要素認証を追加し、ログイン試行を制限して、セキュリティの別のレイヤーを追加し、ハッカーを阻止することができます。

さらに一歩進んで、WordPressのログインURLを変更できます。 WordPressサイトのデフォルトのURLはdomain.com/wp-adminまたは/login.phpで、ハッカーが管理者ログインに対してブルートフォース攻撃を試みるのを容易にします。

これは大きなセキュリティ修正ではありませんが、URLを変更すると、攻撃者がサイトにアクセスするのが難しくなります。 ログインURLは、iThemes Security（iThemes SecurityとWordFenceの比較を参照）、Hide My WP（SwiftPerformanceとHideMy WPの比較を確認）などのプラグインを使用して変更できます。

より強力なセキュリティを実装する方法は？

WordPressサイトのセキュリティレベルを上げるための推奨事項を次に示します。

1.WordPressセキュリティプラグインをインストールします

セキュリティを肩にかけるのに役立つ気の利いたプラグインがインストールできるかどうか疑問に思われるかもしれませんが、良いニュースはたくさんあるということです。 これらのプラグインを使用する利点は、さまざまな機能と、ハッキングの試みを示している可能性のある変更されたファイルがないかWordPressインストールをスキャンするオプションです。 これらのプラグインには次の機能もあります。

• サイト訪問者に関するWHOIS情報
• 二要素認証
• reCAPTCHA
• マルウェアスキャン
• パスワードの有効期限–設定された時間が経過するとパスワードをリセットする必要があります。
• WordPressセキュリティファイアウォール

すべてのセキュリティ問題を解決できるわけではありませんが、プラグインは別の防御層を追加し、ハッキングの試みを防ぐのに役立ちます。 次のプラグインを検討することをお勧めします：Sucuri、Jetpack Security、iThemes Security Pro、BulletProof Security、Wordfence、MalCare（MalCareレビューを参照）など。

2.WordPressのバージョンを非表示にする

あなたとあなたのウェブサイトの構成について入手できる情報が少なければ少ないほど、ハッカーがあなたを標的にするのは難しくなります。 サイトのバージョンを非表示にすると、ハッカーがサイトを古いバージョンで実行されていると識別できなくなります。

より簡単な解決策は、Webサイトを常に最新の状態に保つことですが、予防策を講じる場合は、テーマのfunctions.phpファイルにコードを追加してWordPressのバージョンを非表示にすることができます。

3.ファイルのアクセス許可

ファイルのアクセス許可は、Webサーバーがサイト上のファイルへのアクセスを制御するために使用する一連のルールです。 間違った権限を持っていると、サイトの機能が停止する可能性がありますが、ハッカーがこれらのファイルにアクセスして書き換えたり、変更したりする可能性もあります。

ファイルパーミッションの推奨値は次のとおりです。すべてのファイルを644に設定し、すべてのディレクトリを755または750に設定する必要があります。ディレクトリを777に設定しないでください。

4.データベースのセキュリティ

あなたのデータベースはあなたのウェブサイトの名前が何であれ名前が付けられます。 したがって、サイトの名前がrichie richの場合、データベースの名前はwp_richierichになります。 これを無関係なものに変更することで、ハッカーがデータベース名を推測できないようにします。

セキュリティを強化するもう1つの方法は、デフォルトのWordPressテーブルプレフィックスを変更することです。 デフォルトでは、WordPressはデータベースの作成に使用するプレフィックスとしてwp_を使用していました。 インストール中にこのプレフィックスを変更できます。ハッカーがデータベース名を推測しにくくするために、変更することをお勧めします。

5.DDoS防止

DDoSは、Webサイトに害を及ぼすことはありませんが、数時間または数日にわたってサイトをダウンさせるタイプのサービス拒否攻撃です。 これはあなたのウェブサイトに害を及ぼすことはないかもしれませんが、あなたがあなたのウェブサイトが常に完全に機能していることに依存しているなら、それはあなたのビジネスに損害を与える可能性があります。 SecuriやCloudflareなどのサードパーティのセキュリティを使用することで、DDoS攻撃を防ぐことができます。

6.wp-config.phpファイルを保護します

前に述べたように、wp-config.phpファイルはWordPressのインストールで最も重要なファイルです。 侵害された場合、ハッカーはデータベースログインを取得して、Webサイトへの完全なアクセスを許可します。

これは恐ろしいように聞こえるかもしれませんが、心配しないでください。ファイルのアクセス許可を変更することで、wp-config.phpファイルのセキュリティを強化できます。 ルートディレクトリ内のファイルは通常644に設定されています。これにより、所有者はファイルの読み取りと書き込みが可能になり、グループ所有者のユーザーと他のすべてのユーザーが読み取ることができます。

他の用途へのアクセスを拒否する場合は、ファイルを440または400に設定する必要があります。特定のホスティングプラットフォームには異なる権限があることに注意してください。 これは、ユーザーにファイルを書き込む権限がないためです。 この場合、ホスティングプロバイダーに連絡して、アクセス許可が何であるかを確認することをお勧めします。

WordPressサイトを安全に保つ

WordPressサイトがハッキングされる理由はたくさんあります。 ハッキングされたWordPressサイトをクリーンアップすることは不可能ではありませんが、予防策を講じることで、ハッキングされたサイトが存在する可能性を減らすことができるため、サイトのクリーンアップや、最悪の場合、まったく新しいサイトの構築について心配する必要はありません。 Webサイト。