要約:ハッカーからWordPressサイトを保護する方法
WordPressサイトは常に標的になっていますが、ほとんどの攻撃は予防可能な脆弱性を悪用しています。これらは、ハッカーへの扉を実際に閉ざすためのステップです。
- すべてを最新の状態に保つ:WordPressコア、プラグイン、テーマはすべて、既知の脆弱性を修正するために定期的なアップデートが必要です。
- 未使用のプラグインとテーマを削除する:非アクティブなソフトウェアはサーバー上で実行され続け、悪用される可能性があります。
- 強力なパスワードを使用し、アクセスを制限する:弱いログインは攻撃者にとって最も簡単な侵入口です。パスワードマネージャーを使用し、ロールを慎重に割り当ててください。
- セキュリティプラグインとファイアウォールをインストールする:SucuriやWordfenceのようなツールは、脅威をスキャンし、悪意のあるトラフィックがサイトに到達する前にブロックします。
- SSLを有効にし、定期的にバックアップする:SSLは訪問者のデータを暗号化します。問題が発生した場合、バックアップは迅速な復旧パスを提供します。
- 2FAを追加し、ログイン試行を制限する:二要素認証とログインロックアウトは、パスワードが漏洩した場合でも、総当たり攻撃を停止します。
私の最初の本当のセキュリティ上の恐怖は、スパムボットが夜間にログインページを何百回も攻撃してきたときでした。アクセスを失うことはありませんでしたが、危うくそうなりかけ、WordPressのセキュリティはオプションではないことをすぐに学びました。
WordPressサイトを保護する必要がある場合、このガイドでは、コードに触れることなく、アップデート、強力なログイン、バックアップ、ファイアウォール、SSLなど、私が現在使用している正確な手順を示します。
リスクは現実です。Googleは毎日数千もの感染したサイトをブラックリストに載せています。あなたのサイトがそのリストに載ると、一晩でトラフィックを失い、その信頼を再構築するには数ヶ月かかります。攻撃者は顧客データを盗んだり、スパムリンクを挿入したり、訪問者にマルウェアを拡散したり、身代金を支払うまでロックアウトしたりすることもできます。
良いニュースは、ほとんどのハッキングは予防可能な脆弱性を悪用しているということです。これらの手順に従えば、ほとんどの攻撃への扉を閉ざすことができます。
知っておくべき一般的なWordPressセキュリティの脅威
修正に取り掛かる前に、何と戦っているのかを知っておくと役立ちます。これらは、WordPressサイトを標的とする最も一般的な攻撃タイプです。
- 総当たり攻撃は、ログインページに対して数千ものユーザー名とパスワードの組み合わせを試す自動化されたスクリプトです。これらはWordPressサイトが直面する最も一般的な脅威であり、停止するのが最も簡単です。
- クロスサイトスクリプティング(XSS)は、攻撃者が悪意のあるJavaScriptをサイトのページに注入できるようにします。それらのページを読み込む訪問者は、何も起こらなかったことに気づかずにデータを盗まれる可能性があります。
- SQLインジェクションは、攻撃者がフォームまたはURLを介して悪意のあるコードを送信し、データベースを直接操作するときに発生します。SQLインジェクションが成功すると、サイト上のすべてのユーザーアカウント、パスワード、およびコンテンツが公開される可能性があります。
- DDoS攻撃は、サーバーがクラッシュしてオフラインになるまで、偽のトラフィックでサーバーを氾濫させます。侵入するのではなく、単にあなたを締め出し、実際の訪問者がサイトを利用できないようにします。
- 古いソフトウェアの悪用は、このリストの中で最も回避可能な脅威です。攻撃者は、WordPress、プラグイン、またはテーマの古いバージョンを実行しているサイトを積極的にスキャンします。既知の脆弱性は公に文書化されているためです。パッチが適用されていないプラグインは、開かれた招待状のようなものです。
WordPressサイトを保護する方法:11のステップ
- 1. WordPressコアファイルを更新してハッキングを防ぐ
- 2. 使用していないプラグインとテーマを削除してセキュリティを強化する
- 3. 強力なパスワードと権限を使用する
- 4. 安全なWordPressホスティング会社を選択する
- 5. WordPressサイトをバックアップしてハッキングから復旧する
- セキュリティインシデント中にサイトの評判を守る
- 6. 最適なWordPressセキュリティプラグインを選択する
- 7. WordPressファイアウォール(WAF)でハッカーをブロックする
- 8. WordPressファイル編集を無効にする
- 9. SSL/HTTPSを有効にしてWordPressデータを保護する
- 10.ログイン試行回数を制限してブルートフォース攻撃を停止する
- 11. 2要素認証を使用する
1. WordPressコアファイルを更新してハッキングを防ぐ
WordPressを最新の状態に保ちます。既知のセキュリティホールを閉じる最も簡単な方法です。
WordPressコア、プラグイン、テーマは定期的に更新され、その多くは脆弱性を修正しています。マイナーアップデートは通常自動的にインストールされますが、メジャーアップデートはご自身で適用する必要があります。これらを無視すると、サイトは攻撃に対して脆弱なままになります。
ダッシュボードを頻繁にチェックし、アップデートが利用可能になったらすぐにプラグインとテーマを更新してください。クリックするだけで済み、深刻な損害を防ぐことができます。
2. 使用していないプラグインとテーマを削除してセキュリティを強化する
使用していないプラグインとテーマを削除してください。アクティブでないファイルはすべて、ハッカーの侵入口となります。
プラグインやテーマが無効化されていても、そのコードはサーバー上に存在します。ハッカーは古い、または放棄されたソフトウェアを悪用してサイトに侵入することができます。そのため、未使用のツールはセキュリティリスクとなります。
不要なものはすべて削除して、サイトを定期的にクリーンアップしてください。これにより、WordPressのインストールが軽量になり、管理が容易になります。これは、ツールなしで実行できる最も効果的なWordPress強化ステップの1つです。
3. 強力なパスワードと権限を使用する
ユニークで強力なパスワードを使用し、アカウントへのアクセスを制限してください。弱いログインは、ハッカーが侵入する最も簡単な方法です。
安全なパスワードは、少なくとも12文字以上で、大文字、小文字、数字、記号を組み合わせたものである必要があります。名前、誕生日、または推測しやすいものは使用しないでください。
パスワードマネージャーを使用して、複雑なパスワードを生成および保存します。覚える必要がなく、アカウント間で同じパスワードを再利用することはありません。
また、メインの管理者アカウントの共有は避けてください。各ユーザーが必要なアクセス権のみを持つように、ユーザーロールと権限を割り当ててください。
複数のユーザーがいるサイトや共有コンピューターを使用している場合は、Inactive Logoutのような自動ログアウトプラグインの追加を検討してください。設定された非アクティブ期間後にセッションが自動的に終了するため、ログアウトを忘れた場合のリスクが軽減されます。
ログインページにCAPTCHAを追加することは、WordPressログインセキュリティにとって、もう1つの低労力で効果的な対策です。ボットがログインを試みる前に、ボットの送信をブロックします。WPFormsには、サイト全体のフォームで使用できる組み込みのスパム保護機能が含まれています。
4. 安全なWordPressホスティング会社を選択する
ホスティングプロバイダーはあなたの最初の防御線なので、サイトを攻撃から積極的に保護する安全なWordPressホスティングプロバイダーを選んでください。
Bluehost、SiteGround、Hostingerなどの最高のWordPressホスティング企業には、ハッカーを排除するための組み込みセキュリティレイヤーが含まれています。
- 疑わしいアクティビティに対する24時間年中無休の監視
- 大規模なDDoS攻撃からの保護
- 最新のサーバーソフトウェアとPHPバージョン
- 災害復旧およびバックアップシステム
共有ホスティングは、同じサーバー上の別のサイトがハッキングされた場合、サイトを危険にさらす可能性があります。より強力な保護のために、マネージドWordPressホスティングを検討してください。自動更新、バックアップ、および高度なセキュリティ機能が組み込まれています。
5. WordPressサイトをバックアップしてハッキングから復旧する
信頼できるバックアップはあなたのセーフティネットです。ハッカー、エラー、またはクラッシュによってサイトがダウンした場合でも、サイトを迅速に復元できます。
オフサイトに安全に保存できる自動バックアップをスケジュールできる最高のWordPressバックアッププラグインを使用すれば、動作中のコピーなしで放置されることはありません。
最も重要な2つの機能:オフサイトストレージ(ホストがダウンしてもバックアップが残るように)とワンクリック復元(復旧に数時間ではなく数分かかるように)。
人気のプラグインには、Duplicator、UpdraftPlus、BlogVault、Jetpack VaultPress Backupsなどがあります。これらは初心者向けで、コーディングは不要です。
セキュリティインシデント中にサイトの評判を守る
良好なセキュリティ対策を講じていても、サイトはメンテナンス、更新、またはハッキング後のクリーンアップのためにダウンすることがあります。その間、訪問者が見るものは重要です。
SeedProdの「近日公開」およびメンテナンスモードページを使用して、サイトをオフラインにする必要があるときはいつでも、クリーンでブランド化された待機ページを表示します。
訪問者が壊れたページやエラー画面に遭遇する代わりに、信頼を維持できるプロフェッショナルなものを見ることができます。
セキュリティインシデントのクリーンアップのためにサイトをオフラインにする必要がある場合は、SeedProdを使用すると簡単です。ワンクリックでメンテナンスページを有効にし、ブランドに合わせてカスタマイズし、準備ができた瞬間にサイトを再開します。コードは不要です。
6. 最適なWordPressセキュリティプラグインを選択する
サイトのセキュリティプラグインは、番犬のようなものです。脅威をスキャンし、攻撃をブロックし、何か問題がある場合は警告します。
適切なプラグインを使用すると、失敗したログインを監視し、マルウェアをスキャンし、コードに触れることなくWordPressの弱い部分を強化できます。
私の定番はSucuriです。インストール後、Sucuri Security » Settings » Hardeningに移動し、各オプションで「Hardeningを適用」をクリックします。これらの設定は、ハッカーが頻繁にターゲットにする領域をロックダウンします。
その他の優れたオプションには、ファイアウォール、マルウェアスキャン、ログイン保護を提供するWordfenceとiThemes Securityがあります。
どのプラグインを選んでも、毎週自動マルウェアスキャンを設定してください。ほとんどのセキュリティプラグインは設定でこれを処理します。スキャンで何かが見つかった場合は、最新のクリーンなバックアップから復元するか、ホストに連絡するか、Sucuriのマルウェア除去サービス(有料プランに含まれています)を使用してください。
7. WordPressファイアウォール(WAF)でハッカーをブロックする
ファイアウォールは、悪意のあるトラフィックをフィルタリングすることで、ハッカーがサイトに到達する前にブロックします。
WordPressファイアウォールには、主に2つのタイプがあります。
- DNSレベルファイアウォール:トラフィックをサイトに到達する前に、安全なクラウドサーバー経由でフィルタリングします。
- アプリケーションレベルファイアウォール: WordPressスクリプトを読み込む前に、サーバー上のトラフィックをチェックします。
Sucuri Firewallは最も効果的なオプションの1つです。WPBeginnerが3か月で45万件の攻撃をブロックするのに役立ちました。これは、DNSレベルのファイアウォールが規模で何ができるかを示しています。
Sucuriを使用すると、マルウェアのクリーンアップとブラックリストの削除も行えます。サイトがハッキングされた場合、追加費用なしで修正してくれます。それは、年間199ドルの価格よりもはるかに価値のあるサービスです。
8. WordPressファイル編集を無効にする
WordPressには、ダッシュボードから直接PHPファイルを編集できる、外観 > テーマファイルエディターの下に組み込みのファイルエディターが含まれています。攻撃者が管理者のアクセス権を取得した場合、そのエディターは深刻な問題になります。
無効にするのに30秒しかかからず、ほとんどの初心者がスキップする最も効果的なWordPress強化ステップの1つです。この行をwp-config.phpファイルに追加してください。
define('DISALLOW_FILE_EDIT', true);追加すると、ファイルエディターはダッシュボードから完全に消えます。誰かが管理アカウントに侵入しても、テーマファイルに悪意のあるコードを注入するためにそれを使用することはできません。
9. SSL/HTTPSを有効にしてWordPressデータを保護する
SSL/HTTPSは、サイトと訪問者間のデータを暗号化し、ハッカーが情報を盗むのをはるかに困難にします。
SSLがアクティブになると、サイトにはHTTPの代わりにHTTPSと、ブラウザの鍵アイコンが表示されます。これにより信頼が構築され、ログインや支払いなどの機密データが保護されます。
ほとんどのホストは現在、Let’s Encryptを通じて無料のSSL証明書を含んでいます。お使いのホストに含まれていない場合は、Domain.comから購入できます。これには10,000ドルのセキュリティ保証とTrustLogoシールが含まれています。
セットアップのヘルプについては、WordPressにSSLを追加する方法のガイドを参照してください。
10.ログイン試行回数を制限してブルートフォース攻撃を停止する
ログイン試行回数を制限することで、ハッカーがパスワードを何度も推測して侵入するのを防ぎます。
誰かが間違ったパスワードを何度も入力すると、一時的にサイトからロックアウトされます。この簡単な手順は、ブルートフォース攻撃をブロックし、不審なアクティビティが発生したときにアラートを送信します。
最も簡単な方法は、無料のLimit Login Attempts Reloadedプラグインを使用することです。これにより、許可される失敗した試行回数を設定し、ログインが失敗するたびにメールで通知を受け取ることができます。
WordPressのログインセキュリティをさらに強化するには、デフォルトのログインURLを変更します。ボットやスクリプトはデフォルトで/wp-login.phpをターゲットにするため、カスタムのものに変更すると、自動攻撃の大部分が開始される前に停止します。WPS Hide Loginのようなプラグインは、コードに触れることなくこれを処理します。
11. 2要素認証を使用する
2要素認証(2FA)は、ログインに追加のロックをかけ、ハッカーがパスワードだけで侵入できないようにします。
2FAを使用すると、ユーザー名とパスワードでログインし、次に電話またはアプリに送信されたワンタイムコードを確認します。パスワードが漏洩しても、攻撃者はその2番目のコードなしではサイトにアクセスできません。
無料のオプションは、WordPress Two Factor Authentication pluginです。インストール後、ダッシュボードのTwo Factor Authに移動し、Google AuthenticatorのようなアプリでQRコードをスキャンすれば設定完了です。
次回WordPressにログインするときは、パスワードの後にコードを求められるため、ブルートフォース攻撃からサイトを安全に保つことができます。
WordPressウェブサイトのセキュリティに関するFAQ
ブルートフォース攻撃を防ぐためにWordPressのログインURLを変更するにはどうすればよいですか?
WPS Hide Loginのようなプラグインを使用して、デフォルトの/wp-login.php URLをカスタムパスに変更します。これにより、自動ボットがデフォルトのURLをターゲットにするため、ログインページを見つけることができなくなります。
インストールは1分未満で完了します。設定 > WPS Hide Loginに移動し、カスタムログインURLを入力して保存します。古いログインURLは、試した人には404エラーを返します。
初心者に最適なWordPressセキュリティプラグインは何ですか?
Sucuriは、ファイアウォール、マルウェアスキャン、ログイン強化、専門的なマルウェア除去を1か所で行えるため、ほとんどの初心者にとって最良の選択肢です。無料版は基本的な機能を提供し、有料プランではDNSレベルのファイアウォールが追加されます。
Wordfenceは、組み込みのファイアウォールとスキャナーを備えた強力な無料の代替手段です。予算が限られている場合でも、Wordfenceは無料で必要なほとんどの機能を提供します。
WordPressサイトがハッキングされたかどうかを知るにはどうすればよいですか?
警告の兆候には、トラフィックの突然の低下、ページに表示される奇妙なリンクやコンテンツ、検索結果でのGoogleの警告、ホストによるアカウントの停止、または訪問者が他のサイトにリダイレクトされることなどがあります。
マルウェアとブラックリストのステータスを確認するには、Sucuri SiteCheckで無料スキャンを実行してください。ほとんどのセキュリティプラグインには、ダッシュボードから実行できる組み込みのマルウェアスキャナーも含まれています。
マネージドWordPressホストをすでに利用している場合、セキュリティプラグインは必要ですか?
マネージドホスティングはサーバーレベルの保護を提供しますが、すべてをカバーするわけではありません。ホストは、弱いパスワード、脆弱なプラグイン、またはWordPressアプリケーションを直接悪用する攻撃から保護することはできません。
セキュリティプラグインは、ホストが提供するものに加えて、アプリケーションレベルの監視、マルウェアスキャン、ログイン保護を追加します。これらは互いに置き換わるのではなく、連携して機能します。
次のステップ
これらの手順は、コーディングなしでWordPressサイトをハッカーから保護するために必要なすべてをカバーしています。今日からアップデートと強力なパスワードで始め、次にセキュリティプラグイン、ファイアウォール、2FAを導入してください。
さらに詳しい情報は、これらのガイドをご覧ください。
- 最高のWordPressマルチサイトプラグイン
- WordPressサイトにパスワード保護をかける方法
- 最高のWordPress複製プラグイン
- WordPressで安全なStripe決済を受け付ける方法
お読みいただきありがとうございます!ご意見をお聞かせいただければ幸いですので、ビジネスを成長させるための役立つアドバイスやコンテンツについては、お気軽にYouTube、X、Facebookで会話にご参加ください。
こんにちは、友よ。WordPressのブログ/サイトをハッカーから保護する方法を教えてください。ホスティングプロバイダーの責任ですか、それとも私の責任ですか?WordPress用のプラグインをいくつか教えてください。
WordPressサイトを保護する最善の方法は、プラグインを使用することではなく、.htaccessファイルとrobots.txtファイルを通じて特定のディレクトリへのアクセスを拒否することです。また、安全なホスティングプロバイダーを選択してください。
追加されたヒントは非常に役立ちます。しかし、WordPressのセキュリティに関しては、ログインエリアのセキュリティにもっと重点を置く必要があります。管理者ログインエリアを強化することにもっと注意を払う必要があります。
素晴らしい記事です!
ウェブサイトのセキュリティは非常に重要です。
1. 最高のホスティングプロバイダーを選択してください。
2. WordPressサイトには強力なユーザー名とパスワードを設定し、管理者ダッシュボードを安全に保ってください。
3. 評価の高いプラグインのみを使用してください。
4. 定期的にウェブサイトを監視してください。定期的にサイトのバックアップを取得し、使用していないプラグインをクリーンアップしてください。
5. サイトのWordPressバージョンを更新してください。
ブログのページレイアウトを変更することを考えたことはありますか?
多くのプラグインは優れていますが、WPユーザーがセキュリティプラグインを超えてサイトを保護する必要がある理由について、的確に指摘されています。ウェブサイトのハッキングはスポーツのようになっているようですので、私たちのサイトと顧客データを保護することは基本です。
VPNサービスとプロキシサーバーを使用することも、WordPressサイトやブログがハッキングされるのを防ぐのに役立ちます。
共有された情報は非常に的確です。私もウェブサイトを安全に保つために同じ手順を踏んでいます。オンラインで支払いをする際に、特にデータを安全かつ確実に保つためにAce Vpnも使用しています。