ティモシーシムについて
ティモシー・シム(Timothy Shim)は、作家、編集者、テクニカルオタクです。 情報技術分野でキャリアをスタートした彼は、急速に印刷物を見つけ、ComputerWorld、PC.com、Business Today、The Asian Bankerなどの国際、地域、国内メディアのタイトルを扱ってきました。 彼の専門知識は、消費者だけでなく企業の観点からも技術分野にあります。
XNUMX年以上前に最初に導入されて以来、WordPressは成長し(そして成長し)、今では世界で最も人気のあるものとして安全に名付けられています。 コンテンツ管理システム。 今日では、 4分の1以上 存在するウェブサイトのうちのいくつかはWordPressで実行されます。
しかし、古くから、より一般的なものは、より多くの人々が悪意のある手段のためにそれを活用したいと考えています。 Microsoft Windowsと 大量のマルウェア、ウィルス、その他の悪用 この1つの特定のオペレーティングシステムだけを対象に設計されています。
ハッカーがあなたのWordPressブログをコントロールしたい理由が、なぜ地球上にあるのだろうと思っている場合、いくつかの理由があります。
幸いなことに、WordPressはあなた自身を守るための多くの機会を提供するプラットフォームです。
自分でいくつかのウェブサイトやブログの設定と管理を手伝ってきたので、WordPressサイトを保護するためにできるより基本的なことのいくつかをあなたと共有したいと思います。
あなたが利用できる10の実行可能なセキュリティヒントを紹介します。
ログインページの保護は、特定の手法では達成できませんが、攻撃が成功する可能性をはるかに低くするために実行できる手順と無料のセキュリティプラグインは確かにあります。
あなたのサイトのログインページは確かにあなたのウェブサイトで最も脆弱なページの1つですので、WordPressサイトのログインページをもう少し安全にすることから始めましょう。
珍しいユーザー名を使用します。 以前のWordPressでは、デフォルトの管理者ユーザー名で開始する必要がありましたが、そうではなくなりました。 それでも、ほとんどの新しいWeb管理者はデフォルトのユーザー名を使用しているため、ユーザー名を変更する必要があります。 使用できます Admin Renamer Extended 管理者のユーザー名を変更します。
ブルートフォースログインページは、Webサイトが直面する可能性のあるWeb攻撃の一般的な形式のXNUMXつです。 パスワードやユーザー名を簡単に推測できる場合、Webサイトはほぼ確実に標的になるだけでなく、最終的には被害者になります。 経験から、ほとんどのサイトハッキングの試みは、ユーザー名のXNUMXつの主要な選択肢でログインしようとします。 最初のXNUMXつは常に「admin」または「administrator」ですが、XNUMXつ目は通常ドメイン名に基づいています。
たとえば、サイトがcrazymonkey33.comの場合、ハッカーは「crazymonkey33」でログインしようとする可能性があります。
これまでのところ、人々は自分のアカウントを保護するために強力で複雑なパスワードを使用することを知っていると思っていたかもしれませんが、「パスワード」が素晴らしいと思う人はまだまだたくさんいます。
スプラッシュデータ のリストをまとめた 2018年に頻繁に使用されるパスワード。 使用量のランクごとのパスワード。
あなたがそれらのパスワードの1つを使用し、あなたのウェブサイトがトラフィックをまったく受け取った場合、あなたのウェブサイトはほぼ確実に遅かれ早かれ取り消されます。
強力なパスワードには次のものが含まれます:
パスワードがランダムであるほど、安全性が高くなります。 これを試して ランダムパスワードジェネレータ あなたがXNUMXつを思い付くのに問題がある場合。
reCaptchaは自動化されたツールがサイト上で動作するのを止めるように設計されています。 もちろん、今日のハッキングツールの複雑さを考えると、これらは簡単にバイパスすることができますが、少なくともセキュリティ層が追加されています。
ニキビ後の跡が目立たないよう設計されており、さらにより少ない処方で効果的なものは 多くのreCaptchaプラグイン ほとんどの場合、あなたのインストールで使用することができます。
2FAは、ログインの確認が必要な認証方法です。 たとえば、ユーザー名とパスワードでログインした後は、携帯電話にSMSを送信するか、自分の身元を確認するために入力する必要があるコードを電子メールで送信することがあります。
この認証方法は優れた保護機能を提供し、今日の多くの銀行や金融機関で使用されています。 繰り返しますが、この必要性は簡単に 2FAプラグイン.
次のビデオで、miniOrange(2FAプラグイン)がWordPressログインにどのように対応しているかをご覧ください。
T
ほとんどのハッカーはデフォルトのワードプレスのログインページからログインしようとしますが、これは通常次のようなものです
sample.com/wp-admin。
別のレイヤーを追加するには、次のようなツールを使用してログインページのURLを素早く簡単に変更します。 WPS非ログイン.
これは非常に簡単なテクニックの1つであり、あなたのログインページでのブルートフォース攻撃を止めることができます。 ブルートフォース攻撃は、複数の組み合わせを何度も試してみることで、ユーザー名とパスワードを正しく取得しようとすることで機能します。
攻撃を実行している特定の IP が追跡されている場合、繰り返されるブルート フォース攻撃をブロックし、サイトを安全に保つことができます。 これが世界的な理由でもある DDOS 攻撃は、攻撃の発信元が異なる複数のIPアドレスで発生し、ホスティングサービスをスローします。 Webサイトのセキュリティ 油断して。
ログインロックダウン 及び ログインセキュリティソリューション どちらも、Webサイトのログインページを保護するための優れたソリューションを提供します。 IPアドレスを追跡し、Webサイトを保護するためにログイン試行回数を制限します。
WordPressのログインページを保護するためのさまざまな戦術について説明しました。上記の手順は、実行できる基本事項です。 また、一部のWebホストは、ユーザーにこれらのセキュリティ慣行の一部を義務付けていることにも注意する必要があります。 いくつかあります その他のセキュリティ慣行 あなたのサイトに実装することができます。
wp-adminディレクトリは、WordPressインストールの中心です。 追加の保護手段として、このディレクトリをパスワードで保護します。
これを行うには、ホスティングアカウントコントロールパネルにログインする必要があります。 使用しているかどうか cPanelの or Pleskの、あなたが探しているオプションは 'パスワードで保護されたディレクトリ'。
または、 を微調整してディレクトリをパスワードで保護することもできます。.htaccessファイル および .htpasswds ファイル。 詳細なステップ バイ ステップ ガイドとコード ジェネレーターは、次の Web サイトで無料で入手できます。 ダイナミックドライブ.
wp-adminフォルダーをパスワードで保護すると、 WordPressの公開AJAXを破る –サイトエラーを回避するために、.htaccessを介してajaxを管理する権限を許可する必要があります。
サイト自体とは別に、あなたとサーバーとの間の接続を保護したい場合があります。これは、SSLを使用して通信を暗号化する場所です。 暗号化された接続を持つことにより、サーバーと通信しているときにハッカーがデータ(パスワードなど)を傍受することができなくなります。
これとは別に、検索エンジンは「安全でない」と考えられるサイトをますますペナルティ化しているので、SSLを実装することも良い方法です。
個々のブロガーや中小企業の場合、無料の共有SSL –通常はホスティングプロバイダーから取得できますが、 暗号化しようまたは Cloudflare –通常は十分すぎるほどです。 顧客の支払いを処理する企業の場合– 専用のSSL証明書を購入する Webホストまたは認証局(CA)から。
SSLの詳細については、包括的な AZのSSLガイド.
これにより、サイトがハッキングされないようにすることはできませんが、サイトに対する悪意のある攻撃の緩和に役立ちます。 一部のハッカーは、ウェブサイトを破壊し、一般の人々がアクセスできないようにすることを目指しています。 CDNは、 分散サービス妨害 サイトへの攻撃。
それとは別に、それはまたあなたを助けます あなたのサイトをスピードアップ いくつかのコンテンツをキャッシュすることによって少し。 このオプションを検討するには、 Cloudflare 一例として。 Cloudflare は多層の価格レベルでCDNサービスを提供するため、基本的な機能を無料で使用することもできます。
詳細については、こちらをご覧 の Cloudflare 作品とサービスを使用する利点.
どのように良いまたは高価なソフトウェアであっても、悪用される可能性のある新しい弱点が常に存在します。 WordPressは例外ではなく、チームは常に新しいバージョンの修正や更新をリリースしています。
ハッカーはほとんど常に弱点を利用しようとしており、未修正のまま残っている既知の攻撃は単に問題を求めているだけです。 これは、多くの場合、リソースの少ない小規模の企業によって作成されるプラグインの2倍になります。
プラグインを使用している場合は、アップデートが定期的にリリースされていることを確認するか、見つけることを検討してください 更新され続ける同様の機能を持つ人気のあるプラグイン.
これを言って、私はあなたの使用をお勧めしません WordPressとプラグインの自動更新特にライブサイトを運営している場合は特にそうです。 一部のアップデートは、内部的にも他のプラグインや設定との競合によっても問題を引き起こす可能性があります。
理想的には、ライブサイトを反映したテスト環境を作成し、そこのアップデートをテストします。 すべてが正常に機能していることが確認できたら、ライブサイトにアップデートを適用することができます。
Pleskなどのコントロールパネルには、次のオプションがあります。 サイトを作成する この目的のためにクローンを作成します。
どのような安全対策や慎重な姿勢であっても、事故は起こります。 十分なバックアップサービスを確保するだけで、何百時間もの労力をかけて大惨事から救うことができます。
通常、あなたのウェブホストには少なくとも基本的なバックアップ機能が付いてくるでしょうが、あなたが私のような妄想であれば、あなた自身の独立したバックアップを必ず実行してください。 バックアップは、一部のファイルをコピーするだけでなく、データベース内の情報も考慮に入れて簡単に行うことができます。
試して実績のあるバックアップソリューションを探してください。 たとえ小さな投資でさえ、緊急時の涙で節約する価値があります。 何かのようなもの BackupBuddy データベースを含むすべてのものを一度に保存するのに役立ちます。
伝統的ですが、 ウェブホスティング会社 単に私たちのウェブサイトをホストするためのスペースを提供しただけで、時代は変わりました。 ウェブホスティングプロバイダー、 脆弱性を理解するは、Webホスティングを補完する多くの付加価値サービスを提供することで、セキュリティを強化するために強化しました。
たとえば取る Hostgatorの、ゲームで最も確立された名前のXNUMXつ。 基本は別として Cloudflare 特徴、 Hostgatorの ($ 10 + /月の価格で)スパムフリー保護、自動マルウェア除去、自動バックアップ、ドメインプライバシーなども付属しています。
マネージドワードプレスホスティング プロバイダー、 Kinsta、ハードウェアファイアウォールを構築し、サーバーのマルウェアやDDoS攻撃を積極的に監視し、カスタムビルドシステムを使用します。
これがまだ発生していない場合は、ホストが提供するセキュリティ機能を見て、現在入手可能なセキュリティ機能と比較することを強くお勧めします。
包括的なリストについては、あなたがチェックアウトすることができます WHSRの最高のWebホストのコンパイルはこちら.
あなたが野生を実行し、百万と一つのセキュリティソリューションを探してパニックにインターネットを精練する前に - 深呼吸を取る。 他のすべてのものと同様に、誰かがあなたがすでにパニックに陥ったことを助け、解決策を探しました。
たとえ多くのセキュリティソリューションを実装しても、 確か あなたは安全です?
ここには何かがあります セキュリティ忍者 あなたの弱点を調査するのに役立ちます。
セキュリティ忍者のようなものを使用する魅力的な理由がいくつかありますが、それはあなたのサイトを安全にするためにあなたの旅で複数の段階で使用することをお勧めするツールだと言わせてください。
まず、変更前にあなたのウェブサイト上で「そのまま」実行します。 あなたに結果を与える前に、プラグインがあなたのサイトを突きつけてくれるようにしましょう。
その結果に基づいて、サイトのセキュリティを確保するように努めます。 セキュリティ忍者は防御を探るために50以上のテストを行います。 変更した後でも、サイトをテストするためだけに(サイトの変更やプラグインの更新があるたびに)再度実行してください。
これは、あまりにも多くのあなたのための仕事のように聞こえる場合は、セキュリティ忍者は、追加モジュールのホストが付属しています(プロ版、単一サイト$ 29あなたが見つけた問題を解決するのを助けることができます。
これらのモジュールのその他の主な機能には、次のものがあります。
これはすべてWordPressの平均的なユーザーにとっては少し過度に見えるかもしれませんが、私はそれがすべて必要であることを保証します。 世界中のハッキング統計やその他のものをしばらく無視して、私が管理している最もわかりにくいサイトの個人情報を共有しましょう。
もともとは簡単な伝記サイトとして始まりました www.timothyshim.com。 明らかに、それは私が設定したものであり、ほとんどの時間は単なる基準点として残しています。 毎月、このサイトは 基本的に何もせず、データを収集しない、ブルートフォースと複雑なものの組み合わせである30攻撃に直面しています。
必要なのは、そのうちの1人が成功することだけです。 本当に 付いてない日。
また読む