Layman向けのWordPressセキュリティのヒント:WordPressログインとその他のセキュリティ対策を保護する

書かれた記事:
  • WordPress
  • 更新:Jul 15、2020

20年以上前に初めて導入されて以来、WordPressは世界で最も人気の高いコンテンツ管理システムとして今や成長し、成長しています。 今日、 4分の1以上 存在するウェブサイトのうちのいくつかはWordPressで実行されます。

しかし、古くから、より一般的なものは、より多くの人々が悪意のある手段のためにそれを活用したいと考えています。 Microsoft Windowsと 大量のマルウェア、ウィルス、その他の悪用 この1つの特定のオペレーティングシステムだけを対象に設計されています。

最も脆弱性の高い10 WordPressのバージョン(source)。 2017の研究では、74の異なるバージョンのWordPressがAlexa Topの1万人のウェブサイトで特定されました。 これらのバージョンの11は無効です。たとえば、バージョン6.6.6(source).

なぜあなたのワードプレスのブログは貴重な目標ですか?

ハッカーがあなたのWordPressブログをコントロールしたい理由が、なぜ地球上にあるのだろうと思っている場合、いくつかの理由があります。

  • それを使って秘密に迷惑メールを送信する
  • メーリングリストやクレジットカード情報などのデータを盗みます
  • 後で使用できるボットネットにサイトを追加する

幸いなことに、WordPressはあなたに自分を守る機会をたくさん提供するプラットフォームです。 いくつかのウェブサイトやブログを自分でセットアップして管理するのを手伝ってくれたので、あなたのワードプレスサイトを保護するためにできる基本的なことをいくつかお話したいと思います。

あなたが利用できる10の実行可能なセキュリティヒントを紹介します。

WordPressログインページを保護する

あなたのログインページを保護することは、特定の1つの方法では達成できませんが、確かにステップがあります。 無料のセキュリティプラグイン どんな攻撃でも成功する可能性ははるかに低くなります。

あなたのサイトのログインページは確かにあなたのウェブサイトで最も脆弱なページの1つですので、WordPressサイトのログインページをもう少し安全にすることから始めましょう。

1.適切な管理者ユーザー名を選択してください

珍しいユーザー名を使用します。 以前のWordPressでは、デフォルトの管理者ユーザー名で開始する必要がありましたが、そうではなくなりました。 それでも、ほとんどの新しいWeb管理者はデフォルトのユーザー名を使用しているため、ユーザー名を変更する必要があります。 使用できます Admin Renamer Extended 管理者のユーザー名を変更します。

ログインページの総当たり攻撃は、Webサイトが直面する可能性が高いWeb攻撃の一般的な形式のXNUMXつです。 推測しやすいパスワードまたはユーザー名を持っている場合、あなたのウェブサイトはほぼ確実に単なる標的ではなく、最終的には被害者になります。 経験から、ほとんどのサイトハックの試みは、ユーザー名のXNUMXつの主要な選択肢でログインしようとします。 最初のXNUMXつは常に「admin」または「administrator」ですが、XNUMX番目は通常、ドメイン名に基づいています。

たとえば、サイトがcrazymonkey33.comの場合、ハッカーは「crazymonkey33」でログインしようとする可能性があります。

いい考えではない。

2。 強力なパスワードを使用するようにしてください

これまでのところ、人々は自分のアカウントを保護するために強力で複雑なパスワードを使用することを知っていると思っていたかもしれませんが、「パスワード」が素晴らしいと思う人はまだまだたくさんいます。

スプラッシュデータ のリストをまとめた 2018年に頻繁に使用されるパスワード。 使用量のランクごとのパスワード。

  1. 123456
  2. パスワード
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. 太陽の光
  9. クワーティ
  10. わたしは、あなたを愛しています

あなたがそれらのパスワードの1つを使用し、あなたのウェブサイトがトラフィックをまったく受け取った場合、あなたのウェブサイトはほぼ確実に遅かれ早かれ取り消されます。

強力なパスワードには次のものが含まれます:

  • 大文字の大文字と小文字
  • 英数字(AZおよびaz)
  • 特殊文字(!、@、#、$など)を含める
  • 少なくとも8文字の長さ

パスワードのランダム性が高いほど、セキュリティが強化されます。 問題を抱えている場合は、このランダムパスワードジェネレータをお試しください。 https://passwordsgenerator.net/

3. reCaptchaを実装する

あなたのWPブログからWall Botsを外しましょう。

reCaptchaは自動化されたツールがサイト上で動作するのを止めるように設計されています。 もちろん、今日のハッキングツールの複雑さを考えると、これらは簡単にバイパスすることができますが、少なくともセキュリティ層が追加されています。

がある 多くのreCaptchaプラグイン ほとんどの場合、あなたのインストールで使用することができます。

4. 2要素認証(XNUMXFA)を使用する

2FAは、ログインの確認が必要な認証方法です。 たとえば、ユーザー名とパスワードでログインした後は、携帯電話にSMSを送信するか、自分の身元を確認するために入力する必要があるコードを電子メールで送信することがあります。

この認証方法は優れた保護機能を提供し、今日の多くの銀行や金融機関で使用されています。 繰り返しますが、この必要性は簡単に 2FAプラグイン.

次のビデオで、miniOrange(2FAプラグイン)がWordPressログインにどのように対応しているかをご覧ください。

T

5.ログインURLの名前を変更します

ほとんどのハッカーはデフォルトのワードプレスのログインページからログインしようとしますが、これは通常次のようなものです

sample.com/wp-admin。

別のレイヤーを追加するには、次のようなツールを使用してログインページのURLを素早く簡単に変更します。 WPS非ログイン.

6.ログイン試行回数を制限する

これは非常に簡単なテクニックの1つであり、あなたのログインページでのブルートフォース攻撃を止めることができます。 ブルートフォース攻撃は、複数の組み合わせを何度も試してみることで、ユーザー名とパスワードを正しく取得しようとすることで機能します。

攻撃を犯している特定のIPが追跡されている場合、繰り返されるブルートフォースの試みをブロックして、サイトを安全に保つことができます。 これはまた、攻撃の起源の異なる複数のIPアドレスでグローバルDDoS攻撃が発生し、ホスティングサービスやウェブサイトのセキュリティが守られなくなっている理由です。

ログインロックダウンログインセキュリティソリューション どちらも、Webサイトのログインページを保護するための優れたソリューションを提供します。 IPアドレスを追跡し、Webサイトを保護するためにログイン試行回数を制限します。

サイトのセキュリティウォールを強化する

WordPressのログインページを保護するためのさまざまな戦術について説明しました。上記の手順は、あなたができる基本です。 一部のWebホストでは、これらのセキュリティプラクティスの一部がユーザーに義務付けられていることにも注意してください。 サイトに実装できるその他のセキュリティ対策がいくつかあります。

7. wp-adminディレクトリを保護する

余分なセキュリティ層をホストディレクトリに追加します。

wp-adminディレクトリは、WordPressインストールの中心です。 追加の保護手段として、このディレクトリをパスワードで保護します。

これを行うには、ホスティングアカウントコントロールパネルにログインする必要があります。 使用しているかどうか cPanelの or Pleskの、あなたが探しているオプションは 'パスワードで保護されたディレクトリ'。

または、.htaccessファイルと.htpasswdsファイルを微調整して、ディレクトリをパスワードで保護できます。 詳細なステップバイステップガイドとコードジェネレーターは、次のサイトから無料で入手できます。 ダイナミックドライブ.

wp-adminフォルダーをパスワードで保護すると、 WordPressの公開AJAXを破る –サイトエラーを回避するには、.htaccessを介してadmin ajaxへのアクセス許可を許可する必要があります。

8。 SSLを使用してデータを暗号化する

HTTPとHTTPSの接続(ソース: Sucuri)

サイト自体とは別に、あなたとサーバーとの間の接続を保護したい場合があります。これは、SSLを使用して通信を暗号化する場所です。 暗号化された接続を持つことにより、サーバーと通信しているときにハッカーがデータ(パスワードなど)を傍受することができなくなります。

これとは別に、検索エンジンは「安全でない」と考えられるサイトをますますペナルティ化しているので、SSLを実装することも良い方法です。

個々のブロガーや中小企業の場合、無料の共有SSL –通常はホスティングプロバイダーから取得できますが、 暗号化しようまたは CloudFlareの –通常は十分すぎるほどです。 顧客の支払いを処理する企業の場合–それが最善です 専用のSSL証明書を購入する Webホストまたは認証局(CA)から。

SSLの詳細については、包括的な AZのSSLガイド.

9.コンテンツ配信ネットワーク(CDN)を利用する

これにより、サイトがハッキングされないようにすることはできませんが、サイトに対する悪意のある攻撃の緩和に役立ちます。 一部のハッカーは、ウェブサイトを破壊し、一般の人々がアクセスできないようにすることを目指しています。 CDNは、 分散サービス妨害 サイトへの攻撃。

それとは別に、コンテンツをキャッシュすることでサイトを少しスピードアップするのにも役立ちます。 このオプションを調べるには、例としてCloudflareを見てください。 CloudFlareの は多層の価格レベルでCDNサービスを提供するため、基本的な機能を無料で使用することもできます。

詳細については、こちらをご覧 Cloudflareの仕組みとサービスを使用する利点.

10.ソフトウェアがすべて最新であることを確認します

どのように良いまたは高価なソフトウェアであっても、悪用される可能性のある新しい弱点が常に存在します。 WordPressは例外ではなく、チームは常に新しいバージョンの修正や更新をリリースしています。

ハッカーはほとんど常に弱点を利用しようとしており、未修正のまま残っている既知の攻撃は単に問題を求めているだけです。 これは、多くの場合、リソースの少ない小規模の企業によって作成されるプラグインの2倍になります。

プラグインを使用している場合は、アップデートが定期的にリリースされていることを確認するか、見つけることを検討してください 更新され続ける同様の機能を持つ人気のあるプラグイン.

これを言って、私はあなたの使用をお勧めしません WordPressとプラグインの自動更新特にライブサイトを運営している場合は特にそうです。 一部のアップデートは、内部的にも他のプラグインや設定との競合によっても問題を引き起こす可能性があります。

理想的には、ライブサイトを反映したテスト環境を作成し、そこのアップデートをテストします。 すべてが正常に機能していることが確認できたら、ライブサイトにアップデートを適用することができます。

Pleskなどのコントロールパネルは、この目的のためにサイトクローンを作成するオプションを提供します。

11.バックアップ、バックアップ、バックアップ!

どのような安全対策や慎重な姿勢であっても、事故は起こります。 十分なバックアップサービスを確保するだけで、何百時間もの労力をかけて大惨事から救うことができます。

通常、あなたのウェブホストには少なくとも基本的なバックアップ機能が付いてくるでしょうが、あなたが私のような妄想であれば、あなた自身の独立したバックアップを必ず実行してください。 バックアップは、一部のファイルをコピーするだけでなく、データベース内の情報も考慮に入れて簡単に行うことができます。

試して実績のあるバックアップソリューションを探してください。 たとえ小さな投資でさえ、緊急時の涙で節約する価値があります。 何かのようなもの BackupBuddy データベースを含むすべてのものを一度に保存するのに役立ちます。

12. Webホストが重要です!

伝統的に、ウェブホスティング会社は単にウェブサイトをホストするためのスペースを提供していましたが、時代は変わってきました。 Webホスティングプロバイダは、セキュリティの強化が急務であることを認識し、Webホスティングを補完する付加価値サービスを提供しています。

たとえば取る Hostgatorの、ゲームのより確立された名前の一つ。 基本的なCloudflare機能の他に、HostGator($ 10 + / moの価格で)には、迷惑メール防止、自動マルウェア除去、自動バックアップ、ドメインプライバシーなどが付属しています。

マネージドワードプレスホスティングプロバイダ、 キンスタ、ハードウェアファイアウォールを構築し、サーバーのマルウェアやDDoS攻撃を積極的に監視し、カスタムビルドシステムを使用します。

これがまだ発生していない場合は、ホストが提供するセキュリティ機能を見て、現在入手可能なセキュリティ機能と比較することを強くお勧めします。

包括的なリストについては、あなたがチェックアウトすることができます WHSRの最高のWebホストのコンパイルはこちら.

それで?

あなたが野生を実行し、百万と一つのセキュリティソリューションを探してパニックにインターネットを精練する前に - 深呼吸を取る。 他のすべてのものと同様に、誰かがあなたがすでにパニックに陥ったことを助け、解決策を探しました。

たとえ多くのセキュリティソリューションを実装しても、 確か あなたは安全です?

ここには何かがあります セキュリティ忍者 あなたの弱点を調査するのに役立ちます。

クイックデモ:セキュリティ忍者の仕組み

セキュリティ忍者のようなものを使用する魅力的な理由がいくつかありますが、それはあなたのサイトを安全にするためにあなたの旅で複数の段階で使用することをお勧めするツールだと言わせてください。

まず、変更前にあなたのウェブサイト上で「そのまま」実行します。 あなたに結果を与える前に、プラグインがあなたのサイトを突きつけてくれるようにしましょう。

その結果に基づいて、サイトのセキュリティを確保するように努めます。 セキュリティ忍者は防御を探るために50以上のテストを行います。 変更した後でも、サイトをテストするためだけに(サイトの変更やプラグインの更新があるたびに)再度実行してください。

これは、あまりにも多くのあなたのための仕事のように聞こえる場合は、セキュリティ忍者は、追加モジュールのホストが付属しています(プロ版、単一サイト$ 29あなたが見つけた問題を解決するのを助けることができます。

これらのモジュールのその他の主な機能には、次のものがあります。

  • WPコアファイルをスキャンして問題のあるファイルを特定する
  • ワンクリックで変更したファイルを復元
  • 修正されたWP自動更新
  • 数百万の攻撃されたサイトから収集された不正なIPを禁止する600を禁止する
  • 自動更新を一覧表示し、メンテナンスや手動作業が不要
  • ブルートフォース攻撃からログインフォームを保護する

最終的な考え

これはすべてWordPressの平均的なユーザーにとっては少し過度に見えるかもしれませんが、私はそれがすべて必要であることを保証します。 世界中のハッキング統計やその他のものをしばらく無視して、私が管理している最もわかりにくいサイトの個人情報を共有しましょう。

もともとは簡単な伝記サイトとして始まりました www.timothyshim.com。 明らかに、それは私が設定したものであり、ほとんどの時間は単なる基準点として残しています。 毎月、このサイトは 基本的に何もせず、データを収集しない、ブルートフォースと複雑なものの組み合わせである30攻撃に直面しています。

必要なのは、そのうちの1人が成功することだけです。 本当に 付いてない日。

ティモシーシムについて

ティモシー・シム(Timothy Shim)は、作家、編集者、テクニカルオタクです。 情報技術分野でキャリアをスタートした彼は、急速に印刷物を見つけ、ComputerWorld、PC.com、Business Today、The Asian Bankerなどの国際、地域、国内メディアのタイトルを扱ってきました。 彼の専門知識は、消費者だけでなく企業の観点からも技術分野にあります。

接続します。