ワードプレスのサイトを安全にするには? – 10の効果的な方法

公開: 2022-09-11

wordpressサイトを安全にするには? Web サイトを構築するために多くの時間と労力を費やしており、おそらくそれを最新の状態に保つためにさらに多くの時間と労力を費やしています。 あなたのウェブサイトはあなたの生き残りのためにさえ必要かもしれません.

それでは、セキュリティに関しては本題に入りましょう。

WordPress はすぐに使用できる優れた安全なプラットフォームですが、悪意のある個人からサイトを安全に保つためにできること (そしてすべきこと) は他にもたくさんあります。 これらのセキュリティ強化の多くは簡単に展開でき、手作業で数分で完了できます。 その他は、特定のプラグインのインストールのみを必要とします。

この記事では、WordPress 要塞の防御を強化するための 10 の代替方法について説明します. しかし、最初に、Web サイトのセキュリティが重要である理由をもう少し掘り下げてみましょう。

WordPressサイトを保護するための措置を講じることが重要な理由

安全なサイトを開発したい場合は、WordPress をプラットフォームとして選択することから始めてください (当然のことです)。 Web サイトを作成するための多用途で強力なプラットフォームであるだけでなく、箱から出してすぐに非常に安全です。

WordPress 開発者はセキュリティに関心があるため、コア プラットフォームを可能な限り「強化」することに取り組んでいます。 また、定期的にセキュリティ関連の更新プログラムとパッチを提供し、サイトに自動的にダウンロードして展開します。 その結果、あなたのウェブサイトは、新たに発生した危険に対処する準備が整っています.

実際、完全なセキュリティを保証できるプラットフォームはありません。 ハッカーは、最も安全な Web サイトでさえも侵入しようと懸命に働いています (彼らの能力を善のために利用できればよいのですが?) WordPress は、インターネットの 30% 以上を支えているため、定期的な標的になるほど人気が​​あります。

言うまでもなく、悪意のある人物がサイトに侵入すると、多大な損害を与える可能性があります。

たとえば、機密情報を盗んだり侵害したり、マルウェアをインストールしたり、要求に合わせてサイトを変更したり、サイトを完全に削除したりすることさえできます。 これはあなたとあなたのユーザーの両方にとって悪いことであり、ビジネスを運営している場合、収益とクライアントの損失につながる可能性があります.

それはまったく良くありません。

WordPress ウェブサイトを保護するために特別な予防措置を講じることは非常に重要です。 このプロジェクトには、最初に Web サイトを作成したときと同じ時間と注意を払う必要があります (それ以上ではないにしても)。 幸いなことに、親愛なる読者の皆様、サイトのセキュリティを強化するための基本的で簡単な方法が数多くあります。

wordpressサイトを安全にするには?

この記事の残りの部分では、サイトをより安全に保ち、ハッキングされる可能性を最小限に抑えるための 10 の便利なアイデアを紹介します。 さらに、各戦略の正しい方向にお送りします。

このリストのすべてを達成する必要はありませんが、そうする必要はありますが、サイトを保護するための行動をとればとるほど、後で悲劇に直面する可能性は低くなります。

1.高品質のホストを使用する

Web Hosting
ウェブホスティング

Web ホストは、インターネット上の Web サイトの「通り」と考えることができます。 それはあなたのサイトが「生きている」場所です。

良い学区が子供の将来にとって重要であるように、ウェブサイトの本拠地の質は多くの点で重要です (そう彼らは言います; 私は大丈夫でした)。

評判の良いホスティング会社は、サイトの機能、拡張可能なサイズ、さらには検索エンジンでのランク付けに影響を与える可能性があります. トップホストは、幅広い便利な機能、優れたカスタマーサービス、およびプラットフォーム固有のサービスを提供します.

ご想像のとおり、Web ホストはサイトのセキュリティに大きな影響を与える可能性があります。 信頼できるホスティング サービスを選択すると、次のようなさまざまなセキュリティ上の利点があります。

  • 優れたホストは、最新の脅威に対応し、セキュリティ侵害を防ぐために、サービス、ソフトウェア、およびツールを最新の状態に保ちます。
  • SSL/TLS 証明書や DDoS 保護など、さまざまな対象を絞ったセキュリティ機能が Web サーバーによって頻繁に提供されます。 また、Web アプリケーション ファイアウォール (WAF) へのアクセスも必要です。これは、Web サイトに対する主要な脅威を監視およびブロックするのに役立ちます。
  • ハッキングされた場合、Web プロバイダーはほぼ確実に、サイトをバックアップするメカニズムを提供し (場合によってはバックアップを行ってくれます)、安定した以前のバージョンをすばやく復元できるようにします。
  • ホストが信頼できる 24 時間体制のサポートを提供している場合は、セキュリティ関連の問題が発生した場合にいつでも頼れる人がいます。

このリストは、新しい Web サイトのホストを見つけるための適切な出発点として、またはプロバイダーの切り替えを検討している場合に役立つはずです。 必要なすべての機能と機能を備え、信頼性と高性能の実績があるものを選択する必要があります。

DreamPress は、高速で信頼性が高く、スケーラブルで安全な WordPress 固有のホスティングです。 DreamPress には、プリインストールされた SSL/TLS 証明書と、WordPress サイトを保護し、ハッキングの試みを防ぐために特別に設計されたルールを備えた専用の WAF が付属しています。 追加料金なしで、自動バックアップ、WordPress の専門家による 24 時間年中無休のサポート、サイトに多数の追加のセキュリティ保護を追加できるプラグインである Jetpack プレミアムも利用できます.

サイトが DreamPress で安全であることを知っていると安心できます。 当社のホスティング サービスは、次のセキュリティ強化手順の多くを処理しますが、それでもなお、さらにどのような予防策を講じるかを確認するために読み進めることをお勧めします.

結局のところ、子供たち、安全が第一です!

推奨される Web ホスト– ブルー ホストOpens in a new tab.

2. サイトを HTTPS に切り替える

Switch Your Site to HTTPS
サイトを HTTPS に切り替える

SSL/TLS 証明書について詳しく説明しましょう。 これにより、HTTP のより安全なバージョンである HTTPS (HyperText Transfer Protocol Secure) にサイトをアップグレードできます。 これらの用語を聞いたことがない場合でも、理解しておく必要のある重要なセキュリティの概念です。

HTTP は、Web サイトと Web サイトにアクセスしようとするブラウザーとの間のデータ転送プロトコルです。 訪問者がホームページをクリックすると、このプロトコルによってすべてのコンテンツ、メディア、Web サイト コードが訪問者の場所に送信されます。

これは間違いなく必要ですが、セキュリティ上の懸念が生じます。 悪意のある人物は、転送中のデータを傍受し、悪意のある理由でそれを利用しようとする可能性があります。

これは HTTPS が解決する問題です。 HTTP と同じことを実現しますが、サイトのデータがポイント A からポイント B に移動するときに暗号化するため、アクセスが困難になります。

当初、HTTPS は主にクレジット カード番号などのクライアントの機密データを扱うサイトで使用されていました。 ただし、すべてのサイトで普及しつつあり、WordPress や Google などの大企業は、広く採用されるよう推進しています。

サイトを HTTPS に変換するには、SSL/TLS 証明書が必要です。 これにより、サイトが正当であり、そこに含まれるデータが適切に保護されていることがブラウザーに伝えられます。 Let's Encrypt などの特定の Web サイトでも無料で提供されます。

ホスティング パッケージの一部として、優れたホストには通常、SSL/TLS 証明書が含まれています。 実際、DreamHost のすべてのホスティング プランには、無料の Let's Encrypt 証明書が含まれています!

サイトに SSL/TLS 証明書を配置したら、HTTPS を実装するだけで済みます。 ホストがこれを処理する場合もありますが、自分で処理することもできます。 ホスティングのストレッチリムジンである DreamPress を選択すると、サイトは最初から HTTPS を使用して構築されます。 ゲームを始めよう!

SSL証明書の購入はこちらOpens in a new tab.

3. 安全なログイン認証情報を作成する

Create Secure Login Credentials
セキュア ログイン資格情報の作成

これにより、不気味な見知らぬ人があなたのウェブサイトにアクセスするのがより困難になります. あなたは間違いなく、インターネット上の他のアカウントに強力なユーザー名とパスワードを選択したので、WordPress Web サイトで同じことをしても大きな問題にはなりません.

サイトを作成するときに、ログイン ユーザー名とパスワードを設定するオプションが表示されます。 ユーザー名はデフォルトで admin ですが、必要に応じて変更できます (おそらく変更する必要があります)。 ただし、個人が WordPress ログインを発見する方法はいくつかあるため、必要に応じてデフォルトの選択肢を選択できます。

一方、パスワードは重要であり、強力なものを選択する必要があります。 最近、ランダムな文字、数字、および記号の従来の組み合わせを覆す、単純な 4 語のフレーズのアドバイスとともに、強力なパスワードの選択方法に関する U ターンが発生しました。 これは、一部のサークルでしばらくの間使用されてきた手法です。

パスワードに関するこの話のすべてが頭を混乱させている場合は、WordPress 独自のパスワードジェネレーターを使用することをお勧めします。これは、WordPress バックエンド内で (ほとんど) 侵入できないパスワードを直接生成します. 暗号化されたパスワード マネージャーなど、安全な場所に資格情報を書き留めて、忘れないようにしてください。

すでにサイトを構築していて、最初に理想的とは言えない資格情報を使用した場合でも、ログイン資格情報を更新できます。 ユーザー名を変更するには、新しいアカウントを作成して管理者ステータスを付与し、古いアカウントを削除する前にすべてのものをそれに割り当てます。

パスワードを変更するには、WordPress 管理パネルの [ユーザー] > [すべてのユーザー] に移動し、ユーザー名をクリックして、[ユーザーの編集] 画面で変更します。

4. Web アプリケーション ファイアウォールを有効にする

Enable a Web Application Firewall
ウェブ アプリケーション ファイアウォールを有効にする

おそらく、ファイアウォールの概念はご存知でしょう。ファイアウォールは、さまざまな種類の悪意のある攻撃からコンピューターを保護するのに役立つプログラムです。 ほとんどの場合、PC にファイアウォールがインストールされています。 Web アプリケーション ファイアウォール (WAF) は、Web サイトを保護するために特別に設計されたファイアウォールの一種です。 サーバー、特定の Web サイト、または Web サイトの大規模なグループをすべて保護できます。

WordPress サイトの Web アプリケーション ファイアウォール (WAF) は、サイトと他のインターネットとの間のファイアウォールとして機能します。 ファイアウォールは、疑わしい動作を監視し、攻撃、ウイルス、およびその他の好ましくない出来事を検出し、危険と見なされるものをすべてブロックします。 #優勝

DreamPress バンドルを選択した場合は、追加のファイアウォールをインストールする必要はありません。 DreamPress には Web アプリケーション ファイアウォール (WAF) が組み込まれており、サイトをスキャンしてリスクを検出し、許可されていない個人やプログラムがアクセスするのを防ぎます。 何もする必要はありません。

社内のマルウェア検出サービスである DreamShield も、DreamHost を通じて利用できます。 ホスティング アカウントで DreamShield を有効にすると、危険なコードがないかサイトを毎週スキャンします。 不審な点が見つかった場合は、すぐにメールでお知らせします。

5.二要素認証を実装する

Implement Two-Factor Authentication
二要素認証を実装する

先に進む前に、もう 1 つのアプローチについて説明します。それは、2 要素認証です (これには、2 段階認証やその他のさまざまな類似の名前も含まれます)。 この言葉は、Web サイトにログインするために実行する必要がある 2 段階のプロセスを指します。 これには少し時間がかかりますが、ハッカーがシステムに侵入するのを防ぐのに大いに役立ちます.

2 要素認証では、スマートフォンまたはその他のデバイスを使用してログインを確認する必要があります。 まず、WordPress サイトにアクセスし、ユーザー名とパスワードでログインします。 一意のコードがモバイル デバイスに配信されます。ログイン プロセスを完了するには、このコードを入力する必要があります。 これにより、電話やタブレットなど、自分が所有するものに排他的にアクセスできることを示すことで、身元を認証できます。

二要素認証は、他の多くの WordPress 機能と同様に、プラグインを使用して簡単にセットアップできます。 2 要素認証は、評判の良い開発者によって設計されており、Google Authenticator と互換性があり、この機能を Web サイトに簡単に統合できるため、適切なオプションです。

もう 1 つのオプションは、その信頼性でよく知られており、主に WordPress コア開発者によって開発された Two-Factor プラグインです。 学習曲線は少し急ですが、そのカテゴリの他のプラグインと同様に、仕事を成し遂げ、非常に安全です. 少しお金を使う準備ができている場合は、Jetpack の Clef のようなプレミアム ソリューションをチェックすることもできます。

どの道をたどっても、開始するには電話番号やその他の詳細が必要になるため、必要に応じて事前にチームと相談してください。 ログインページが保護され、使用できるようになりました。

6. 新しいプラグインとテーマを慎重に追加する (そして頻繁に更新する)

Add New Plugins and Themes Carefully
新しいプラグインとテーマを慎重に追加する

WordPress を利用する最良の側面の 1 つは、テーマとプラグインがすぐに利用できることです。 これらの便利なツールを使用すると、サイトの外観をカスタマイズし、想像できるほぼすべての機能を追加できます。

ただし、すべてのプラグインとテーマが同じように作成されているわけではありません。

注意を怠ったり、必要な知識を欠いた開発者は、信頼性が低く、安全でない、または単に悪いプラグインを作成する可能性があります。 彼らは、ハッカーがすぐに悪用する可能性のあるセキュリティ上の欠陥を明らかにする粗雑なコーディング手法を採用したり、重要な機能を無意識のうちに妨害したりする可能性があります。

これはすべて、Web サイトにインストールするテーマとプラグインに細心の注意を払う必要があることを意味します。 それぞれを徹底的に調べて、ウェブサイトに害を与えたりトラブルを引き起こしたりしない信頼できる代替手段であることを確認する必要があります. 考慮すべき点は数多くありますが、次のガイドラインは、高品質のツールを選択するのに役立ちます。

  • 顧客のレビューと評価を見て、問題のプラグインまたはテーマで他の人が肯定的な経験をしているかどうかを確認してください.
  • プラグインまたはテーマが最近更新されたかどうかを確認してください。 6 か月以上経過している場合は、安全性が十分に確保されていない可能性があります。
  • 新しいプラグインとテーマを一度に 1 つずつインストールすると、何か問題が発生した場合に何が問題なのかがわかります。 また、変更を加える前に、サイトのバックアップを作成してください。
  • プラグインとテーマは、WordPress.org のテーマとプラグイン ディレクトリ、ThemeForest と CodeCanyon、および評判の良い開発者の Web サイトなどの評判の良いソースから入手する必要があります。

最後に、必要なプラグインとテーマをサイトに追加したら、作業は完了ではありません。

また、それらが一緒に効果的に機能し、最新の危険から保護されるように、それらを最新の状態に維持する必要があります。 幸いなことに、これは簡単です。WordPress ダッシュボードに移動し、更新可能なテーマやプラグインがあることを示す赤い通知を探し、それぞれの横にある [今すぐ更新] をクリックします。

すべてのプラグインを選択して更新ボタンをクリックすることで、すべてのプラグインを一度に更新することもできます。更新ボタンは、ここまたは WordPress パネルにあります。 これはより高速なオプションですが、一度にすべてを更新すると、変更の結果として発生する問題の診断がより複雑になる可能性があることに注意してください。 信頼できるプラグインとテーマのみを使用する場合、これは問題になりません。

先に進む前に、WordPress も最新の状態に維持する必要があることに注意することが重要です。 小規模なパッチとセキュリティ更新プログラムは自動的に適用されますが、大きな変更は手動で実装する必要がある場合があります (これも非常に簡単です)。 これは言うまでもありませんが、DreamHost がこれらのアップグレードを処理するので、その必要はありません。

WordPress、またはテーマやプラグインを最新の状態に保つことは、避けるべき危険であることを忘れないでください.

7. ファイルのアクセス許可を構成する

Configure Your File Permissions
ファイルのアクセス許可を構成する

フォルダーとファイルのセットには、WordPress サイトの多くの情報、データ、およびコンテンツが含まれています。 それぞれに権限レベルが与えられ、階層的なフレームワークに構造化されています。 WordPress のファイルまたはフォルダーのパーミッションは、それを表示および変更できるユーザーを制御し、誰でも、自分だけ、またはその間のほぼすべてを許可するように構成できます。

WordPress では、ファイルのアクセス許可は 3 桁の数字で表され、各数字は異なる意味を持ちます。 最初の数字は個々のユーザー (サイトの所有者) を表し、2 番目の数字はグループ (サイトのメンバーなど) を表し、3 番目の数字は地球全体を表します。 数字自体は、ユーザー、グループ、または全世界が次のことを示しています。

  • 0: ファイルを表示する権限がありません。
  • 1: ファイルは実行のみ可能です。
  • 2: ファイルは編集可能です。
  • 3: ファイルを編集して実行できます。
  • 4: ファイルを読み取ることができます。
  • 5: ファイルを読み込んで実行できます。
  • 6: ファイルの読み取りと編集が可能です。
  • 7: ファイルの読み取り、編集、および実行が可能です。

したがって、ファイルのパーミッション レベルが 640 の場合、プリンシパル ユーザーはそのファイルを読み取って編集でき、グループは読み取ることはできますが変更することはできず、それ以外のユーザーはアクセスできないことを意味します。 これは複雑すぎるように見えるかもしれませんが、各個人がサイト上の必要なファイルとフォルダーにのみアクセスできるようにすることが重要です。

WordPress では、ディレクトリのパーミッションに 755、ファイルのパーミッションに 644 を与えることを提案しています。これらのルールを守れば問題ありませんが、任意の組み合わせを作成できます。 特に重要なファイルに対しては、必要以上のアクセス権を持つべきではないことに注意してください。

また、最適なアクセス許可の設定はホスティング サービスによって異なるため、ホストが推奨するものを確認する必要があります。

注: アクセス許可レベルの変更は慎重に行う必要があります。 不適切な番号 (恐ろしい 777 など) を使用すると、サイトが利用できなくなります。

8. サイトのユーザー数を低く抑える

WordPress サイトを自分で運営している場合は、この手順を気にする必要はありません。 他の誰もあなたのサイトにアクセスできないようにして、あなただけが更新できるようにしてください.

一方、多くの人は他者との交流を楽しんでおり、最終的には Web サイトに複数のユーザーを追加します。 他の作成者がコンテンツを追加できるようにしたい場合や、サイトの編集と管理に支援が必要な場合があります。 また、WordPress サイトに定期的にアクセスして独自に変更を加えるユーザーのチーム全体が存在する可能性もあります。

これはさまざまな点で有利であり、場合によっては必要になることもあります。 ただし、これはセキュリティ上の問題の可能性があります。

サイトに招待する人が多ければ多いほど、誰かが太った指の間違いを犯したり、単にジャークで問題を引き起こしたりする可能性が高くなります. そのため、サイトのユーザー数をできるだけ少なくし、サイトを拡張できるようにすることをお勧めします。 管理者およびその他の高い権限を持つユーザー ロールの数を最小限に抑えるようにしてください。

さらにいくつかのアイデアがあります:

  • 各ユーザーの権限を、ジョブの実行に必要な権限のみに制限します。 明らかに、ユーザーは強力なパスワードを選択するよう奨励されるべきです (No. 3 を覚えていますか?)。
  • 可能であれば、1 人の管理者と少数の編集者を維持してください。
  • サイトを離れたユーザー、またはアクセスする必要がなくなったユーザーのキックオフを許可します。
  • WordPress のロールと機能システムのユーザー インターフェイスを提供するプラグイン、Members のインストールを検討してください。

9.管理エリアのアクティビティを追跡する

Track Your Admin Area Activity
管理エリアのアクティビティを追跡する

多数のユーザーがいる場合は、ユーザーがサイトで何をしているかを追跡することをお勧めします。 WordPress の管理領域でアクティビティを追跡すると、他のユーザーがしてはいけないことを行っているときや、不正なユーザーがアクセス権を取得したかどうかを特定するのに役立ちます。

奇妙な改ざんが行われたり、疑わしいものがインストールされたりした場合、誰が責任を負っているのかを突き止めたいと思うでしょう。 プラグインがすべてを処理します。

ほとんどの主要なセキュリティ プラグインには、すぐに使えるこの機能が含まれていないため、特注のソリューションを見つける必要があります。 ハンズオフ アプローチを採用したい場合に、サイトの重要な変更やイベントの合理化されたわかりやすいログを作成するシンプル ヒストリーは、合理化されたわかりやすいログを生成することで、その名に恥じません。サイトの重要な変更とイベント。

サイトで発生したほとんどすべてを追跡し、多くの便利なプレミアムアドオンを提供する WP セキュリティ監査ログは、より複雑な追跡機能の別のオプションです.

適切なプラグインをインストールしたら、異常がないかログを確認することをお勧めします。 サイトで予期せぬ事態が発生した場合、または予期せぬバグが発生した場合は、最新のアクティビティに目を通します。

10.サイトを定期的にバックアップする

Back Up Your Site Regularly
サイトを定期的にバックアップする

Web サイトをすべての脅威から保護する万能のアプローチがあると言ったら、嘘になります。 このリストのすべての推奨事項に従っている場合でも、Web サイトがハッキングされる危険性は依然としてあります。

ハッカーは彼らの技術の達人です。

あなたが今しなければならないことは、彼ら自身のゲームで彼らを打ち負かすことです. 徹底したセキュリティ計画には、最悪の事態が発生した場合にどうするかを考える必要があります。

障害が発生した場合にサイトを保護するための最も簡単で最適な戦略は、定期的にバックアップすることです。 最近のバックアップがあれば、サイトがハッキングされる前の状態に復元できます。 これにより、問題を解決し、できるだけ早く先に進むことができます。

当然のことながら、バックアップの作成方法と使用方法には注意が必要です。 次の提案は、開始するのに最適な場所です。

  • 多くのバックアップを手元に置いておいてください。 最新のバックアップにはまだ見たことのない障害が含まれている可能性があるため、少なくとも 3 つの最新のバックアップを常に手元に置いておくことをお勧めします。
  • バックアップは、クラウド ストレージや従来のハードディスクなど、さまざまな場所に保管する必要があります。
  • 定期的なバックアップ スケジュールを作成して維持します。 従うことができる信頼できるヒントはたくさんありますが、頻度とタイミングは完全にあなた次第です.

通常のバックアップ計画に加えて、サイトに変更を加える前に、追加のバックアップを作成することをお勧めします。 したがって、これらのセキュリティ強化アプローチを適用する前に、最新のバックアップがあることを確認してください。

WordPress のセキュリティ: 最後に

事実: Web サイトがハッキングされた場合、被害の修復に数時間 (数日ではないにしても!) を費やすことになります。 データが完全に失われたり、個人情報が失われたり、最悪の場合、クライアントのデータが危険にさらされたりする可能性があります。

そのため、そのような状況が発生しないようにするために、多大な時間と労力を費やす必要があります。 そうしないと、損傷を回復しようとしているときに、かなりのビジネスと現金を失う可能性があります。

これらの WordPress セキュリティに関する 10 のヒントが役に立ちます。 いくつかの変更はマイナーです。 HTTPS への切り替えや SSL 証明書の追加などのその他の操作は、サイト全体に影響を与えます。 また、サイトが安全な WordPress サーバーでホストされていることも確認してください。