WooCommerceはデフォルトで安全ですが、だからといってストアが完全に保護されているわけではありません。いくつかの追加手順を踏まないと、ストアは偽の登録、不要なボット、さらにはロックアウトなどの脆弱性を抱える可能性があります。
これらの問題に最初に気づいたとき、何を見落としたのかわかりませんでした。すべて正しく設定されていると思っていました。しかし、サイトのバックエンドが保護されていなければ、表面上良く見えるだけでは十分ではありません。
ほとんどの初心者は、自動化された攻撃がどれほど簡単に脆弱性を探ることができるかに気づいていません。古いプラグイン、弱いログインフォーム、またはSSL証明書の欠如は、静かに問題を引き寄せます。
このガイドでは、実際に機能する、初心者向けの практические(実用的な)ステップでWooCommerceストアを保護する方法を説明します。
目次
- 1. 強力なホスティングプロバイダーを使用する
- 2. 常にSSL(HTTPS)を使用する
- 3. WordPress、プラグイン、テーマを常に最新の状態に保つ
- 4. 強力なパスワードと二要素認証を使用する
- 5. ログイン試行回数を制限し、CAPTCHAを追加する
- 6. セキュリティプラグインをインストールする
- 7. カスタムWooCommerceログインURLを使用する
- 8. WooCommerceチェックアウトを保護する
- 9. 定期的にサイトをバックアップする
- 10. 正しいユーザーロールを設定する
- 11. wp-adminを非表示にし、XML-RPCを無効にする
- 12. 不審なアクティビティがないかサイトを監視する
- 13. PCIコンプライアンスを理解する
WooCommerceサイトを安全にする理由
WooCommerceは460万以上のライブストアで利用されています。その人気は、ハッカーやボットが脆弱性を探すための一般的なターゲットとなっています。
ストアが適切に保護されていない場合、技術的な問題以上のリスクを負うことになります。顧客の信頼を失ったり、売上を逃したり、さらには検索エンジンやブラウザから安全でないとフラグを付けられたりする可能性があります。
セキュリティの問題は、偽の注文、アカウントのロック、ダウンタイムにつながる可能性があり、これらすべてがあなたの評判と収益に悪影響を与えます。
良いニュースは、ストアを保護するためにセキュリティの専門家である必要はないということです。いくつかの簡単なステップで、最も一般的な脆弱性を閉じ、ビジネスをスムーズに運営し続けることができます。
WooCommerceサイトを安全にするためのステップ
ストアのセキュリティにワンクリックで解決できる方法はありませんが、いくつかの簡単なステップで大きな効果が得られます。上から始めて、下に進んでください。それぞれが保護の層を追加し、ストアを安全で信頼できるものに保つのに役立ちます。
1. 強力なホスティングプロバイダーを使用する
優れたホスティングは、速度やストレージだけではありません。それはあなたの最初のセキュリティ層です。
ホストが基本的な保護を提供していない場合、あなたが設定した他のすべてが危険にさらされます。サーバーレベルでブロックされるべきマルウェア、または最も必要とされたときにバックアップがなかったためにダウンしたサイトを数多く見てきました。
私が常に探しているのは次のとおりです。
- 無料SSL
- 毎日のオフサイトバックアップ
- マルウェアスキャン
- アクティブなファイアウォール
SiteGroundとBluehostで信頼できる結果を得ています。これらはバックグラウンドで基本的なことを処理してくれるので、ストアに集中できます。
長所と短所については、WordPressホスティングの選び方で説明しています。
2. 常にSSL(HTTPS)を使用する
SSLは、パスワード、支払い情報、連絡先などの顧客がサイトと共有するデータを保護します。すべてを暗号化するため、誰も傍受できません。
多くの優れたホストはLet’s Encryptを通じて無料のSSLを含んでいますが、ホスティングダッシュボードで手動で有効にする必要がある場合もあります。それでもうまくいかない場合は、無料プラグインのReally Simple SSLが対応してくれます。
ブラウザのアドレスバーに南京錠のアイコンが表示されない場合は、何かが正しく設定されておらず、訪問者に気づかれます。
完全な手順については、WordPressサイトにSSLを追加する方法のガイドを参照してください。
3. WordPress、プラグイン、テーマを常に最新の状態に保つ
ほとんどのハッキングは、何かが最新の状態でないために発生します。プラグイン、テーマ、あるいはWordPress自体である可能性があります。
アップデートにはセキュリティ修正が含まれることが多いため、スキップすると既知の問題が攻撃者に開かれたままになります。
WooCommerce、テーマ、および最も信頼しているWordPressプラグインの自動更新はオンにしています。週に一度、何も見落とされていないか簡単に確認します。
プラグインやテーマをもう使用していない場合は、完全に削除します。無効化されたものでさえリスクとなる可能性があります。
数分しかかかりませんが、サイトを安全に保つ上で大きな違いを生みます。
4. 強力なパスワードと二要素認証を使用する
弱いパスワードは、ボットがサイトに侵入する最も簡単な方法の1つです。単純なものを使用しているか、まだ「admin」としてログインしている場合は、変更する時期です。
二要素認証(2FA)は、ログインにセキュリティの追加レイヤーを提供します。パスワードを入力した後、通常は携帯電話またはメールに送信される2番目のコードを提供する必要があります。
これにより、ハッカーがパスワードを盗んだとしても、2番目の確認ステップなしではサイトにアクセスできません。不正アクセスやブルートフォース攻撃を停止する最善の方法の1つです。
WP 2FA、Duo、Wordfence Login Securityなどのプラグインは、技術に詳しくなくても2FAの設定を簡単に行えます。
5. ログイン試行回数を制限し、CAPTCHAを追加する
ブルートフォース攻撃は、ボットが数千回ユーザー名とパスワードを推測してサイトに侵入しようとする場合に発生します。これらの自動試行はログインページを圧倒する可能性があり、パスワードが弱い場合は成功します。
数回の失敗後にログイン試行をブロックするために、Limit Login Attempts Reloadedプラグインを使用しています。設定は簡単で、大きな違いを生みます。
また、ログインページ、チェックアウトフォーム、お問い合わせフォームにCAPTCHAを追加して、ボットが偽のアカウントを作成したり、スパムを送信したりするのを防ぎます。
Cloudflare Turnstileは、バックグラウンドで実行され、実際のユーザーを遅くしないため、うまく機能します。WPFormsは、フォームに使用している場合、組み込みのCAPTCHAも提供します。
ほとんど気づきませんが、あなたに届く前に静かにジャンクをフィルタリングします。
6. セキュリティプラグインをインストールする
優れたセキュリティプラグインは、ログインしていないときでも脅威を排除するためにバックグラウンドで機能します。不審なトラフィックをブロックしたり、マルウェアをスキャンしたり、何か異常があれば警告したりできます。
私はWordfence、Sucuri、iThemes Securityを異なるサイトで使用したことがあります。それぞれ無料版があり、しっかりとした保護を提供しており、より多くの機能が必要になったらいつでもアップグレードできます。
すべてを導入する必要はありません。1つ選んで実行するだけです。ほとんどのプラグインは簡単なウィザードでセットアップを案内し、有効になるとログインレポート、スキャン結果、その他の役立つアップデートが表示され始めます。
比較については、最高のWordPressセキュリティプラグインのリストをご覧ください。
7. カスタムWooCommerceログインURLを使用する
ほとんどのWordPressサイトは、デフォルトのログインページ(/wp-login.phpまたは/wp-admin)を使用しており、ボットはそれを正確に見つける方法を知っています。カスタムログインページを作成すると、自動化された攻撃をブロックするのに役立ち、ストアがよりプロフェッショナルに見えます。
私はSeedProdを使用して、サイトの他の部分と一致するカスタムログインページを作成しています。デザインが簡単で、通常のログイン画面と同じように機能しますが、それほど目立つ場所にはありません。
設定したい場合は、このガイドでWordPress管理ログインURLを変更する方法を説明しています。
新しいログインリンクをブックマークして、アクセスできなくなることがないようにしてください。
8. WooCommerceチェックアウトを保護する
チェックアウトページは、顧客が最も機密性の高い情報を共有する場所です。不審に見えたり、安全だと感じられなかったりすると、人々は購入を完了する前に離れてしまいます。
私は常にStripeやPayPalのような信頼できる決済プロバイダーを利用しています。それらは暗号化や不正防止を含むコンプライアンス面を処理してくれるので、私は自分のサイトに決済情報を保存することを心配する必要がありません。
追加機能でカスタムチェックアウトページを作成することもできます。
ただし、チェックアウトページが次のことを確認してください。
- HTTPSを使用している
- 決済プロバイダーからの信頼バッジが含まれている
- サイトのデザインと一致している
訪問者がページを再考させる可能性のあるリダイレクトやレイアウトの変更を避ける。
セットアップのヒントはここにあります:WordPressでStripe決済を受け入れる方法
9. 定期的にサイトをバックアップする
強力なセキュリティがあっても、問題が発生する可能性があります。悪いプラグインアップデート、簡単なミス、またはマルウェア攻撃により、警告なしにストアがオフラインになる可能性があります。
だからこそ、バックアップは私のコアセキュリティ設定の一部なのです。問題が発生してからバックアップを開始するのではなく、事前にバックアップしています。
私はDuplicatorという人気のWordPressバックアッププラグインを使用して、完全なバックアップを作成しています。ファイル、データベース、設定など、すべてを1つのダウンロード可能なファイルにパッケージ化します。
バックアップは常にオフサイト(Google DriveやDropboxなど)に保存しています。これにより、ホスティングサーバーに問題が発生した場合でも安全です。
忙しいストアの場合は、毎日バックアップするのが最適です。小規模または新しいサイトは、通常、毎週バックアップで十分ですが、定期的に行うことが重要です。
優れたバックアップがあれば、最初からやり直すことなく迅速に復旧できます。
完全な手順については、WordPressサイトをバックアップする方法のガイドを参照してください。
10. 正しいユーザーロールを設定する
WordPressダッシュボードへのフルアクセスが必要なユーザーは限られています。間違った人に管理者権限を与えると、コンテンツの削除やセキュリティの問題など、深刻な事態を招く可能性があります。
管理者ロールは、すべてを管理できると完全に信頼している人にのみ割り当てます。店舗スタッフには、ショップマネージャーロールを使用します。
これにより、プラグインやサイトの設定を変更させずに、注文や商品に対する管理権限を付与できます。コンテンツ作成のみをサポートする人の場合は、エディターロールがより適しています。
WordPressにはデフォルトでいくつかのユーザーロールがあり、それぞれに独自の権限セットがあります。最初から適切なロールを選択することで、サイトをより安全で管理しやすく保つことができます。
また、ユーザーリストは定期的に確認します。しばらく使用されていないアカウントがあれば削除します。アクセスを強化するための最も簡単な方法の1つです。
さらに進んで、WordPressサイトの一部にパスワード保護を設定することで、アクセスをさらに制限できます。
11. wp-adminを非表示にし、XML-RPCを無効にする
自動攻撃の最も一般的なターゲットの2つは、ログインページとXML-RPCと呼ばれるWordPressの機能です。
XML-RPCは、WordPressがアプリやサービス(WordPressモバイルアプリやJetpackプラグインなど)がサイトとリモートで通信できるように使用するシステムです。残念ながら、ハッカーはこれを悪用して悪意のあるリクエストでサイトを過負荷にしたり、侵入を試みたりすることがよくあります。
ログインページを非表示にし、使用していない場合はXML-RPCを無効にすると、サイトへの攻撃がはるかに困難になります。
iThemes Securityを使用して、コードに触れることなくログインエリアを非表示にし、XML-RPCを無効にしています。
12. 不審なアクティビティがないかサイトを監視する
セキュリティは、一度設定すれば終わりではありません。裏で何が起こっているかを常に監視する必要があります。
ログイン試行の失敗やファイル変更などの重要なイベントに対して、メールアラートを受け取ります。WordfenceとSucuriの両方がこれを提供しており、異常が発生した場合はすぐに通知してくれます。
トラフィックを監視することも役立ちます。MonsterInsightsは、WordPress向けの人気のGoogle Analyticsプラグインで、訪問者を簡単に追跡できます。ボット攻撃やスパムの兆候となる可能性のある突然の急増や奇妙な参照元を特定するのに役立ちます。
バックアップとして、月に約1回、サイトをGoogleセーフブラウジングとVirusTotalでスキャンします。これらのツールはマルウェアやブラックリストをスキャンするため、必要に応じて迅速に対応できます。
13. PCIコンプライアンスを理解する
クレジットカード決済を受け付ける場合は、店舗はPCIコンプライアンスの規則に従う必要があります。これらの基準は、支払いデータを保護し、顧客を安全に保ちます。
良いニュースは、StripeやPayPalなどの支払いプロバイダーがPCIレベル1に準拠していることです。彼らはセキュリティ要件のほとんどを処理してくれます。
つまり、機密性の高い支払い情報をサイトに保存する必要がなくなり、リスクが軽減されます。
それでも、コンプライアンスを維持するためには、WooCommerce、プラグイン、サイトを最新の状態に保ち、安全に保つことが重要です。
ボーナス:プライバシーポリシーと利用規約ページを追加する
ストアにプライバシーポリシーと利用規約ページがあることは、顧客との信頼を築きます。顧客のデータを真剣に扱い、規則に従っていることを示します。
ほとんどの国では、個人情報を収集したり、支払い処理を行ったりする場合、法律でこれらのページが義務付けられています。始めたばかりの場合でも、追加することであなたとあなたのビジネスを守ることができます。
WordPressのテンプレートやプラグインを使えば、これらのページを簡単に作成できます。オンラインツールで生成することも可能です。
初心者向けのガイドについては、WordPressのプライバシーポリシーの作成方法に関する私の投稿をご覧ください。
WooCommerceのセキュリティに関するよくある質問
ストアを安全に保つための最終的なヒント
WooCommerceストアのセキュリティ対策は、技術的な学位や何時間もの作業を必要としません。信頼できるホスティングの選択、SSLの使用、ソフトウェアの最新化、ユーザーアクセスの管理といったいくつかの重要な領域に焦点を当てることで、最も一般的な脅威をブロックできます。
SeedProdを使用するのが気に入っています。なぜなら、プロフェッショナルなWooCommerceページを迅速かつ手間なく作成するのに役立つからです。これを堅牢なセキュリティプラグインと定期的なバックアップと組み合わせれば、あなたのストアははるかに安全な場所になります。
その間に、以下のWooCommerceガイドも役立つかもしれません:
お読みいただきありがとうございます!皆様のご意見をお聞かせいただければ幸いです。お気軽に会話にご参加ください YouTube, X および Facebook で、ビジネスを成長させるための役立つアドバイスやコンテンツをさらにご覧ください。
