10実践可能なWordPressのセキュリティのヒントのためのレイマン

書かれた記事:
  • WordPress
  • 更新:Jun 06、2018

20年以上前に初めて導入されて以来、WordPressは世界で最も人気の高いコンテンツ管理システムとして今や成長し、成長しています。 今日、 4分の1以上 存在するウェブサイトのうちのいくつかはWordPressで実行されます。

しかし、古くから、より一般的なものは、より多くの人々が悪意のある手段のためにそれを活用したいと考えています。 Microsoft Windowsと 大量のマルウェア、ウィルス、その他の悪用 この1つの特定のオペレーティングシステムだけを対象に設計されています。

最も脆弱性の高い10 WordPressのバージョン(source)。 2017の研究では、74の異なるバージョンのWordPressがAlexa Topの1万人のウェブサイトで特定されました。 これらのバージョンの11は無効です。たとえば、バージョン6.6.6(source).

なぜあなたのワードプレスのブログは貴重な目標ですか?

ハッカーがあなたのWordPressブログをコントロールしたい理由が、なぜ地球上にあるのだろうと思っている場合、いくつかの理由があります。

  • それを使って秘密に迷惑メールを送信する
  • メーリングリストやクレジットカード情報などのデータを盗みます
  • 後で使用できるボットネットにサイトを追加する

幸いなことに、WordPressはあなたに自分を守る機会をたくさん提供するプラットフォームです。 いくつかのウェブサイトやブログを自分でセットアップして管理するのを手伝ってくれたので、あなたのワードプレスサイトを保護するためにできる基本的なことをいくつかお話したいと思います。

あなたが利用できる10の実行可能なセキュリティヒントを紹介します。

ヒント#1。 良い管理者のユーザー名を選択する

経験から、ほとんどのサイトのハック試行は、3つの主要な選択肢のユーザー名でログインしようとします。 最初の2つは常に「管理者」または「管理者」ですが、3つ目は通常あなたのドメイン名に基づいています。

たとえば、サイトがcrazymonkey33.comの場合、ハッカーは「crazymonkey33」でログインしようとする可能性があります。

いい考えではない。

ヒント#2。 強力なパスワードを使用するようにしてください

これまでのところ、人々は自分のアカウントを保護するために強力で複雑なパスワードを使用することを知っていると思っていたかもしれませんが、「パスワード」が素晴らしいと思う人はまだまだたくさんいます。

強力なパスワードには次のものが含まれます:

  • 大文字の大文字と小文字
  • 英数字(AZおよびaz)
  • 特殊文字(!、@、#、$など)を含める
  • 少なくとも8文字の長さ

パスワードのランダム性が高いほど、セキュリティが強化されます。 問題を抱えている場合は、このランダムパスワードジェネレータをお試しください。 https://passwordsgenerator.net/

ヒント#3。 reCaptchaを実装する

あなたのWPブログからWall Botsを外しましょう。

reCaptchaは自動化されたツールがサイト上で動作するのを止めるように設計されています。 もちろん、今日のハッキングツールの複雑さを考えると、これらは簡単にバイパスすることができますが、少なくともセキュリティ層が追加されています。

がある 多くのreCaptchaプラグイン ほとんどの場合、あなたのインストールで使用することができます。

ヒント#4。 二要素認証の使用(2FA)

2FAは、ログインの確認が必要な認証方法です。 たとえば、ユーザー名とパスワードでログインした後は、携帯電話にSMSを送信するか、自分の身元を確認するために入力する必要があるコードを電子メールで送信することがあります。

この認証方法は優れた保護機能を提供し、今日の多くの銀行や金融機関で使用されています。 繰り返しますが、この必要性は簡単に 2FAプラグイン.

次のビデオで、miniOrange(2FAプラグイン)がWordPressログインにどのように対応しているかをご覧ください。

T

ヒント#5。 ログインURLの名前を変更する

ほとんどのハッカーは、デフォルトのwordpressログインページ(通常はsample.com/wp-adminなど)を使用してログインしようとします。

別のレイヤーを追加するには、次のようなツールを使用してログインページのURLを素早く簡単に変更します。 WPS非ログイン.

ヒント#6。 wp-adminディレクトリを保護する

余分なセキュリティ層をホストディレクトリに追加します。

wp-adminディレクトリは、WordPressインストールの中心です。 追加の保護手段として、このディレクトリをパスワードで保護します。

これを行うには、ホスティングアカウントコントロールパネルにログインする必要があります。 使用しているかどうか cPanelの or Pleskの、あなたが探しているオプションは 'パスワードで保護されたディレクトリ'。

ヒント#7。 SSLを使用してデータを暗号化する

HTTPとHTTPSの接続(ソース: Sucuri)

サイト自体とは別に、あなたとサーバーとの間の接続を保護したい場合があります。これは、SSLを使用して通信を暗号化する場所です。 暗号化された接続を持つことにより、サーバーと通信しているときにハッカーがデータ(パスワードなど)を傍受することができなくなります。

これとは別に、検索エンジンは「安全でない」と考えられるサイトをますますペナルティ化しているので、SSLを実装することも良い方法です。

SSLの詳細については、包括的な AZのSSLガイド.

ヒント#8。 すべてのソフトウェアが最新のものであることを確認する

どのように良いまたは高価なソフトウェアであっても、悪用される可能性のある新しい弱点が常に存在します。 WordPressは例外ではなく、チームは常に新しいバージョンの修正や更新をリリースしています。

ハッカーはほとんど常に弱点を利用しようとしており、未修正のまま残っている既知の攻撃は単に問題を求めているだけです。 これは、多くの場合、リソースの少ない小規模の企業によって作成されるプラグインの2倍になります。

プラグインを使用している場合は、アップデートが定期的にリリースされていることを確認するか、更新されたままの機能を持つものを探すことを検討してください。

これを言って、私はあなたの使用をお勧めしません WordPressとプラグインの自動更新特にライブサイトを運営している場合は特にそうです。 一部のアップデートは、内部的にも他のプラグインや設定との競合によっても問題を引き起こす可能性があります。

理想的には、ライブサイトを反映したテスト環境を作成し、そこのアップデートをテストします。 すべてが正常に機能していることが確認できたら、ライブサイトにアップデートを適用することができます。

Pleskなどのコントロールパネルは、この目的のためにサイトクローンを作成するオプションを提供します。

ヒント#9。 コンテンツ配信ネットワーク(CDN)を活用する

これにより、サイトがハッキングされるのを防ぐことはできませんが、サイトに対する悪意のある攻撃を軽減するのに役立ちます。 いくつかのハッカーはウェブサイトを破壊し、一般にアクセスできないようにすることを目指しています。 CDNは、サイト上のDistributed Denial of Service攻撃の打撃を緩和するのに役立ちます。

それ以外にも、コンテンツをキャッシュすることで、サイトのスピードアップに役立ちます。 このオプションを調べるには、CloudFlareを例に挙げてください。 CloudFlareは多層的な価格設定でCDNサービスを提供しているので、無料で基本機能を使用することもできます。 https://www.cloudflare.com

ヒント#10。 バックアップ、バックアップ、バックアップ!

どのような安全対策や慎重な姿勢であっても、事故は起こります。 十分なバックアップサービスを確保するだけで、何百時間もの労力をかけて大惨事から救うことができます。

通常、あなたのウェブホストには少なくとも基本的なバックアップ機能が付いてくるでしょうが、あなたが私のような妄想であれば、あなた自身の独立したバックアップを必ず実行してください。 バックアップは、一部のファイルをコピーするだけでなく、データベース内の情報も考慮に入れて簡単に行うことができます。

試して実績のあるバックアップソリューションを探してください。 たとえ小さな投資でさえ、緊急時の涙で節約する価値があります。 何かのようなもの BackupBuddy データベースを含むすべてのものを一度に保存するのに役立ちます。

ボーナスヒント:あなたのウェブホストは数えます!

伝統的に、ウェブホスティング会社は単にウェブサイトをホストするためのスペースを提供していましたが、時代は変わってきました。 Webホスティングプロバイダは、セキュリティの強化が急務であることを認識し、Webホスティングを補完する付加価値サービスを提供しています。

たとえば取る Hostgatorの、ゲームのより確立された名前の一つ。 基本的なCloudflare機能の他に、HostGator($ 10 + / moの価格で)には、迷惑メール防止、自動マルウェア除去、自動バックアップ、ドメインプライバシーなどが付属しています。

マネージドワードプレスホスティングプロバイダ、 キンスタハードウェアファイアウォールを構築し、独自のシステムでマルウェアやDDoS攻撃をサーバーで積極的に監視します。

これがまだ発生していない場合は、ホストが提供するセキュリティ機能を見て、現在入手可能なセキュリティ機能と比較することを強くお勧めします。

包括的なリストについては、あなたがチェックアウトすることができます WHSRのウェブホストの編集.

それで?

あなたが野生を実行し、百万と一つのセキュリティソリューションを探してパニックにインターネットを精練する前に - 深呼吸を取る。 他のすべてのものと同様に、誰かがあなたがすでにパニックに陥ったことを助け、解決策を探しました。

たとえ多くのセキュリティソリューションを実装しても、 確か あなたは安全です?

ここには何かがあります セキュリティ忍者 あなたの弱点を調査するのに役立ちます。

クイックデモ:セキュリティ忍者の仕組み

セキュリティ忍者のようなものを使用する魅力的な理由がいくつかありますが、それはあなたのサイトを安全にするためにあなたの旅で複数の段階で使用することをお勧めするツールだと言わせてください。

まず、変更前にあなたのウェブサイト上で「そのまま」実行します。 あなたに結果を与える前に、プラグインがあなたのサイトを突きつけてくれるようにしましょう。

その結果に基づいて、サイトのセキュリティを確保するように努めます。 セキュリティ忍者は防御を探るために50以上のテストを行います。 変更した後でも、サイトをテストするためだけに(サイトの変更やプラグインの更新があるたびに)再度実行してください。

これは、あまりにも多くのあなたのための仕事のように聞こえる場合は、セキュリティ忍者は、追加モジュールのホストが付属しています(プロ版、単一サイト$ 29あなたが見つけた問題を解決するのを助けることができます。

これらのモジュールのその他の主な機能には、次のものがあります。

  • WPコアファイルをスキャンして問題のあるファイルを特定する
  • ワンクリックで変更したファイルを復元
  • 修正されたWP自動更新
  • 数百万の攻撃されたサイトから収集された不正なIPを禁止する600を禁止する
  • 自動更新を一覧表示し、メンテナンスや手動作業が不要
  • ブルートフォース攻撃からログインフォームを保護する

最終的な考え

これはすべてWordPressの平均的なユーザーにとっては少し過度に見えるかもしれませんが、私はそれがすべて必要であることを保証します。 世界中のハッキング統計やその他のものをしばらく無視して、私が管理している最もわかりにくいサイトの個人情報を共有しましょう。

もともとは簡単な伝記サイトとして始まりました www.timothyshim.com。 明らかに、それは私が設定したものであり、ほとんどの時間は単なる基準点として残しています。 毎月、このサイトは 基本的に何もせず、データを収集しない、ブルートフォースと複雑なものの組み合わせである30攻撃に直面しています。

必要なのは、そのうちの1人が成功することだけです。 本当に 付いてない日。

ティモシー・シム著

ティモシー・シム(Timothy Shim)は、作家、編集者、テクニカルオタクです。 情報技術分野でキャリアをスタートした彼は、急速に印刷物を見つけ、ComputerWorld、PC.com、Business Today、The Asian Bankerなどの国際、地域、国内メディアのタイトルを扱ってきました。 彼の専門知識は、消費者だけでなく企業の観点からも技術分野にあります。

接続する: